Capire gli attacchi DDoS: una guida per gli amministratori di WordPress

Un Distributed Denial of Service (DDoS) è un tipo di attacco Denial of Service (DoS) in cui l'attacco proviene da più host anziché da uno, rendendoli molto difficili da bloccare. Come con qualsiasi attacco DoS, l'obiettivo è rendere un bersaglio non disponibile sovraccaricandolo in qualche modo.

In genere, un attacco DDoS coinvolge diversi computer o bot. Durante l'attacco ogni computer invia in modo dannoso richieste per sovraccaricare il bersaglio. Gli obiettivi tipici sono server Web e siti Web, inclusi i siti Web WordPress. Di conseguenza, gli utenti non sono in grado di accedere al sito Web o al servizio. Ciò accade perché il server è costretto a utilizzare le proprie risorse per gestire esclusivamente queste richieste.

È importante che gli amministratori di WordPress comprendano ed siano preparati agli attacchi DDoS. Possono verificarsi in qualsiasi momento. In questo articolo esploreremo in modo approfondito gli DDoS e ti forniremo alcuni suggerimenti per proteggere il tuo sito WordPress.

DDoS è un attacco mirato all'interruzione e non un hack

È importante capire che un attacco DDoS non è un hack dannoso di WordPress nel senso tradizionale. L'hacking implica che un utente non autorizzato ottenga l'accesso a un server o a un sito Web che non dovrebbe avere.

Un esempio di hack tradizionale è quando un utente malintenzionato sfrutta una vulnerabilità nel codice o quando utilizza uno sniffer di pacchetti per rubare le password di WordPress. Una volta che l'hacker ha le credenziali, può rubare dati o controllare il sito web.

DDoS ha uno scopo diverso e non richiede l'accesso privilegiato. DDoS mira semplicemente a interrompere le normali operazioni del bersaglio. Con gli hack tradizionali, l'attaccante potrebbe voler passare inosservato per un po'. Con DDoS, se l'attaccante ha successo, lo saprai quasi immediatamente.

Diversi tipi di attacchi Distributed Denial of Service

DDoS non è solo un singolo tipo di attacco. Esistono diverse varianti e funzionano tutte in modo leggermente diverso sotto il cofano. Nella categoria DDoS ci sono diverse sottocategorie in cui possono essere classificati gli attacchi. Di seguito sono elencati i più comuni.

Attacchi DDoS volumetrici

Gli attacchi DDoS volumetrici sono tecnicamente semplici: gli aggressori inondano un bersaglio con richieste per sovraccaricare la capacità della larghezza di banda. Questi attacchi non prendono di mira WordPress direttamente. Invece prendono di mira il sistema operativo e il server web sottostanti. Tuttavia, questi attacchi sono molto rilevanti per i siti Web WordPress. Se gli aggressori hanno successo, il tuo sito WordPress non servirà le pagine ai visitatori legittimi durante la durata dell'attacco.

Gli attacchi DDoS specifici che rientrano in questa categoria includono:

• Amplificazione NTP
• Inondazioni UDP

Attacchi DDoS a livello di applicazione

Gli attacchi DDoS a livello dell'applicazione si concentrano sul livello 7, il livello dell'applicazione. Ciò significa che si concentrano sul tuo server Web Apache o NGINX e sul tuo sito Web WordPress. Gli attacchi di livello 7 ottengono più risultati economici quando si tratta del danno inflitto rispetto alla larghezza di banda spesa.

Per capire perché questo è il caso, esaminiamo un esempio di attacco DDoS all'API REST di WordPress. L'attacco inizia con una richiesta HTTP, come un HTTP GET o HTTP POST da una delle macchine host. Questa richiesta HTTP utilizza una quantità relativamente insignificante di risorse sull'host. Tuttavia, sul server di destinazione può attivare diverse operazioni. Ad esempio, il server deve controllare le credenziali, leggere dal database e restituire una pagina Web.

In questo caso, abbiamo una grande discrepanza tra la larghezza di banda utilizzata dall'attaccante e le risorse consumate dal server. Questa disparità viene in genere sfruttata durante un attacco. Gli attacchi DDoS specifici che rientrano in questa categoria includono:

• Inondazioni HTTP
• Attacchi Post lenti

Attacchi DDoS basati su protocollo

Gli attacchi DDoS basati su protocollo seguono lo stesso modello di risorse di esaurimento degli altri attacchi DDoS. Tuttavia, generalmente si concentrano sulla rete e sui livelli di trasporto, al contrario del servizio o dell'applicazione.

Questi attacchi tentano di negare il servizio prendendo di mira dispositivi come i firewall o lo stack TCP\IP sottostante in esecuzione sul tuo server. Sfruttano le vulnerabilità nel modo in cui lo stack di rete del server gestisce i pacchetti di rete o nel modo in cui funziona la comunicazione TCP. Esempi di attacchi DDoS basati su protocollo includono:

• Syn inondazioni
• Ping della morte

Attacchi DDoS multivettoriali

Come ci si potrebbe aspettare, gli aggressori non si limitano a un solo tipo di attacco. Sta diventando sempre più comune per gli attacchi DDoS adottare un approccio multi-vettore. Gli attacchi DDoS multivettoriali sono proprio quello che ti aspetteresti: attacchi DDoS che utilizzano più tecniche per mettere offline un bersaglio.

Comprendere la riflessione e l'amplificazione in DDoS

Due termini che emergono frequentemente con gli attacchi DDoS sono riflessione e amplificazione. Entrambe sono tecniche utilizzate dagli aggressori per rendere più efficaci gli attacchi DDoS.

La riflessione è una tecnica in cui l'attaccante invia una richiesta con un indirizzo IP contraffatto a un ^server di terze parti. L'indirizzo IP contraffatto è l'indirizzo della destinazione. Durante questo tipo di attacchi, gli aggressori utilizzano in genere una varietà di protocolli UDP. Ecco come funziona:

1. L'attaccante invia una richiesta UDP con l'indirizzo IP contraffatto, ad esempio l'IP del tuo sito WordPress, a un gran numero di server chiamati riflettori.
2. I riflettori ricevono la richiesta e rispondono all'IP del tuo sito WordPress tutto allo stesso tempo.
3. Le risposte dei riflettori invadono il tuo sito WordPress, potenzialmente sovraccaricandolo e rendendolo non disponibile.

L'amplificazione funziona in modo simile alla riflessione. Sebbene richieda meno larghezza di banda e risorse, perché le richieste inviate ai riflettori sono molto più piccole delle risposte che i riflettori inviano al target. Funziona in modo simile a quello che abbiamo visto con gli attacchi Distributed Denial of Service a livello di applicazione.

Il ruolo delle botnet negli attacchi DDoS

Vi siete mai chiesti da dove gli aggressori ottengono le risorse per coordinare gli attacchi?

La risposta sono le botnet. Una botnet è una rete o dispositivi che sono stati compromessi da malware. Potrebbe trattarsi di un PC, server, rete o dispositivo intelligente. Il malware consente agli aggressori di controllare da remoto ogni singolo host compromesso.

Quando vengono utilizzate per DDoS, le botnet eseguono un attacco Denial of Service coordinato contro un determinato host o gruppo di host di destinazione. In breve: le botnet consentono agli aggressori di sfruttare le risorse sui computer infetti per effettuare attacchi. Ad esempio, questo è stato il caso in cui nel 2018 sono stati utilizzati oltre 20.000 siti WordPress per effettuare attacchi DDoS contro altri siti WordPress (leggi di più)..

La motivazione alla base degli attacchi Distributed Denial of Service

"Perché le persone effettuano attacchi DDoS?" è una buona domanda da porsi a questo punto. Abbiamo esaminato il motivo per cui un hacker malintenzionato avrebbe preso di mira il tuo sito WordPress in passato, ma solo uno di questi punti si applica davvero agli attacchi DDoS: l'attivismo. Se qualcuno non è d'accordo con il tuo punto di vista, potrebbe voler mettere a tacere la tua voce. DDoS fornisce un mezzo per farlo.

Anche guardare oltre l'attivismo, la guerra informatica a livello statale o gli attacchi industriali con motivazioni commerciali sono possibili driver di DDoS. E abbastanza comuni sono anche gli aggressori maliziosi, gli adolescenti che si divertono e usano gli attacchi DDoS per creare un po' di caos.

Naturalmente, uno dei più grandi motivatori è il denaro. Gli aggressori possono richiedere un riscatto per interrompere gli attacchi al tuo sito Web WordPress. Potrebbe essere che traggano vantaggio commerciale se il tuo sito è inattivo. Facendo un ulteriore passo avanti, ci sono stati DDoS per i servizi di noleggio!

Esempi reali di Distributed Denial of Service

Quanto possono essere gravi gli attacchi Distributed Denial of Service? Diamo un'occhiata ad alcuni famosi attacchi DDoS degli ultimi anni.

GitHub (due volte!): GitHub ha subito un massiccio attacco Denial of Service nel 1015. Sembrava che gli attacchi fossero rivolti a due progetti anti-censura sulla piattaforma. Gli attacchi hanno influenzato le prestazioni e la disponibilità di GitHub per diversi giorni.

Poi, nel 2018, GitHub è stato nuovamente bersaglio di un attacco DDoS. Questa volta gli aggressori hanno usato un attacco basato sul memcaching. Hanno sfruttato i metodi di amplificazione e riflessione. Nonostante le dimensioni dell'attacco, gli aggressori hanno bloccato GitHub solo per circa 10 minuti.

La nazione dell'Estonia: aprile 2007 ha segnato il primo attacco informatico conosciuto contro un'intera nazione. Poco dopo che il governo estone ha deciso di spostare la statua del Soldato di bronzo dal centro di Tallinn a un cimitero militare, si sono verificati disordini e saccheggi. Allo stesso tempo, gli aggressori hanno lanciato una serie di attacchi Distributed Denial of Service che sono durati settimane. Hanno avuto un impatto sull'online banking, sui media e sui servizi governativi nel paese.

Dyn DNS: il 21 ottobre 2016 Dyn ha subito un attacco DDoS su larga scala. A causa dell'attacco, i servizi Dyn DNS non sono stati in grado di risolvere le query degli utenti. Di conseguenza, migliaia di siti Web ad alto traffico, tra cui Airbnb, Amazon.com, CNN, Twitter, HBO e VISA, non erano disponibili. L'attacco è stato coordinato attraverso un gran numero di dispositivi IoT, tra cui web cam e baby monitor.

Suggerimenti di WordPress per la protezione dagli attacchi DDoS

Come amministratore di WordPress individuale non hai le risorse e l'infrastruttura per respingere un attacco DDoS. Sebbene molti host Web WordPress offrano una sorta di mitigazione degli attacchi DDoS. Quindi chiediglielo quando scegli un provider di hosting per il tuo sito Web WordPress. È inoltre possibile utilizzare un firewall per applicazioni Web/WordPress (WAF) e una rete di distribuzione dei contenuti (CDN) . Abbiamo accoppiato WAF e CDN in un'unica voce poiché esistono provider, come Sucuri, che li forniscono entrambi in un'unica soluzione.

Quando utilizzi un WAF o un CDN, il traffico viene prima instradato e filtrato dal servizio prima di raggiungere il tuo sito web. Questa configurazione può respingere molti attacchi al passaggio limitando i danni degli altri. Alcuni CDN offrono vantaggi che consentono il rilevamento e la risposta agli attacchi DDoS. Dal momento che possono trarre vantaggio dalle economie di scala nel cloud, CDN e WAF online possono scaricare gli attacchi. Li reindirizzano a reti che hanno molta larghezza di banda e gli strumenti giusti per gestirli.

Dissuadere gli hacker e gli attacchi DDoS

Tuttavia, come abbiamo visto con WordPress BruteForce Botnet, ci sono diverse best practice di sicurezza che puoi implementare sul tuo sito Web WordPress in modo che non attiri l'attenzione degli aggressori e possibilmente attacchi DDoS:

• Mantieni aggiornato il tuo sito WordPress: mantenere aggiornati il core di WordPress, i plug-in, i temi e tutti gli altri software che utilizzi riduce il rischio che una vulnerabilità nota venga utilizzata contro di te. Mantenere aggiornato il tuo sito riduce anche le possibilità che diventi parte di una botnet.
• Usa uno scanner per verificare le vulnerabilità: alcuni attacchi DoS sfruttano problemi come Slowloris. Questo e altri difetti di sicurezza possono essere rilevati dagli scanner di vulnerabilità. Pertanto, quando esegui la scansione del tuo sito Web e del tuo server Web, identifichi spesso le vulnerabilità che gli attacchi DDoS possono sfruttare. Ci sono una varietà di scanner che puoi usare. Utilizziamo lo scanner di sicurezza WPScan non intrusivo per gli amministratori di WordPress.
• Esamina i registri per migliorare la sicurezza e identificare i problemi: i registri di controllo di WordPress e altri registri possono aiutare a identificare precocemente comportamenti dannosi. Attraverso i log è possibile identificare i problemi che possono essere causati da attacchi DDoS, come codici di errore HTTP specifici. I log consentono inoltre di approfondire e analizzare la fonte di un attacco. Esistono diversi file di registro che gli amministratori di WordPress possono utilizzare per gestire e proteggere meglio il proprio sito Web.
• Autenticazione avanzata dell'utente: questa potrebbe essere l'ultima best practice, ma è importante come tutte le altre. Implementa politiche password complesse di WordPress per garantire che gli utenti del tuo sito Web utilizzino password complesse. Inoltre, installa un plug-in di autenticazione a due fattori e implementa criteri per rendere obbligatoria l'autenticazione a due fattori.