Come bloccare gli attacchi DDoS?


Come bloccare gli attacchi DDoS?

Quando un malintenzionato sferra un attacco a una pagina Web o servizio, nella rete avvengono diverse cose. Questa pagina mostra le varie fasi del processo di mitigazione degli attacchi DDoS.

Stop_DDOS_step
Mitigating_normal_state

Step 1. Stato normale (nessun attacco)

In uno stato considerato normale, i siti Web e i servizi sono totalmente disponibili. Da un punto di vista operativo, in questo stato è importante misurare il livello di traffico di rete che raggiunge i servizi (ad esempio banda passante di rete in bps, pacchetti per secondo, richieste al secondo e carico dell’infrastruttura) in modo da stabilire un riferimento chiaro.

I clienti hanno anche la possibilità di configurare regole speciali di Edge Network Firewall, che si attiveranno automaticamente in caso di attacco. Queste regole, che richiedono una revisione regolare, possono essere utilizzate per alleggerire il carico sugli iptable di un server ed evitare la saturazione del collegamento della macchina.

È inoltre consigliabile utilizzare una dashboard per monitorare i servizi non solo da un punto di vista tecnico, ma anche lato business: in caso di attacco, questo strumento potrebbe rivelarsi utile per avere una visione dalla prospettiva del cliente.

Step 2. Inizio dell'attacco

Quando un attacco DDoS viene lanciato da una botnet di dispositivi coordinati, il primo posto in cui può essere rilevato è un Point of Presence (PoP), il punto in cui OVHcloud si interconnette con i router di altri operatori per accedere a Internet. Da qui, il traffico generato dall’attacco entra nella nostra rete globale di backbone e, grazie all’elevata capacità della nostra banda passante, normalmente non provoca la saturazione di nessun collegamento.

In seguito, il cyberattacco raggiunge il server, che comincia a elaborare le richieste. I segnali di possibili attività insolite includono un elevato utilizzo delle risorse e basse prestazioni di rete, dovute all'amplificazione del traffico Internet e al degrado del servizio. Parallelamente, l'analisi del traffico da parte dell'infrastruttura anti-DDoS di OVHcloud dovrebbe rilevare l'attacco, attivando il processo di mitigazione e abilitando le regole Edge Network Firewall per gli indirizzi IP nel caso non siano già stati forzati. Per attacchi brevi e numerosi che causano ogni volta l'attivazione del VAC, è possibile definire un timeout più lungo per la mitigazione tramite la nostra API REST.

Se parte dell’infrastruttura è esterna alla rete OVHcloud, per mitigare l’attacco potrebbe essere necessario utilizzare strumenti di terze parti. È inoltre possibile provare a contattare il Centro di gestione della rete (NOC) per fornire i dettagli dell'attacco, scalare i propri servizi, limitare la velocità o segnalare di essere sotto attacco tramite i mezzi a disposizione.

Mitigating_attack_starts
Mitigates_attack

Step 3. Mitigazione dell’attacco con il sistema anti-DDoS (VAC)

Una volta rilevato un attacco, la mitigazione si attiva in pochi secondi. Il traffico in entrata sul server viene "aspirato" dai nostri nodi VAC e l'attacco bloccato senza restrizioni di volume o durata, mentre il traffico legittimo continua a passare e raggiunge il server. Questo processo, chiamato automitigazione, è completamente gestito da OVHcloud. L’attivazione del servizio di mitigazione viene comunicata all’utente con una notifica via email o può essere verificata durante l'analisi dei percorso dei pacchetti verso il server o servizio (utilizzando mtr o traceroute), dove apparirà la dicitura "anti-DDoS vac stages".

Step 4. Conclusione dell’attacco DDoS

Lanciare attacchi DDoS è costoso, soprattutto se non ottengono l’effetto sperato. Un attacco dura normalmente dai 10 ai 12 minuti. Al termine di questo periodo di tempo, o dopo un timeout definito e personalizzato, il sistema anti-DDoS si disattiva automaticamente e resta in standby, pronto a difendersi dall’attacco successivo.

Mitigating_attack_end

Pronto per iniziare?

Crea un account e attiva i tuoi servizi in un minuto

FAQ

Quali tipi di attacco è in grado di contrastare OVHcloud con le proprie infrastrutture anti-DDoS?

La cybersecurity copre una vasta gamma di minacce alla sicurezza. L’infrastruttura anti-DDoS di OVHcloud è in grado di contrastare i maggiori rischi: attacchi di tipo denial of service distribuiti, packet flood (inclusi SYN flood), spoofing, attacchi di amplificazione e pacchetti malformati, etc. La maggior parte di questi attacchi non possono essere filtrati dagli utenti, in quanto saturano il collegamento di rete del server verso Internet.