Mitigazione DDoS


Tecniche di mitigazione per i maggiori attacchi Internet

Gli attacchi denial of service distribuiti ricorrono a diversi vettori per raggiungere l’obiettivo degli hacker. Il più diffuso è la distribuzione dei dispositivi di attacco: un malintenzionato può utilizzare a proprio vantaggio un gran numero di computer (o altri dispositivi come telecamere, DVR, IoT...), solitamente conosciuti come botnet, localizzati in tutto il mondo. Questi tipi di attacco possono saturare un'intera infrastruttura prima ancora di colpire il server di destinazione, rendendo la situazione totalmente ingestibile per un singolo punto di destinazione o utente. Per contrastare gli attacchi DDoS, OVHcloud ricorre alla combinazione di presenza a livello mondiale, sovradimensionamento della capacità di rete, logica di rilevamento distribuita e dispositivi di filtraggio ad alte prestazioni. Grazie all’esperienza maturata e all’utilizzo delle innovazioni più recenti, OVHcloud offre un sistema che permette agli utenti di concentrarsi sulle proprie attività principali, senza doversi preoccupare di eventuali attacchi di rete.

Anti-DDOS_Mitigation

Prima della mitigazione

Icons/concept/Magnifying Glass/Magnifying Glass Check Created with Sketch.
Analisi e rilevamento

Gli attacchi di rete possono essere rilevati grazie all'analisi in tempo reale dei dati inviati dai router (netflow, sflow e altri protocolli). In caso di individuazione di traffico sospetto, i meccanismi di routing interni reindirizzano il traffico verso una serie di nodi VAC (da “vacuuming”) distribuiti, per un'analisi più approfondita e un filtraggio preciso.

Icons/concept/Lines/Line Communicating Created with Sketch.
Verifica approfondita

Una volta che il traffico è reindirizzato verso i nodi dell’infrastruttura VAC, viene eseguita un’analisi più approfondita. Questa operazione viene svolta simultaneamente in tutti i nostri datacenter per poter unire la potenza di calcolo di tutte le Region (oltre 17 Tbps a partire dal 2021). Per garantire il miglior livello di qualità, in ogni localizzazione abbiamo stabilito molteplici connessioni di rete e la capacità di rete viene mantenuta sovradimensionata. In questo modo siamo in grado di rispondere agli attacchi senza compromettere le attività legittime.

Icons/concept/Lines/Lines Symmetrical Created with Sketch.
Mitigazione reale

La mitigazione vera e propria consiste nel filtrare il traffico in più fasi, per consentire solo a quello legittimo di raggiungere un server. Questo step è il più complicato, perché include il lavoro più difficile. In questa fase OVHcloud agisce sfruttando la nota tecnologia ACL, con innovazioni sull'architettura x86 e l'implementazione del codice su chip FPGA ultraveloci.

Mitigazione degli attacchi DDoS in OVHcloud

Anti-DDOS_migration

Quando una richiesta o un semplice pacchetto di rete proviene da Internet, il primo punto in cui viene identificato è all'interno del Point of Presence (PoP), ossia il luogo in cui la rete OVHcloud si connette agli altri provider. Per una protezione ottimale, in questi punti viene installato Hardware Client Amplitude Policiers (HCAP), importante componente di un sistema Anti-DDoS globale. I pacchetti vengono poi instradati all’interno della nostra backbone e inviati ai datacenter OVHcloud, dotati di uno stack hardware speciale e ad alte prestazioni che include un nodo di mitigazione DDoS VAC.

Questo elemento funziona sia per la protezione locale che come parte di un sistema globale, in quanto può essere utilizzato da altre localizzazioni durante gli attacchi di maggiore portata. I pacchetti possono essere inviati direttamente verso i rack e i server di un datacenter oppure passare per un’analisi più approfondita e una mitigazione tramite VAC in caso di traffico sospetto.

Infine, per le soluzioni con una protezione aggiuntiva a livello applicativo (come la gamma Bare Metal Game con protezione DDoS Game), è disponibile un ulteriore sistema di filtraggio che funziona accanto al servizio stesso per un’analisi approfondita delle applicazioni e una mitigazione più precisa del traffico malevolo.

HCAP

Hardware Client Amplitude Policer (HCAP) è il primo componente della linea di difesa che protegge i servizi di ogni cliente. Questo dispositivo permette di alleggerire il lavoro dei nodi VAC del datacenter quando necessario, per ottenere migliori prestazioni e una distribuzione ottimale del carico in caso di attacco. Può inoltre agire come componente per limitare la velocità.

Anti-DDOS_HCAP
Anti-DDOS_network_firewall

Edge Network Firewall

Primo componente del VAC, Edge Network Firewall è una soluzione che limita l'esposizione agli attacchi a livello di rete provenienti dalla rete pubblica. Si attiva automaticamente all’inizio di un attacco DDoS e consente ai clienti di configurare un sottoinsieme di massimo 20 regole per filtrare i pacchetti in modo più preciso e mirato all’attività dei propri server. Ogni regola consiste in un'autorizzazione specifica che può essere utilizzata per ottimizzare la protezione dei propri servizi e rendere più sicura la banda passante all'interno di un datacenter. Questo firewall si attiva automaticamente all'inizio di un attacco DDoS e resta operativo per tutta la sua durata, anche se è possibile configurarlo in modo che resti sempre attivo. Per maggiori informazioni sulla configurazione delle regole, consulta questa guida.

Shield e Armor

L’hardware Shield e Armor esegue un’analisi avanzata delle minacce, evitando la saturazione delle risorse del server (principalmente i cicli di CPU). Shield interviene se un hacker utilizza tecniche di amplificazione (DNS o NTP), IP spoofing o vettori di attacco di riflessione. Armor, invece, è l’ultimo componente della linea di difesa ed è il filtro più avanzato del nostro sistema VAC che interviene mitigando gli attacchi più complessi, tra cui: autenticazione handshake TCP/SYN/cookie, rilevamento di zombie, mitigazione dei flood TCP/UDP/GRE/AH/ESP/... e molti altri.

Anti-DDOS_shield_armor

Pronto per iniziare?

Crea un account e attiva i tuoi servizi in un minuto

Per saperne di più sulla mitigazione

Cos’è la mitigazione?

Il processo di mitigazione è il centro di filtraggio automatico di OVHcloud. È il luogo in cui la nostra tecnologia avanzata esamina nel dettaglio i pacchetti per rimuovere il traffico malevolo (DDoS o altre vulnerabilità conosciute) e consentire il passaggio solo del traffico legittimo.

È possibile usufruire di una mitigazione permanente?

Per definizione, i servizi utilizzati sono sempre protetti grazie alla mitigazione automatica (rilevamento permanente), che si attiva in pochi secondi in caso di attacco. L’attivazione di una mitigazione permanente consiste nell’applicazione continua di un primo livello di filtraggio tramite il nostro hardware Shield e le regole di filtraggio definite nell’Edge Network Firewall. In caso di attivazione della mitigazione automatica vengono coinvolte tutte le fasi del VAC. Ricordiamo che, per motivi legati alla sicurezza e alla disponibilità dei servizi, solo la nostra gamma di server Game dispone di un’analisi approfondita dei pacchetti (protezione DDoS Game) sempre attiva. Per le altre soluzioni OVHcloud, la mitigazione permanente è attivabile dallo Spazio Cliente.

Cos'è il VAC?

Il VAC è uno dei principali componenti della nostra infrastruttura anti-DDoS, che combina una serie di tecnologie sviluppate da OVHcloud e appositamente progettate per mitigare gli attacchi DDoS. Il VAC permette di filtrare il traffico in entrata in modo che solo i pacchetti di dati legittimi transitino e raggiungano il server, mentre il traffico illegittimo viene bloccato. In particolare, il VAC include un Edge Network Firewall e i componenti Shield e Armor.

È possibile personalizzare Edge Network Firewall (ENF)?

Sì, le regole di filtraggio possono essere create dallo Spazio Cliente o via API, per accettare o rifiutare pacchetti sulla base di protocolli specifici. Queste regole vengono applicate automaticamente se Edge Network Firewall è abilitato o in caso di attivazione della mitigazione automatica. In questo modo è possibile spostare il carico del firewall iptable del server verso il perimetro della rete, proteggendo i collegamenti dalla saturazione. Per maggiori informazioni sulla configurazione di Edge Network Firewall, consulta la guida Configurare il Firewall Network.

Come segnalare se un servizio è vittima di un DDoS?

In caso di attacco rilevato sui servizi dei clienti, OVHcloud provvede a inviare una notifica via email. Lo stato di avanzamento della situazione è consultabile nello Spazio Cliente OVHcloud, dove vengono mostrate le relative statistiche. Un’altra notifica verrà inviata ad attacco concluso. Se si sospetta che i propri servizi siano colpiti da un attacco DDoS e gli utenti stiano riscontrando un degrado delle performance, è possibile contattare il supporto OVHcloud, che si occuperà di gestire la situazione.