Per motivi non rilevanti in questo blog, ieri in Argentina si è parlato molto di attacchi di denial of service (DDoS) distribuiti È una scusa come un'altra per parlare di questi tipi di attacchi che possono colpire chiunque abbia un sito Web e soluzioni open source per mitigarli.
Attacchi DDoS
L'attacco di negazione del servizio distribuito è uno dei più facili da perpetrare in quanto non richiede molte conoscenze tecniche, ma allo stesso tempo è uno dei più dannosi in quanto può portare offline servizi digitali e siti web per ore o giorni.
Durante questo tipo di attacco, la vittima soffre della saturazione della sua rete e dei suoi server con un numero enorme di richieste di accesso superiore a quello che l'infrastruttura è disposta a gestire. Ciò fa sì che gli utenti legittimi abbiano un accesso più lento o non siano in grado di entrare direttamente.
Per controllare l'attacco, l'autore deve avere accesso a una rete di dispositivi (di solito all'insaputa dei proprietari) Questi dispositivi possono essere sia computer che dispositivi mobili o Internet of Things. La parola distribuita nel nome dell'attacco deriva dal fatto che i componenti della rete non si trovano solitamente nella stessa posizione geografica.
Il controllo dei dispositivi viene ottenuto tramite malware, pratiche di ingegneria sociale o l'uso di password di fabbrica che gli utenti non si sono preoccupati di cambiare.
Le dimensioni di questa botnet possono variare da un numero relativamente piccolo di dispositivi a milioni di essi. Qualunque sia la dimensione, la procedura è comunque la stessa. I criminali responsabili della botnet possono indirizzare il traffico web generato verso un obiettivo ed eseguire un attacco DDoS.
Tuttavia, non credere che qualsiasi interruzione o malfunzionamento di un servizio web sia colpa di un attacco. A volte il numero di utenti legittimi che desiderano accedere contemporaneamente è superiore a quello che l'infrastruttura può supportare. Succede ad esempio con la vendita di biglietti per partite importanti o offerte a tempo limitato.
In quest'ultimo caso, l'inconveniente di solito dura solo per un periodo di tempo.
Soluzioni open source per prevenire gli attacchi DDoS
Oltre a ciò, in quanto utenti di Internet, ognuno è responsabile dell'uso che viene fatto dei nostri dispositivi, Esistono molte soluzioni a livello di server che possono essere utilizzate per prevenire e mitigare questi tipi di attacchi. E molti di loro sono open source.
DdoS sgonfia
Si tratta di una script potente quello basato sul comando netstat pConsente di bloccare gli attacchi identificando e investigando gli indirizzi IP che si connettono al server.
Caratteristiche
-Blocco automatico degli indirizzi IP
-Liste bianche e nere del traffico e loro fonti
-Facile notifica e gestione per gli amministratori di rete
-Rilevamento automatico delle regole associate a Iptables e firewall di policy avanzate
-Facilità di configurazione
-Avvisi e-mail automatici
-Rifiuto di connessioni indesiderate utilizzando tcpkill
-Il programma è disponibile nei repository di tutte le distribuzioni di server.
Fail2ban
Un altro strumento che arriva nei repository delle distribuzioni server.
È molto utile per identificare e vietare le fonti di traffico DDoS dannoso. Il programma analizza i file di registro e identifica connessioni e schemi sospetti in modo da poter creare liste nere. Il suo utilizzo riduce i tentativi di autenticazione illegittimi e non corretti grazie all'utilizzo di potenti moduli con differenti capacità.
Caratteristiche
-Fornisce due tipi di analisi; file profondi e di registro
-Registra il fuso orario associato al traffico IP di origine
-Si integra nell'architettura client-server
-Permette di elaborare vari servizi, inclusi sshd, vsftpd e Apache
-Facile configurazione per l'amministratore
-È compatibile con tutti i firewall
-Abilitazioni e divieti di accesso possono essere creati in base agli indirizzi IP
-È possibile bloccare gli attacchi di forza bruta
-Permette il blocco degli indirizzi IP in base a intervalli di tempo
-Supporta ambienti basati su SSH
HaProXY
HaProxy funziona in modo diverso. Non si basa solo sul rilevamento dell'indirizzo IP, ma anche sul bilanciamento del carico di lavoro del server.
Caratteristiche
-Puoi bloccare il traffico in base al consumo di larghezza di banda.
-Crea automaticamente tabelle di liste bianche e nere di IP che costruisce in base alle regole stabilite nella sua configurazione.
-Può identificare le reti dei dispositivi, rendendolo efficace contro gli attacchi DDoS.
-Consente di prevenire diversi tipi di attacchi e limitare le connessioni.
Certo, con questo non esauriamo l'argomento. La cosa migliore è che se hai un sito web, controlla con il tuo provider di hosting per le migliori precauzioni.
Ciao! E che ne dici di una soluzione CDN come quella offerta da Cloudflare?
Non faceva parte della proposta dell'articolo, ma, per quanto ne so, funziona perfettamente.
Possono essere utilizzati tutti e 3 contemporaneamente? Sui miei server utilizzo sempre fail2ban
Francamente, non ne ho idea.