Damballa e The Internet Storm Center sono rispettivamente una società ed un’organizzazione molto stimate in campo sicuristico per il loro costante focus sui pericoli della rete e sulle possibili risoluzioni. Con due recenti post apparsi sui rispettivi blog è stata posta molta attenzione alla problematica degli attacchi DoS, un argomento che sta tenendo banco ora come non mai a livello mondiale.
Il DoS è una minaccia concreta e pericolosa a cui provider ed amministratori di rete cercano di opporre soluzioni e sbarramenti non sempre efficaci. La verità è che attualmente la tipologia di attacchi DoS è assolutamente diversificata e per rispondere a pericoli multiformi è necessario attuare protezioni ugualmente dinamiche e strutturate. Gunter Ollmann, un ricercatore in forze presso Damballa suggerisce due metodi di identificazione e mitigazione dei DoS. Il primo si basa sui rilevamenti raccolti attraverso l’utilizzo di sistemi di Network Anomaly Detection Systems, che posso catturare eventuali allerte ed anomalie che si dovessero verificare all’interno di una determinata rete, attivando le protezioni necessarie.
Il secondo metodo si basa sulla rilevazione diretta del traffico tra eventuali host facenti parte di una botnet che rappresenta la sorgente dell’attacco DoS ed i rispettivi server di controllo. Alcune tecniche di disturbo e di difesa dalle botnet possono essere attuati per mitigare i danni provocati da un attacco DoS coordinato e distribuito.
Quali che siano i metodi di difesa è necessario comunque che essi siano multistrato, con protezioni sia a livello del provider di connettività sia a livello server. Non esiste dunque un metodo di risoluzione definitivo ma una serie di protezioni ad anello che possono essere interposte tra l’attaccante e la vittima.
Un circuito protettivo costituito da : meccanismi di null-route, rilevazione delle anomalie, firewall hardware e software e connection tracking possono aiutare l’amministratore di rete a mitigare i danni prodotti dagli attacchi DoS. Data la natura alquanto varia degli attacchi, che possono essere di tipo DDoS, HTTP DoS o DoS basati sulla saturazione della banda, una sola contromisura può rivelarsi inefficiente ed è dunque necessario adottare protezioni complementari e distibuite su più livelli.
Come sottolineato comunque da Mark Hofman dell’ Internet Storm Center, oltre ad un adeguato livello di protezione è necessario poter disporre di documentazione e procedure ben precise da poter adottare in caso di attacco. Uno schema di massima prevede :
- la preparazione a subire eventuali attacchi
- l’identificazione degli stessi
- il contenimento
- il blocco degli attacchi
- il recupero dell’infrastruttura dopo l’attacco
- la stesura di documenti a fine incidente
In sostanza si evince che un’adeguata preparazione e consapevolezza unite ad un’infrastruttura protettiva multistrato possono aiutare amministratori di rete e di sistema oltre ai grandi provider ed ISP ad uscire a testa alta da attacchi DoS distruttivi come quelli che devastano quasi giornalmente piccoli e grandi operatori della rete.
Riferimenti esterni :
DDOS, the new black?
Cauterizing DDoS and Spam Botnet Participation
