Ecco una nuova guida by 28Luke
DoS e DDoS sono rispettivamente l’acronimo di Denial-of-Service e Distributed Denial-of-Service, ovvero “Negazione di un servizio”.
Questi termini si riferiscono ad un tipo di attacco il cui obiettivo è quello di esaurire le risorse rese disponibili da un server, un applicazione o un servizio in genere online, in modo tale che gli utenti “legittimi” di quel servizio non siano in grado di usarlo.
Generalmente, un attacco DDoS serio (e non opera di qualche lamer) viene condotto da un nutrito gruppo di client sparsi per il mondo che, ad un istante preciso, iniziano a “bombardare” di traffico un sito web, una rete o un servizio in genere. I client che partecipano all’attacco possono essere utilizzati deliberatamente (e consapevolmente) dai rispettivi proprietari, come ad esempio nel caso di azioni condotte da gruppi di attivisti (esempio gli "Anonymous"), oppure possono essere stati precedentemente compromessi da trojan come Zeus e SpyEye ed essere di conseguenza associati alle relative botnet.
Nello specifico al fine di rilevare un incremento anomalo di richieste di accesso ad un portale Web e quindi identificare un potenziale attacco DOS o DDOS è fondamentale monitorare sul web server ed application server:
• Utenti anonimi connessi al secondo
• Byte ricevuti ed inviati al secondo
• Tentativi di connessione al secondo
• Connessioni stabilite al secondo
• Connessioni attive totali
• Totale utenti anonimi
Altri indicatori possono essere utilizzati per identificare situazioni di potenziale pericolo, ad es. un attacco DOS tende a saturare le risorse a disposizione del portale quindi un controllo sull’utilizzo della memoria o del carico di cpu potrebbe essere un indicatore.
In particolare:
• Utilizzo percentuale del processore
• Memoria Ram disponibile
Essendo il portale un sistema complesso è necessario monitorare oltre a webserver ed application server anche il database e la macchina fisica.
Per quanto riguarda il Database:
• Numero connessioni
• Login per secondo
• Errori per secondo
• Dimensione file di log
• Tempo totale di attesa per ottenere un blocco di risorsa (latch)
• Processi in attesa di un latch per secondo
In pratica un portale web è generalmente un Sistema complesso rappresentato da Server fisici sui quali girano Server Web, Application Server e Database. Un attacco di tipo DoS o DDoS ha l’obiettivo di saturare le risorse del portale ed un efficace azione di monitoraggio deve poter monitorare la disponibilità delle risorse ed in particolare l’incremento di utilizzo delle stesse nel tempo.
ATTENZIONE: spesso, sentiamo online di utenti che eseguono attacchi DDoS a siti internet, ecco, la maggior parte delle volte sono n00b che provano ad infastidire la gente, usando per di più programmi di altre persone (esempio "LOIC"), e per di più contro siti come forumfree che non hanno la minima protezione né da attacchi DDoS, né da altri tipi di hackeraggio. In effetti, un utente che si intenda un po' di PHP (linguaggio web usato da forumfree) riesce a capire quante falle di sicurezza abbia un sito del genere. Perciò, in conclusione forumfree sta cercando di migliorare ma nel frattempo dei n00b continuano a "divertirsi" con i loro programmini, che (ovviamente) usano sul loro pc e solo su servizi come forumfree, perché se li usassero su altri servizi, gli scoppierebbe il pc perché non riuscirebbe a tener testa ai server, e l'IP suo verrebbe bannato.
Questa era la mia guida, commentate