DDoS: in cosa si sbaglia

Da vittima di attacco DDoS, qualche considerazione pratica personale sul fenomeno.

Qualche tempo fa mi e' capitato di essere vittima di un paio di DDoS che hanno portato ad un drammatico disservizio alcuni server (ho anche menzionato qualcosa in passato tra queste pagine). Purtroppo il DDoS e' un problema enorme, sempre crescente specie per gli attivisti di Anonymous, e difendersi da questo tipo di attacchi e', come lo descrivo solitamente, come cercare di ripararsi dalla pioggia con un ombrellino da cocktail. La realta' dei fatti e' che l'unica difesa da questo tipo di attacchi e' la pazienza: aspettare che si arrestino.

Lo scempio e' che una volta che sono stati arrestati, non si fa altro per contrastare la loro propagazione futura.

Una volta terminato l'attacco si fanno le classiche considerazioni, dimensionamento di banda, perfezionamento degli IPS, magari nuovo hardware. Ma io credo che siano tutte mosse insignificanti. Parlando con dei colleghi ho sentito proposte in cui pensavano di passare i propri link da 50Mbps a 1Gbps (o piu'). Non serve assolutamente a nulla, dal momento che il problema sarebbe solo piu' grande (se ritorniamo al paragone della pioggia di prima, semplicemente prendiamo piu' acqua). Infatti nel mio caso, pur avendo 1Gbps di upstream e un consumo nominale attorno ai 60Mbps mi sono ritrovato con una porta saturata a 900Mbps (layer-2).

E' anche vero che proprio durante uno dei due attacchi mi e' venuta in mente un'idea. Essendo riuscito a isolare la "morfologia" del primo attacco che ho subito, identificando la destinazione dell'attacco stesso (un singolo host), grazie alla collaborazione con il nostro upstream principale sono riuscito a richiedere un blocco del traffico direttamente sul core (tantissimo di cappello per il nostro operatore - KPN - il cui NOC ci ha aiutato in questi termini). Di fatto, in questo caso, sono riuscito a bloccare il DDoS e ripristinare i servizi. Nel secondo caso, trattandosi di un DDoS distribuito e che prendeva di mira i DNS, la questione si complicava un po'.

Ma l'idea di fondo che mi e' venuta in mente potrebbe anche essere valida. Quella cioe' di posizionare, in parallelo agli upstream, dei server che raccolgono il traffico di rete e lo registrano. So che e' conturbante sotto molti aspetti questo tipo di raccolta dati, ma tecnicamente, nel momento in cui dovesse partire un DDoS, si avrebbe traccia di quello che ha fatto: morfologia, bersaglio, tipo di attacco e origine. E a questo punto si potrebbe pensare di utilizzare questi dati per intervenire, in accordo con gli ISP coinvolti, per trovare delle soluzioni tecniche che riducano il rischio. Magari intercettando zombie-host parti di Bot-Net o che trascinano APT e/o rootkit senza che se ne sia mai accorto nessuno.

Il concetto alla base di questo ragionamento comunque, richiede che ci sia qualcosa su cui poter lavorare. E non possiamo certo dire che non ci siano gli strumenti per farlo (anche - anzi principalmente - OpenSource). Forse pero', prima di ogni altra cosa, ci vuole uno spirito di collaborazione e volonta' da parte di tutti.

 

L'idea la sto ancora sviluppando (anche da un punto di vista tecnico), ma qualche spunto ho cominciato a darlo... (si accettano suggerimenti).