Attacchi DDoS: Come Proteggere il Sito Web della Tua Azienda

Che Cos'e Esattamente un Attacco DDoS?

Un attacco Distributed Denial of Service (DDoS) inonda il tuo sito web o server con cosi tanto traffico che i visitatori legittimi non riescono piu ad accedere. Immaginalo come migliaia di persone che cercano di passare contemporaneamente attraverso una singola porta. Nessuno riesce ad entrare.

La parte "distribuita" e cio che rende questi attacchi particolarmente insidiosi. Il traffico proviene da centinaia o migliaia di fonti diverse, tipicamente computer e dispositivi IoT compromessi che formano quella che i ricercatori di sicurezza chiamano una botnet. Poiche il traffico arriva da cosi tanti luoghi, non e possibile semplicemente bloccare un indirizzo IP e risolvere il problema.

Gli attacchi DDoS esistono dalla fine degli anni '90, ma sono cresciuti enormemente sia in frequenza che in scala. Nel 2024, diversi attacchi hanno superato 1 Tbps (terabit al secondo). Per dare un riferimento, e roughly equivalente allo streaming simultaneo di 200.000 video HD, tutti diretti verso un unico obiettivo.

I Tre Principali Tipi di Attacchi DDoS

Non tutti gli attacchi DDoS funzionano allo stesso modo. Capire le differenze e importante perche ogni tipo richiede una strategia di difesa diversa.

1. Attacchi Volumetrici

Gli attacchi volumetrici sono l'approccio a forza bruta. L'attaccante invia semplicemente un'enorme quantita di dati per saturare la banda disponibile. Le tecniche comuni includono:

• UDP flood - L'attaccante invia massicce quantita di pacchetti UDP a porte casuali sul server bersaglio. Il server deve controllare ogni pacchetto, rendersi conto che nessuna applicazione e in ascolto su quella porta e inviare una risposta ICMP "destination unreachable". Moltiplica questo per milioni di pacchetti al secondo e il server viene sommerso.
• Amplificazione DNS - L'attaccante invia piccole query DNS con un IP sorgente falsificato (il tuo IP) a resolver DNS aperti. I resolver inviano le loro risposte molto piu grandi al tuo server. Una query da 60 byte puo generare una risposta da 4.000 byte, dando all'attaccante un fattore di amplificazione di circa 70x.
• Amplificazione NTP - Simile all'amplificazione DNS ma utilizzando server Network Time Protocol. Il comando monlist nei server NTP meno recenti puo produrre fattori di amplificazione di 500x o piu.
• Riflessione Memcached - Sfruttamento di server Memcached mal configurati esposti a internet. Questa tecnica ha raggiunto fattori di amplificazione superiori a 50.000x in alcuni casi, rendendola uno dei vettori di attacco volumetrico piu potenti mai scoperti.

Gli attacchi volumetrici si misurano in bit al secondo (bps). Qualsiasi cosa superiore a 10 Gbps sopraffara la maggior parte delle configurazioni di hosting su singolo server.

2. Attacchi ai Protocolli

Gli attacchi ai protocolli sfruttano debolezze nei protocolli di rete (livelli 3 e 4 del modello OSI) per consumare risorse del server o delle apparecchiature intermedie come firewall e load balancer.

• SYN flood - L'attaccante invia una rapida successione di richieste TCP SYN senza completare il three-way handshake. Ogni connessione semi-aperta consuma risorse sul server. La tabella delle connessioni si riempie e il server non puo piu accettare nuove connessioni, incluse quelle legittime.
• Ping of Death - Invio di pacchetti ICMP malformati o sovradimensionati che causano il crash del sistema bersaglio. Ormai una curiosita storica, ma varianti continuano ad apparire.
• Attacchi Smurf - Trasmissione di richieste ICMP echo all'indirizzo broadcast di una rete con l'IP sorgente falsificato come indirizzo della vittima. Ogni dispositivo sulla rete invia la sua risposta alla vittima.
• Attacchi con pacchetti frammentati - Invio di pacchetti frammentati che il server non riesce a riassemblare correttamente, consumando memoria e risorse CPU.

Gli attacchi ai protocolli si misurano in pacchetti al secondo (pps). Anche tassi di pacchetti relativamente modesti possono mettere fuori uso server e apparecchiature di rete se i pacchetti sfruttano efficacemente le debolezze dei protocolli.

3. Attacchi a Livello Applicativo

Questi sono i piu sofisticati e spesso i piu difficili da rilevare perche sembrano traffico normale. L'attaccante prende di mira funzionalita specifiche della tua applicazione web.

• HTTP flood - Invio di quelle che sembrano richieste HTTP GET o POST legittime ad alto volume. Un GET flood potrebbe richiedere ripetutamente la tua pagina piu pesante (ad esempio, una pagina di risultati di ricerca con query di database complesse). Un POST flood potrebbe inviare form ripetutamente.
• Slowloris - Apertura di connessioni al tuo web server e mantenimento aperte il piu a lungo possibile inviando richieste HTTP parziali. Il server attende il completamento di ogni richiesta, e alla fine tutte le connessioni disponibili sono occupate.
• R-U-Dead-Yet (RUDY) - Simile a Slowloris ma mirato ai campi HTTP POST. L'attaccante invia un form con un header content-length molto lungo, poi invia il corpo un byte alla volta.
• Attacchi WordPress XML-RPC - Sfruttamento della funzionalita pingback in WordPress per amplificare le richieste. Questo e particolarmente rilevante data la quota di mercato di WordPress.

Gli attacchi a livello applicativo si misurano in richieste al secondo (rps). Un attacco applicativo ben congegnato puo mettere fuori uso un server con poche migliaia di richieste al secondo se ogni richiesta attiva operazioni costose.

Come si Svolge Realmente un Attacco DDoS

Ecco cosa succede tipicamente quando un'azienda viene colpita:

1. Ricognizione - L'attaccante identifica l'indirizzo IP del server, il provider di hosting e potenzialmente i pattern di traffico. Potrebbe sondare il sito alla ricerca di pagine che consumano molte risorse.
2. Attivazione della botnet - L'attaccante comanda la sua botnet (noleggiata o costruita da dispositivi compromessi) per iniziare a inviare traffico al server. Le botnet sono disponibili a noleggio sui mercati del dark web per appena 10-50 dollari all'ora.
3. Crescita del traffico - L'attacco spesso inizia lentamente e aumenta nel corso di minuti o ore. Alcuni attaccanti testano prima con brevi raffiche per valutare le difese del bersaglio.
4. Degrado del servizio - Il sito web inizia a caricarsi lentamente. Le connessioni al database vanno in timeout. Gli handshake SSL falliscono. I tassi di errore aumentano.
5. Interruzione completa - Se l'attacco sopraffara le difese, il sito va completamente offline. Gli utenti vedono timeout di connessione o pagine di errore.
6. Danni collaterali - Se sei su hosting condiviso, anche altri siti sullo stesso server possono andare giu. Il tuo provider di hosting potrebbe fare null-route del tuo IP per proteggere gli altri clienti, il che significa che il tuo sito resta giu anche dopo la fine dell'attacco.

L'Impatto Aziendale degli Attacchi DDoS

Il costo di un attacco DDoS va ben oltre il tempo di inattivita immediato.

Perdite Finanziarie Dirette

Tipo di Azienda	Costo Stimato per Ora di Inattivita
Piccolo e-commerce	$1.000 - $10.000
Medio e-commerce	$10.000 - $100.000
Grande impresa	$100.000 - $1.000.000+
Servizi finanziari	$1.000.000+

Questi numeri provengono da report di settore di Gartner e Ponemon Institute. Includono vendite perse, ricavi pubblicitari persi e penali SLA.

Danno alla Reputazione

I clienti che non riescono a raggiungere il tuo sito non aspettano. Vanno da un concorrente. Gli studi mostrano costantemente che gli utenti che sperimentano un'interruzione sono significativamente meno propensi a tornare. Per un'azienda che cerca di costruire fiducia, specialmente in settori come finanza o sanita, un'interruzione visibile mina la credibilita.

Impatto SEO

Un tempo di inattivita prolungato influisce sulle classifiche di ricerca. I crawler di Google alla fine noteranno che il tuo sito non e raggiungibile e potrebbero temporaneamente rimuovere le tue pagine dai risultati di ricerca. Se l'attacco causa disponibilita intermittente per diversi giorni, l'impatto sul traffico organico puo durare settimane.

DDoS come Diversivo

Una delle tendenze piu preoccupanti e l'uso degli attacchi DDoS come distrazione. Mentre il team di sicurezza si affanna per ripristinare il servizio, il vero attacco avviene altrove: esfiltrazione dati, installazione di malware o compromissione degli account. Diverse violazioni di dati importanti negli ultimi anni hanno utilizzato il DDoS come diversivo iniziale.

Strategia di Protezione: CloudFlare e Difesa Basata su CDN

Il singolo passo piu efficace che la maggior parte delle aziende puo compiere e mettere il proprio sito dietro un CDN con protezione DDoS integrata. Abbiamo scritto in dettaglio sui benefici dei CDN, ma ecco l'angolo specifico DDoS.

Come Funziona la Protezione CloudFlare

CloudFlare (e servizi simili come AWS Shield o Akamai) gestisce una massiccia rete globale. Quando instradi il tuo traffico attraverso CloudFlare, succedono diverse cose:

1. L'IP reale del tuo server e nascosto dietro la rete di CloudFlare. Gli attaccanti non possono prendere di mira direttamente il tuo server di origine (a meno che non conoscano gia l'IP da prima della configurazione di CloudFlare).
2. Il traffico viene distribuito attraverso la rete globale di data center di CloudFlare. Un attacco volumetrico che sovraccaricherebbe un singolo server viene assorbito attraverso centinaia di ubicazioni.
3. Il traffico malevolo viene filtrato all'edge, vicino alla sua fonte, prima che raggiunga il tuo server.
4. Il traffico legittimo passa normalmente con latenza minima aggiunta.

Il piano gratuito di CloudFlare include la protezione DDoS di base. Per aziende con profili di rischio piu elevati, i piani Pro (20$/mese) e Business (200$/mese) aggiungono protezioni piu sofisticate inclusi set di regole WAF e rate limiting avanzato.

Reti Anycast Spiegate

Anycast e la tecnica di routing che rende possibile la protezione DDoS basata su CDN. In una configurazione normale (unicast), il tuo server ha un indirizzo IP in un'unica ubicazione. Con anycast, lo stesso indirizzo IP viene annunciato da piu ubicazioni nel mondo.

Quando un attaccante invia traffico al tuo indirizzo IP, quel traffico viene automaticamente instradato al punto di presenza anycast piu vicino. Invece di concentrare l'attacco su un'unica ubicazione, il traffico viene distribuito attraverso l'intera rete. Un attacco da 100 Gbps diventa gestibile quando viene suddiviso su 200+ data center.

Rate Limiting: La Tua Seconda Linea di Difesa

Il rate limiting limita quante richieste un singolo indirizzo IP (o altro identificatore) puo fare entro una finestra temporale data. E particolarmente efficace contro gli attacchi a livello applicativo.

Implementare il Rate Limiting

Ecco un approccio pratico:

• Identifica i tuoi pattern di traffico normali - Prima di impostare i limiti, devi sapere com'e la situazione normale. Monitora il traffico per alcune settimane. Quante visualizzazioni di pagina comporta una sessione tipica? Quanto velocemente gli utenti navigano tra le pagine?
• Imposta limiti per endpoint - Pagine diverse necessitano limiti diversi. La tua homepage potrebbe legittimamente ricevere 100 richieste al minuto da un singolo IP (pensa: un proxy aziendale). La tua pagina di login non dovrebbe ricevere piu di 10 tentativi al minuto da un IP.
• Usa risposte progressive - Non bloccare immediatamente. Prima, servi un CAPTCHA. Poi blocca temporaneamente per 5 minuti. Poi blocca per un'ora. Questo riduce i falsi positivi.
• Rate limit per piu parametri oltre all'IP - Gli attaccanti sofisticati ruotano gli indirizzi IP. Considera il rate limiting per token di sessione, pattern di user agent o impronte comportamentali.

Esempio: Configurazione Rate Limiting Nginx

Una configurazione Nginx di rate limiting basilare ma efficace:

limit_req_zone $binary_remote_addr zone=general:10m rate=10r/s;
limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s;

server {
    location / {
        limit_req zone=general burst=20 nodelay;
    }
    location /api/login {
        limit_req zone=login burst=5;
    }
}

Questo permette 10 richieste al secondo per le pagine generali con una tolleranza burst di 20, e 1 richiesta al secondo per l'endpoint di login con un burst di 5.

Web Application Firewall (WAF)

Un WAF ispeziona il traffico HTTP in entrata e blocca le richieste che corrispondono a pattern di attacco noti. A differenza del rate limiting, che si occupa del volume, un WAF esamina il contenuto di ogni richiesta.

Cosa Puo Bloccare un WAF

• Tentativi di SQL injection nei parametri URL e nei campi dei form
• Payload Cross-site scripting (XSS)
• Firme di bot malevoli noti
• Richieste da nodi di uscita TOR o servizi proxy noti (opzionale)
• Richieste con header sospetti o HTTP malformato
• Restrizioni geografiche (blocca traffico da paesi dove non hai clienti)

Per gli attacchi DDoS a livello applicativo in particolare, un WAF puo rilevare pattern come richieste identiche da IP rotanti, tassi di richiesta anomali verso endpoint specifici e richieste con caratteristiche di strumenti DDoS noti.

Costruire una Difesa Multi-Livello

Nessuna singola misura ferma tutti gli attacchi DDoS. Una protezione efficace richiede livelli:

Livello 1: Rete

• Usa un servizio CDN/protezione DDoS (CloudFlare, AWS Shield, ecc.)
• Mantieni nascosto l'IP del server di origine
• Se possibile, usa anycast per la tua infrastruttura
• Assicurati che il tuo provider di hosting abbia filtraggio DDoS upstream

Livello 2: Server

• Configura il firewall per scartare traffico ovviamente malevolo (flag TCP non validi, pacchetti spoofati)
• Abilita i SYN cookie per gestire i SYN flood
• Ottimizza i parametri del kernel per carichi di connessione elevati
• Implementa timeout di connessione aggressivi

Livello 3: Applicazione

• Distribuisci un WAF con regole gestite e personalizzate
• Implementa rate limiting per endpoint
• Usa la cache in modo aggressivo per ridurre il carico del backend
• Usa elaborazione asincrona per operazioni pesanti
• Implementa circuit breaker in modo che un servizio lento non crei cascate

Livello 4: Monitoraggio e Risposta

• Configura alert per anomalie di traffico
• Prepara un runbook di risposta DDoS
• Conosci le policy DDoS del tuo provider di hosting e i contatti
• Esercita il tuo piano di risposta almeno una volta all'anno

Esempi di Attacchi Reali

GitHub (2018) - Attacco Memcached da 1.35 Tbps

A febbraio 2018, GitHub fu colpito dal piu grande attacco DDoS registrato a quel tempo: 1.35 Tbps usando amplificazione Memcached. Il traffico di GitHub passo da normale a 1.35 Tbps in meno di 10 minuti. Il loro fornitore di mitigazione DDoS (Akamai Prolexic) assorbì l'attacco e il servizio fu ripristinato in circa 20 minuti.

Dyn DNS (2016) - La Botnet Mirai

La botnet Mirai, costruita da dispositivi IoT compromessi (telecamere, DVR, router), attacco l'infrastruttura DNS di Dyn e mise fuori uso una porzione significativa di internet sulla costa orientale degli USA. Siti come Twitter, Reddit, Netflix e CNN divennero irraggiungibili. L'attacco dimostro il pericolo dei dispositivi IoT non protetti e la vulnerabilita dell'infrastruttura DNS centralizzata.

Attacchi alle Piccole Imprese - La Maggioranza Non Riportata

Per ogni attacco che fa notizia contro una grande azienda, migliaia di piccole e medie imprese vengono colpite senza alcuna copertura mediatica. Un pattern comune: un concorrente o un individuo scontento noleggia un servizio DDoS-for-hire per 20-50 dollari e mette fuori uso il sito di una piccola impresa per ore.

Abbiamo lavorato con aziende a Lugano e in tutta la Svizzera che hanno vissuto esattamente questo scenario. Nella maggior parte dei casi, mettere il sito dietro CloudFlare e implementare un rate limiting di base e stato sufficiente per prevenire attacchi ripetuti.

Passi Pratici Che Puoi Compiere Subito

1. Configura CloudFlare (o un servizio simile). Anche il piano gratuito e drasticamente migliore di nessuna protezione. Puoi farlo in meno di un'ora.
2. Nascondi l'IP di origine. Dopo aver configurato CloudFlare, assicurati che l'IP reale del server non sia esposto nella cronologia DNS, negli header email o nei sottodomini che bypassano il CDN.
3. Abilita il rate limiting sugli endpoint piu sensibili (login, ricerca, API).
4. Configura il monitoraggio. Come minimo, usa il monitoraggio uptime (come UptimeRobot o Pingdom) cosi sai immediatamente quando il tuo sito va giu.
5. Crea un piano di risposta. Chi viene chiamato? Quali sono i passaggi? Scrivilo prima di averne bisogno.
6. Testa la tua resilienza. Usa strumenti di load testing legittimi per capire i limiti di capacita del tuo sito.
7. Verifica la policy DDoS del tuo hosting provider. Alcuni provider faranno null-route del tuo IP al primo segno di attacco. Altri offrono mitigazione. Sappi quale hai.

Quando Chiamare i Professionisti

Se la tua azienda dipende dalla disponibilita web e gestisci dati sensibili o volumi di transazioni significativi, la protezione fai-da-te ha i suoi limiti. Una valutazione di sicurezza professionale puo identificare lacune nella tua difesa che potresti non vedere.

A Envestis, aiutiamo le aziende a Lugano e in tutta la Svizzera a costruire strategie di protezione DDoS multi-livello su misura per il loro specifico profilo di rischio e budget. Contatta il nostro team se vuoi un quadro chiaro di dove si trovano le tue difese e cosa deve essere fatto.