Cos'è un attacco DDoS e come difendersi
Un attacco DDoS (Distributed Denial of Service) è una forma avanzata di attacco DoS (Denial of Service), il cui scopo è rendere un servizio web inaccessibile anche agli utenti legittimi. La differenza principale rispetto a un attacco DoS tradizionale è che le richieste non provengono da un singolo sistema, ma da una rete distribuita di computer compromessi, spesso infettati da malware o trojan.
Il sovraccarico del server avviene attraverso l'invio massiccio e simultaneo di richieste, superando il limite di connessioni gestibili e causando il blocco del servizio.
Le fasi di un attacco DDoS
1. Fase di intrusione
L'aggressore compromette diversi sistemi vulnerabili distribuiti su reti globali. Questi dispositivi vengono infettati con strumenti che consentono il controllo remoto.
2. Fase di attacco distribuito
Una volta costruita la rete di macchine compromesse (botnet), l'attaccante lancia l'attacco contro il server o sito web della vittima, sovraccaricandolo di traffico dannoso.
Come rilevare un attacco DDoS
Controllare il carico del server
Su sistemi Linux è possibile monitorare il carico della macchina tramite comandi da terminale come:
# w
# uptime
Esempio output:
12:00:36 up 1 day, 20:27, 5 users, load average: 0.70, 0.70, 0.57
Se il carico medio supera il valore di 5, è opportuno indagare su un possibile attacco DDoS.
Verificare i processi HTTP attivi
Utilizzare il seguente comando per contare i processi HTTP in esecuzione:
# ps -aux | grep HTTP | wc -l
Un numero anomalo di connessioni può indicare un attacco in corso, soprattutto se supera le 100 connessioni simultanee.
Identificare gli IP sospetti
Per ottenere l’elenco degli IP connessi alla porta 80 (HTTP):
# netstat -lpn | grep :80 | awk '{print $5}' | sort
Se rilevi più di 30 connessioni da un singolo IP o 5 IP provenienti dalla stessa rete, è probabile che il server sia sotto attacco.
Come bloccare un attacco DDoS
Bloccare IP o reti sospette con CSF
Se usi ConfigServer Security & Firewall (CSF), puoi bloccare indirizzi IP con i seguenti comandi:
- Singolo IP:
# csf -d 127.0.0.0
- Intervalli IP:
# csf -d 111.0.0.0/8 # csf -d 111.111.0.0/16 # csf -d 111.111.111.0/24
Utilizzare protezioni avanzate come Cloudflare
Un metodo efficace per proteggersi da attacchi DDoS è utilizzare Cloudflare, una piattaforma intelligente e distribuita a livello globale, progettata per mitigare anche attacchi complessi e su larga scala.
Consiglio tecnico
Ogni situazione di attacco può richiedere un approccio personalizzato. Se sospetti che il tuo sito sia sotto attacco DDoS, contatta subito il nostro supporto tecnico per una diagnosi e una soluzione su misura.