#CybersecurityCafé

di Paola Tentoni, CINECA

C’era una volta Internet e la connessione per tutti, la libera circolazione delle idee e delle cooperazioni scientifiche… Poi sono arrivati i commerci, i servizi critici e con questi i… cattivi. In modo simile è cambiato anche il panorama dei DoS (danneggiamento voluto dei servizi), evoluti poi nella forma più efficace dei DDoS, attacchi distribuiti provenienti da milioni di indirizzi diversi. Non più lo specifico bersaglio, un’applicazione web, un certo IP, non una sola modalità: “SYN Flood classico”, ma osserviamo inondazioni di pacchetti malformati, attacchi applicativi per esaurire le risorse di servizi web, oppure attacchi UDP basati su falsificazione degli IP, sfruttamento di servizi mal configurati per amplificare risposte al finto-mittente-vittima, per saturare in modo volumetrico i collegamenti Internet del bersaglio o dei suoi provider. In altre parole una gamma che impatta quasi tutta la pila ISO-OSI. In più, almeno da questo anno, le strategie degli attacchi DDoS sono contemporaneamente multiple e si distribuiscono su tanti IP della vittima (addirittura su tutte le reti instradate).

CINECA ha sperimentato tutto questo con un crescendo accanito, a partire dalla fine del 2021 fino a tutto il primo trimestre del 2022. Questo ha costretto il consorzio a mutare progressivamente le strategie di contrasto, colpo su colpo, per diminuire se non azzerare i possibili effetti sui servizi ospitati. Si può dire che ad ogni variazione di strategia è seguita una variazione nella tipologia o nel bersaglio degli attacchi, ma senza che si palesasse mai un chiaro fine: attacchi partiti verso alcuni portali web, poi tutti i portali, poi certe reti ed infine tutte le reti. Il movente è rimasto ignoto e non sono pervenuti ricatti, forse perché in fondo gli effetti sono stati contenuti? Di certo questa tipologia di attacco è quella più frustrante per chi lo subisce. Se per vulnerabilità applicative o infrastrutturali si può dare la caccia a qualcuno o qualcosa e porvi rimedio con le proprie forze (correzioni, configurazioni), l’attacco DDoS, invece, rende totalmente inefficace il contrasto “in casa”, soprattutto quando il volume (120Gbps, ad esempio) satura i collegamenti Internet.

Come risposta, CINECA ha esteso quindi la propria protezione “esterna”: i portali istituzionali, sotto lo scudo applicativo di Cloudflare dal 2021, e a marzo 2022 la barriera anti DDoS volumetrico tramite un provider esterno a GARR, prima alcune reti e poi tutte. Questo ha consentito anche di ridurre l’impatto sui link di peering della rete della ricerca, mantenendo diretto il traffico entro di essa, per non penalizzare i propri utenti istituzionali.

L’impegno congiunto CINECA e GARR per raggiungere la situazione ottimale attuale, con un ragionevole grado di confidenza e gli scongiuri d’obbligo, porta a dire che il contenimento sta funzionando, con gli attacchi che proseguono, sebbene diminuiti di portata, forse per la poca soddisfazione dell’attaccante.

In ogni caso, noi non abbassiamo la guardia!