Monitoraggio DDoS: come sapere che sei sotto attacco

Poco tempo fa, abbiamo spiegato come puoi controllare i log di Windows IIS e Loggly per vedere la fonte di un attacco DDoS, ma come fai a sapere quando la tua rete è sotto attacco? Non è efficiente avere esseri umani che monitorano i log ogni giorno e ogni ora, quindi è necessario affidarsi a risorse automatizzate. Il monitoraggio DDoS automatizzato dà al tuo team di sicurezza più larghezza di banda per concentrarsi su altri compiti importanti e ottenere comunque notifiche se si verificano anomalie come risultato di un evento DDoS.

Cos’è un attacco DDoS?

In breve, un attacco DDoS è un flusso di traffico verso il tuo host o server web. Con abbastanza traffico, un attaccante può consumare la tua larghezza di banda e le risorse del server fino a quando uno (o entrambi) sono così inondati che non possono più funzionare. Il server si blocca, o semplicemente non c’è abbastanza larghezza di banda per permettere ai veri clienti di accedere al tuo servizio web. Come probabilmente puoi indovinare, questo significa un crash del tuo servizio e una perdita di entrate per tutto il tempo che l’attacco continua.

Gli attacchi DDoS possono essere devastanti per un business online, ecco perché è importante capire come funzionano e come mitigarli rapidamente. Durante l’attacco, non c’è una sola fonte, quindi non si può semplicemente filtrare un IP per fermarlo. Gli attaccanti DDoS infettano i sistemi degli utenti (che possono significare computer ma anche sistemi embedded o dispositivi IoT) con un software che permette loro di controllarli in tutto il mondo. L’attaccante utilizza un sistema centralizzato che poi dice a queste macchine infettate dal malware di inviare traffico al sito. Il numero di macchine a disposizione dell’attaccante dipende dal numero di macchine infettate, ma può essere di decine di migliaia. Per peggiorare le cose, il malware DDoS è tipicamente molto sofisticato e impiega tecniche per sovraccaricare il tuo server nel modo più efficiente possibile, per esempio inviando richieste di connessione incomplete che causano stati di attesa sul tuo sistema, durante i quali il sistema attaccante può inviare nuove richieste.

Di solito puoi identificare quanto di un attacco puoi sopportare. Se il vostro traffico normale è di 100 connessioni alla volta per tutto il giorno e il vostro server funziona normalmente, allora 100 macchine in lizza per una connessione probabilmente non vi influenzerà. Tuttavia, con un attacco DDoS saranno migliaia di connessioni da numerosi IP diversi in una sola volta. Se il tuo server non può gestire 10.000 connessioni alla volta, allora potresti essere vulnerabile a un attacco DDoS.

Senza preavviso, hai centinaia o migliaia di macchine (server, desktop e persino dispositivi mobili) che inviano traffico al tuo sito in una volta. In pochi minuti, le prestazioni e le risorse del tuo sito sono gravemente prosciugate e gli utenti normali non possono accedere al tuo sito.

Come fai a sapere quando si verifica un attacco DDoS?

La parte più difficile di un attacco DDoS è che non ci sono avvisi. Alcuni grandi gruppi di hacker invieranno minacce, ma per la maggior parte un attaccante invia il comando per attaccare il tuo sito senza alcun avvertimento.

Siccome normalmente non navighi sul tuo sito, non è fino a quando i clienti si lamentano che finalmente capisci che qualcosa non va. Inizialmente, probabilmente non pensi che si tratti di un attacco DDoS, ma invece pensi che il tuo server o l’hosting siano fuori uso. Controlli il tuo server ed esegui dei test di base, ma vedrai solo un’alta quantità di traffico di rete con risorse al massimo. Potresti controllare se qualche programma è in esecuzione in background, ma non troverai alcun problema evidente.

Tra il tempo necessario per capire che si tratta di un attacco DDoS e il tempo necessario per mitigare il danno, possono passare diverse ore. Questo significa parecchie ore di mancato servizio e di guadagno, il che significa essenzialmente un grosso taglio alle tue entrate.

Indizi dell’attacco DDoS

Il modo più efficace per mitigare un attacco DDoS è sapere quando sta accadendo immediatamente quando l’attacco inizia. Ci sono diversi indizi che indicano un attacco DDoS in corso:

• Un indirizzo IP fa x richieste in y secondi
• Il tuo server risponde con un 503 a causa di interruzioni del servizio
• Il TTL (time to live) su una richiesta ping scade
• Se usi la stessa connessione per il software interno, i dipendenti notano problemi di lentezza
• Le soluzioni di analisi del log mostrano un enorme picco di traffico

La maggior parte di questi segnali può essere usata per automatizzare un sistema di notifica che invia un’e-mail o un testo ai tuoi amministratori.

Loggly può inviare tali avvisi basati su eventi di log e soglie definite, e anche inviare questi avvisi a strumenti come Slack, Hipchat, o PagerDuty.

Troppe richieste per un IP

È possibile impostare temporaneamente il router per inviare traffico a NULL route da IP specifici. Questo essenzialmente manda gli indirizzi IP attaccanti in un vuoto o in un vicolo cieco, in modo che non possano influenzare i vostri server. Questo è un po’ difficile, perché si può facilmente bloccare un indirizzo IP legittimo mentre si cerca di fermare l’attacco. Un altro problema è che l’IP di origine è di solito spoofato, quindi la connessione non viene mai completata tra il vostro server e la macchina di origine.

Impostare gli avvisi dal firewall o dal sistema di prevenzione o rilevamento delle intrusioni può essere difficile, perché ancora una volta alcuni bot legittimi saranno rilevati come un attacco. La configurazione e le impostazioni dipendono anche dal sistema che avete.

In generale, si desidera impostare un avviso per uscire se una gamma di indirizzi IP invia troppe richieste di connessione in una piccola finestra di tempo. Probabilmente avrete bisogno di mettere in whitelist certi indirizzi IP, perché quelli come Googlebot scansionano il vostro sito a un ritmo molto veloce e frequente. Ci vorrà un po’ di tempo e di messa a punto prima di ottenere che questo avviso funzioni correttamente, poiché vorrete legittimamente che alcuni bot e script vengano eseguiti e che possano inviare un falso positivo al vostro sistema di allarme.

Il server risponde con un 503

In Windows, è possibile programmare avvisi quando si verifica un evento specifico in Visualizzatore eventi. Puoi allegare qualsiasi attività a un evento, inclusi errori, avvisi o qualsiasi altro evento che potrebbe aiutarti a mitigare un problema prima che diventi una situazione critica.

Per allegare un’attività a un evento 503, devi prima trovare l’evento in Event Viewer. Apri Event Viewer e fai clic con il tasto destro sull’evento.

Questo apre una schermata di configurazione dove puoi configurare l’evento per inviare un’e-mail a un amministratore o a un team di persone.

Se hai più server, è efficiente impostare un avviso simile usando Loggly:

TTL Times Out

Puoi eseguire manualmente il ping dei tuoi server per testare la larghezza di banda e la connessione, ma questo non aiuta quando vuoi automatizzare un avviso prima che sia critico. Se stai pingando il server, allora sai già che c’è qualcosa che non va.

Per aiutare ad automatizzare gli avvisi di ping, diversi servizi sul web offrono un modo per pingare il tuo sito da tutto il mondo. Il servizio esegue il ping del tuo sito da varie regioni del mondo ad una frequenza che tu configuri. Se hai un cloud hosting, potresti avere un problema in una regione ma non in un’altra, quindi questi servizi di ping ti aiutano a identificare i problemi in certi luoghi.

Sono elencati qui solo alcuni servizi di ping. Con questi servizi, il tuo sito è monitorato 24 ore su 24, 7 giorni su 7 per l’uptime, così il tuo team IT può rispondere se il tuo server ha problemi. Poiché un attacco DDoS consuma la vostra larghezza di banda, il tempo di ping sarà troppo lungo o scaduto. Il servizio invia un avviso al tuo team, in modo che possa avviare tecniche di mitigazione e risolvere il problema.

Sistemi di gestione dei log e monitoraggio degli attacchi DDoS

Soluzioni come Loggly visualizzano le statistiche del tuo traffico su tutto lo stack e ti aiutano a identificare se ci sono anomalie 24/7. Utilizzando Loggly, è possibile identificare un attacco in corso e inviare avvisi ai vostri amministratori. Il vantaggio di usare questi log è che non solo potete identificare i picchi di traffico, ma potete identificare i server colpiti, gli errori restituiti ai vostri utenti e la data e l’ora precise in cui si sono verificati i picchi di traffico. Gli strumenti di analisi fanno molto di più che dirvi che c’è un problema. Ti dicono anche quali sono i server colpiti per farti risparmiare tempo nella risoluzione dei problemi.

Con i sistemi di gestione dei log, hai diversi vantaggi in più rispetto alle altre soluzioni. È possibile impostare avvisi per qualsiasi tipo di evento, il che rende questo tipo di sistema molto più flessibile rispetto all’impostazione di un avviso solo per il traffico.

È anche possibile rendere gli avvisi molto più granulari. Per esempio, con un allarme basato su un IP al vostro firewall, otterrete diversi falsi positivi fino a quando non modificherete le vostre configurazioni di allarme per includere solo gli IP sospetti. Con Loggly, è possibile impostare gli avvisi in base a una combinazione di eventi e picchi di traffico, in modo da ottenere solo le anomalie che dovrebbero interrompere il personale IT e fargli rispondere rapidamente.

Una nota sugli avvisi: troppi di essi possono avere un effetto opposto sui team IT. Per esempio, supponiamo che abbiate il vostro sistema impostato per inviare avvisi su diverse anomalie che di solito sono benigne. Il vostro team riceve centinaia di avvisi al giorno basati su queste configurazioni. Quando sono sommersi da eventi innocui, gli informatici tendono a ignorarli tutti, compresi quelli importanti. Non è intenzionale, ma quando si ricevono centinaia di avvisi al giorno, quelli importanti possono essere sepolti e il risultato è che l’IT ha una svista durante un’interruzione critica.

Armatevi contro DDoS

Gli eventi DDoS sono difficili ma essenzialmente una preoccupazione di sicurezza importante per gli amministratori. Ma con un po’ di automazione e avvisi, è possibile attivare le giuste notifiche proattive che limitano il tempo necessario per identificare e fermare un attacco DDoS.

Ora che hai imparato il monitoraggio ddos e come capire se sei sotto attacco, iscriviti per una prova GRATUITA senza carta di credito Loggly e visualizza le prestazioni delle app, il comportamento del sistema e le attività insolite in tutto lo stack. Monitora le tue risorse e metriche chiave ed elimina i problemi prima che colpiscano il tuo server e gli utenti.
>> Iscriviti ora per una prova gratuita di Loggly

I marchi Loggly e SolarWinds, i marchi di servizio e i loghi sono di proprietà esclusiva di SolarWinds Worldwide, LLC o delle sue affiliate. Tutti gli altri marchi sono di proprietà dei rispettivi proprietari.