Dal 2021, si stanno moltiplicando esponenzialmente gli attacchi DDOS portati dai vari collettivi hacker (cracker), specialmente a seguito della guerra Russia-Ucraina e il susseguente intensificarsi delle operazione di cyber-war.
Effettuare un attacco DDOS (Distributed Denial Of Service) è piuttosto banale; esistono svariati tools (gia pronti) per effettuarlo, quindi è alla portata anche di soggetti malintenzionati non particolarmente esperti.
Di recente sono balzati all’onore delle cronache molteplici attacchi DDOS, sferrati conto importanti siti web italiani, a seguito della visita della Presidente del Consiglio Meloni in Ucraina.
In questi recenti casi si è trattato di un particolare tipo di attacco DDOS, chiamato Slow HTTP attack; questa tipologia di attacco, molto efficace anche condotta con poche risorse (esempio una connettività in fibra o qualche server compromesso), tende ad esaurire le risorse del server web attaccato inviando una molteplicità di richieste http senza che esse possano avere un termine (non vengono appositamente inviati i comandi di chiusura della sessione richiesta).
Il server web si trova – in breve – ad avere migliaia di sessioni aperte, che non si chiudono, sino a che non riesce più ad accettarne di nuove; il sito web quindi diventa irraggiungibile.
Questa tipo di attacco ha effetto sui principali tipi di webserver in uso, Apache. NGINX e IIS, nella loro configurazione standard.
Date le diverse architetture di Apache ed NGINX (semplificando, il primo genera un thread per ogni nuova connessione, mentre il secondo gestisce molteplici connessioni con un solo thread), ci aspettavamo che Apache fosse più prono all’attacco (si esauriscono prima le risorse).
I vari test che abbiamo confermano questo; un server Apache in “configurazione standard” si blocca dopo qualche secondo di attacco, anche se non di grande estenzione.
Anche NGINX in configurazione standard, pur essendo meno suscettibile all’attacco, esaurisce facilmente le risorse quando fatto oggetto di attacco – anche di media portata.
Fortuinatamente esistono varie contromisure da adottare, a partire da specifiche configurazioni lato server che minimizzano l’attacco, sino all’adozione di proxy o CDN interposti tra Internet ed il server web.
Abbiamo sviluppato una specifica suite di test atta a verificare il livello di resilienza dei vari web servers all’attacco DDOS slow http attack.
Abbiamo inoltre espertise sulle impostazioni e varie metodologie di riduzione degli effetti dello specifico attacco DDOS slow http attack per i vostri server web; i nostri esperti sono a vostra disposizione per consulenza specifica in tale ambito.