Che cos'è un attacco DDoS?
DDoS sta per Distributed Denial of Service. È una variante del famigerato attacco DoS. Un attacco DoS è un tipo di attacco che gli aggressori bloccano il servizio in modo che anche gli utenti legittimi non possano accedere al servizio. L'attacco sarà da un unico sistema informatico. Ciò si ottiene inviando richieste di connessione eccessive a un server web. Ogni server avrà un limite al numero di richieste che possono essere gestite alla volta. Quando il numero di richieste supera questo limite, il server andrà in sovraccarico e il servizio non sarà disponibile per gli utenti. Questi utenti possono essere anche utenti legittimi, in modo che il servizio dal server web venga negato dall'hacker.
In un attacco DDoS, le richieste dell'hacker vengono inviate da un'ampia gamma di computer compromessi. I computer vengono spesso infettati da virus Trojan. Poiché l'attacco viene lanciato da reti o host dinamici, è abbastanza difficile risolverlo.
Possiamo prevenire questo attacco fino a un certo punto proteggendo le nostre reti e i nostri server.
L'attacco DDoS avviene in due fasi.
1) Hase di intrusione
2) Fase di attacco DoS distribuita
Fase di intrusione
Nella prima fase, la compromissione di diversi sistemi informatici viene eseguita in tutto il mondo. L'attaccante compromette i computer deboli di varie reti.
Fase di attacco DoS distribuita
La seconda fase è l'attacco Distributed DoS. In questa fase, l'attaccante installa gli strumenti per l'attacco DDoS e attacca il server oi siti web della vittima.
Risoluzione dei problemi di attacco DDoS
Come accennato in precedenza, non è facile risolvere gli attacchi DDoS. Se pensi che il tuo server stia subendo un attacco DDoS, devi confermarlo. Per verificare se un server è sottoposto a un attacco DDoS, seguire le istruzioni di seguito.
Controlla se il carico della tua macchina è elevato
La prima cosa da fare è controllare il carico della macchina. Tieni presente che stiamo risolvendo un server Linux in questo tutorial. In un server Linux, puoi scoprire il carico del server dal back-end usando molti comandi. Qui useremo il comando 'w'. Puoi anche usare il comando 'uptime'.
# w
12:00:36 fino 1 giorno, 20:27, 5 utenti, caricamento medio: 0.70, 0.70, 0.57
Possiamo scoprire che 5 utenti hanno effettuato l'accesso e il carico medio sul server è 0,70. Di solito, se il carico è pari o superiore a cinque, è necessario indagare sulla possibilità dell'attacco DDoS. Dopo aver verificato il carico del server, dobbiamo determinare il numero di processi HTTP in esecuzione.
Determinare il numero di processi HTTP in esecuzione
Possiamo trovare il numero di processi HTTP in esecuzione utilizzando il seguente comando.
# ps -aux | grep HTTP | wc -l
24
È normale in un server pesante circa 100 connessioni alla volta. Se il numero di processi è molto maggiore, possiamo considerare questo come un attacco DDoS. Ora dobbiamo scoprire le reti da cui proviene l'attacco. Tieni sempre presente che l'identificazione di ciascun sistema coinvolto nell'attacco non è rilevante nel caso di attacchi DDoS. Quindi l'indirizzo di rete è importante piuttosto che i singoli indirizzi IP.
Ora dobbiamo determinare gli indirizzi IP degli host/reti attaccanti.
Esegui il seguente comando nella riga di comando per ottenere gli indirizzi IP.
# netstat -lpn | grep :80 | awk '{stampa $5}' | ordinare
Ora controlla ogni blocco di indirizzi IP dall'output. Se ci sono più di 30 connessioni da un singolo indirizzo IP, prova a identificare tali indirizzi IP/host dall'elenco, stampato sullo schermo. Se ci sono più di cinque indirizzi IP/host connessi dalla stessa rete, è chiaro che il tuo server è sotto attacco DDoS.
Ora devi bloccare gli indirizzi IP o le reti nel tuo firewall. Utilizzare il comando se si utilizza ConfigServer Security&Firewall.
# csf -d indirizzo IP
ad esempio: # csf -d 127.0.0.0
Questo comando aggiungerà l'indirizzo IP 127.0.0.0 al file “ /etc/csf/csf.deny”.
Utilizzare il seguente comando per bloccare un intervallo IP.
# csf -d intervallo IP
Per bloccare l'intervallo 111.xxx.xxx.xxx, utilizzare il seguente comando.
# csf -d 111.0.0.0/8
Per bloccare l'intervallo 111.111.xxx.xxx, utilizzare il seguente comando.
# csf -d 111.111.0.0/16
Per bloccare l'intervallo 111.111.111.xxx, utilizzare il seguente comando.
# csf -d 111.111.111.0/24
Un altro modo per difendersi da DDOS è abilitare il servizio CLOUDFLARE, una protezione veloce, distribuita a livello globale e intelligente contro sofisticati attacchi DDoS.
Abbiamo la soluzione giusta per il tuo caso specifico, se pensi che il tuo sito web sia sotto attacco DDOS contatta il nostro supporto tecnico.