Da qualche tempo, si stanno moltiplicando i vari attacchi DDOS portati dai vari collettivi hacker (cracker), specialmente dall’inizio della guerra Russia-Ucraina e il susseguente intensificarsi delle operazione di cyber-war.
Portare un attacco DDOS (Distributed Denial Of Service) è piuttosto banale, esistono svariati tools per effettuarlo, quindi è alla portata anche di soggetti malintenzionati non particolarmente esperti.
Nelle cronache recenti si sono evidenziate notizie di svariati attacchi DDOS, sferrati conto importanti siti italiani, a seguito della visita della Presidente del Consiglio Meloni in Ucraina.
Si tratta di un particolare tipo di attacco DDOS, definito tecnicamente Slow HTTP attack; questa tipologia di attacco, molto efficace anche quando attuata con poche risorse, (esempio pochi devices compromessi), tende ad esaurire le risorse del servr web attaccato inviando una molteplicità di richieste http senza che esse possano avere un termine (non vengono appositamente inviati i comandi di chiusura della sessione istanziata).
Il server web si trova ad avere migliaia di sessioni aperte, che non si chiudono, sino a che non riesce più ad accettarne di nuove; il servizio quindi apparentemente off-line ed il sito web diventa irraggiungibile.
Questa tipo di attacco ha effetto sui principali tipi di webserver in uso, Apache. NGINX e IIS, nella loro configurazione standard.
Date le diverse architetture di Apache ed NGINX (semplificando, il primo genera un thread per ogni nuova connessione, mentre il secondo gestisce molteplici connessioni con un solo thread), ci aspettavamo che Apache fosse più sensibile all’attacco (si esauriscono prima le risorse).
I vari test che abbiamo confermano questa nostra aspettativa; un server Apache in “configurazione standard” si blocca dopo qualche secondo di attacco, anche se non di grande estenzione.
Anche NGINX in configurazione standard, pur essendo meno prono all’attacco, esaurisce le risorse quando fatto oggetto di attacco di media portata.
Informiamo che abiiamo sviluppato una suite di valutazione del livello di resilienza di qualsiasi web server alla tipologia di attacco Slow HTTP; si tratta quindi del primo passo per comprendere se occorre intervenire o meno.
Qualora occorra intervenire, ci sono varie contromisure da adottare, a partire da configurazioni lato server che minimizzano l’attacco, sino all’adozione di proxy o CDN interposte tra Internet ed il server.
Abbiamo sviluppato varie strategie di riduzione degli effetti dello specifico attacco DDOS slow http attack; i nostri esperti sono a vostra disposizione per consulenza specifica in tale ambito.