Proteggiti contro attacchi DDos

Prevenzione illimitata da attacchi DDoS per mantenere le prestazioni e la disponibilità

La frequenza e la forza degli attacchi DDoS (Distributed Denial of Service) sono in aumento. Attraverso lo sfruttamento di milioni di dispositivi Internet-of-Things (IoT) non sicuri, la creazione di botnet con attacchi volumetrici altamente distribuiti è più facile e più incisiva che mai. Oltre ai volumi di attacco più grandi, gli sforzi si stanno spostando dalla rete e trasportano il pericolo al livello dell'applicazione (layer 7). Gli attacchi a livello di applicazione sono molto più sofisticati, spesso richiedono meno risorse per far cadere un sito Web o un'applicazione e possono interrompere le operazioni con un impatto ancora maggiore.

Gli attacchi DDoS interrompono le normali operazioni aziendali degradando le prestazioni e la disponibilità di siti Web e applicazioni, a volte rendendoli completamente offline. Il costo orario medio di inattività a causa di un guasto dell'infrastruttura è di $100.000 all'ora. Gli attacchi di questo tipo portano presumibilmente a perdita di clienti, degrado del marchio e affari mancati.

Siti Web e applicazioni richiedono la resilienza e l'intelligenza di una rete scalabile per combattere gli attacchi più grandi e di nuova concezione. La protezione dalle minacce non deve ridurre le prestazioni per latenze causate dalle misure di sicurezza e i servizi di sicurezza devono essere facili da configurare per eliminare gli errori di configurazione che possono introdurre nuove vulnerabilità.

Defend against the largest ddos attack icon

Difenditi dagli attacchi più grandi

La capacità della rete di Cloudflare è 15x maggiore del più grande attacco DDoS mai registrato. Con 20 Tbps di capacità, può gestire qualsiasi attacco distribuito moderno, compresi quelli che hanno come obiettivo l'infrastruttura DNS.

Shared Network Intelligence icon

Shared Network Intelligence

Con ogni nuova proprietà, la rete di Cloudflare diventa più intelligente. Il database di reputazione IP di Cloudflare identifica e blocca le minacce nuove e in evoluzione in tutti i 7 milioni di proprietà sulla rete.

No Performance Tradeoffs icon

Non ci sono compromessi di performance

Elimina le latenze causate dalla sicurezza integrando i servizi per le prestazioni inclusi di Cloudflare, quali CDN, smart routing, ottimizzazioni dei siti Web e i più recenti standard Web.

Tipi comuni di attacchi DDoS

ddos attack dns flood

Flood DNS

Interrompendo la risoluzione DNS, un attacco flood DNS renderà un sito Web, un'API o un'applicazione Web non performante o completamente non disponibile.

ddos attacked with dns flood

Amplificazione UDP (livello 3 e 4)

Un utente malintenzionato sfrutta la funzionalità dei risolutori DNS o NTP aperti per sopraffare un server o una rete di destinazione con traffico di richieste amplificato, in cui la dimensione del payload è maggiore della dimensione di una richiesta originaria.

ddos attacked http flood

Flood HTTP (livello 7)

Gli attacchi flood HTTP generano volumi elevati di richieste HTTP, GET o POST da più origini indirizzate al livello di applicazione e causando riduzione delle prestazioni o indisponibilità del servizio.

ddos attack http flood

Difesa con sicurezza su più livelli

L'approccio alla sicurezza su più livelli di Cloudflare combina più funzionalità di sicurezza in un servizio. Impedisce le interruzioni causate da traffico non valido, consentendo al contempo il passaggio del traffico valido e mantenendo siti Web, applicazioni Web e API altamente disponibili e performanti.

Layered DDoS attack Protection Layered DDoS Protection

Risultati principali

226.500.000

Attacchi bloccati tra agosto 2015 e novembre 2016: 500.000 attacchi al giorno, tutti non riusciti.

95%

Risparmio di larghezza di banda totale mensile.

Risparmio di $250.000

Leggi il caso studio

"Cloudflare ci ha permesso di gestire il sito della campagna del Presidente Trump a un costo molto contenuto rispetto a quello pagato dagli altri candidati, offrendoci comunque la protezione e la sicurezza necessare".

Brad Parscale

Presidente di Giles-Parscale

Digital Director della campagna di Trump

Prezzo forfettario

Tutti i piani Cloudflare offrono prevenzione illimitata e non a consumo di attacchi DDoS distribuiti, indipendentemente dalla dimensione dell'attacco senza costi aggiuntivi. Nessun cliente dovrebbe essere penalizzato da spike nel traffico di rete associati a un attacco distribuito. La protezione DDoS di Cloudflare garantisce che tutte le proprietà Internet rimangano online, matenendo i costi dell'infrastruttura prevedibili.

Flat price DDOS protection

Prevenzione attacchi storici

Gli ingegneri di Cloudflare hanno assistito a uno dei più grandi attacchi della storia. Scopri come sono stati gestiti nel nostro blog degli sviluppatori.

400 Gbps: inverno di enormi attacchi DDoS di livello 3

Durante l'inverno del 2016, Cloudflare ha mitigato il più grande attacco distribuito di livello 3 fino ad oggi. Non solo è stato fermato, ma misurato e analizzato accuratamente. Scopri di più

Dettagli su un attacco di amplificazione NTP da 400 Gbps

Gli attacchi distribuiti hanno forme diverse. In questo attacco con amplificazione a 400 Gbps, un utente malintenzionato ha utilizzato 4.529 server NTP per amplificare un attacco da un semplice server di origine a 87 Mbps.
Scopri di più

L'attacco DDoS che ha quasi rotto Internet

Cloudflare ha combattuto attacchi distribuiti storici per oltre 7 anni. Nel 2013, il 120 Gbs su Spamhaus fu considerato un grosso attacco e Cloudflare riuscì a mantenere online il proprio sito Web. Scopri di più

Altre soluzioni di sicurezza Cloudflare

prevent customer data breach diagram

Previeni la violazione dei dati dei clienti

Evita che utenti malintenzionati attacchino i dati sensibili dei clienti, come credenziali, informazioni sulla carta di credito e altre informazioni personali.

block malicious bot abuse diagram

Blocca abuso bot dannosi

Impedisci a bot abutivi di danneggiare le proprietà Internet attraverso scraping dei contenuti, completamento della transazione fraudolento e acquisizione dell'account.

Scelto da oltre 10,000,000 domini.

Funzionalità di Cloudflare

I servizi per la sicurezza e le prestazioni di Cloudflare lavorano congiuntamente per ridurre la latenza di siti Web, applicazioni mobili e API end-to-end e per proteggerti al contempo da attacchi DDoS, bot abusivi e compromissione dei dati.

Prestazioni

I servizi per le prestazioni di Cloudflare migliorano le conversioni, riducono le perdite e migliorano le esperienze dei visitatori accelerando le prestazioni del Web e dei dispositivi mobili, mantenendo al contempo le applicazioni disponibili.

  • Content Delivery Network (CDN)

    Grazie a 154 data center in 74 paesi, la rete CDN Anycast di Cloudflare memorizza nella cache i contenuti statici, riducendo la latenza attraverso il recapito delle risorse il più possibile vicino ai visitatori.
  • Ottimizzazioni del sito Web

    Cloudflare comprende una suite di ottimizzazione Web per migliorare le prestazioni delle attività Internet. Le ottimizzazioni includono i più recenti standard Web, come ad esempio HTTP/2 e TLS 1.3, oltre a miglioramenti proprietari per le immagini e i visitatori di dispositivi mobili.
  • DNS

    Cloudflare è il provider DNS gestito più veloce del mondo, con un routing di oltre il 39% di tutto il traffico DNS globale. Cloudflare ha più modi per raggiungere il massimo delle prestazioni per le attività online.
  • Load Balancing

    Cloudflare Load Balancing offre bilanciamento del carico, geo-steering, monitoraggio e failover per ambienti singoli, cloud-ibridi e multicloud, migliorando prestazioni e disponibilità.
  • Argo Smart Routing

    Argo Smart Routing migliora le performance delle risorse Internet del 35% in media instradando i visitatori attraverso i percorsi meno congestionati e più affidabili nella rete privata di Cloudflare.
  • Railgun

    Railgun è in grado di comprimere fino al 99,6% gli oggetti Web che in precedenza non erano memorizzabili nelle cache. Per questo scopo, si affida a tecniche simili a quelle usate nella compressione di video di alta qualità. Come risultato, potrai ottenere un aumento aggiuntivo delle prestazioni del 200%.
  • Stream

    Cloudflare Stream facilita lo streaming video gestendo l'archiviazione dei dati, la codifica multimediale, l'incorporamento e la riproduzione di contenuto, la distribuzione regionale e l'analisi.
  • Workers

    Cloudflare Workers consente agli sviluppatori di eseguire JavaScript Service Workers nei 154 data center Cloudflare in tutto il mondo.
  • Mobile SDK

    Mobile SDK di Cloudflare offre visibilità sulle prestazioni e sui tempi di caricamento delle applicazioni in tutte la rete operatore globale.

Sicurezza

I servizi di sicurezza di Cloudflare consentono di ridurre il rischio della perdita di clienti, ricavi e affidabilità del marchio proteggendo da attacchi DDoS, bot abusivi e compromissione dei dati.

  • Rete Anycast

    Con 154 data center in 74 paesi e 20 Tbps di capacità, la rete anycast di Cloudflare assorbe il traffico degli attacchi distribuiti disperdendolo geograficamente, pur mantenendo le proprietà Internet disponibili e performanti.
  • DNSSEC

    DNSSEC è l'ID chiamante non falsificabile di Internet. Garantisce che il traffico di un'applicazione Web venga indirizzato in modo sicuro nei server corretti affinché i visitatori del sito non possano essere intercettati da un autore di un attacco "man-in-the-middle".
  • Firewall applicazione Web (WAF)

    Il firewall applicazione Web (WAF) di classe enterprise di Cloudflare rileva e blocca vulnerabilità comuni a livello di applicazione entro il perimetro della rete, utilizzando OWASP Top 10, set di regole specifici dell'applicazione e personalizzati.
  • Limitazione di velocità

    Rate Limiting protegge le risorse critiche fornendo il controllo con granularità fine per bloccare o qualificare i visitatori con frequenza di richieste sospetta.
  • SSL/TLS

    La crittografia TLS abilita le connessioni HTTP tra i visitatori e i server di origine per prevenire attacchi di tipo "man-in-the-middle", l'analisi del pacchetto, la visualizzazione degli avvisi di attendibilità del browser Web e molto altro ancora.
  • Registrar sicuro

    Cloudflare è un registrar accreditato ICANN, che protegge le organizzazioni da dirottamento di dominio con high-touch, verifica online e offline di eventuali modifiche a un account di registrar.
  • Orbit

    Cloudflare Orbit risolve i problemi relativi alla sicurezza dei dispositivi IoT a livello di rete.
  • Argo Tunnel

    Cloudflare crea un tunnel crittografato tra il suo data center più vicino e un server di origine dell'applicazione senza aprire una porta in ingresso pubblica.
  • Workers

    Cloudflare Workers consente agli sviluppatori di eseguire JavaScript Service Workers nei 154 data center Cloudflare in tutto il mondo.
  • Access

    Consente di proteggere, autenticare e monitorare l'accesso degli utenti a qualsiasi dominio, applicazione o percorso su Cloudflare.
  • Spectrum

    Spectrum protegge le applicazioni e le porte TCP da attacchi DDoS volumetrici e dal furto di dati trasmettendo il traffico non Web tramite proxy attraverso la rete anycast di Cloudflare.

Protezione da tutti i tipo di attacchi

Dal momento che Cloudflare funge da proxy per tutto il traffico di rete, siamo in grado di proteggere l'utente da qualsiasi tipo di attacco distribuito di tipo denial-of-service, tra cui tutti i seguenti:

Livello 3/4

La maggior parte degli attacchi è indirizzata ai livelli di rete e trasporto di un sistema di comunicazione. Questi livelli sono rappresentati dai livelli 3 e 4 del modello OSI. Il cosiddetto livello "trasporto" dello stack di rete specifica il protocollo (ad esempio, TCP o UDP) attraverso il quale due host su una rete comunicano tra di loro. Gli attacchi indirizzati ai livelli 3 e 4 sono progettati per inondare un'interfaccia di rete con traffico di attacco per travolgerne le risorse e impedirle di rispondere al traffico legittimo. Più precisamente, gli attacchi di questa natura mirano a saturare la capacità di un commutatore di rete oppure a sovraccaricare la scheda di rete del server o la capacità della sua CPU di gestire il traffico dell'attacco.

Gli attacchi di livello 3 e 4 sono difficili, se non impossibili, da attenuare con una soluzione locale. Se l'autore di un attacco invia più traffico di quello che un collegamento di rete può gestire, nessuna risorsa hardware aggiuntiva riuscirà a mitigare tale attacco. Ad esempio, se disponi di un router con una porta di 10 Gbps e l'autore di un attacco invia 11 Gbps di traffico di attacco, nessuna quantità di software o hardware intelligente ti permetterà di fermare l'attacco se il collegamento di rete è completamente saturo.

Gli attacchi di livello 3/4 molto grandi quasi sempre hanno origine da diverse fonti. Ognuna di queste fondi invia traffico di attacco a un solo percorso Internet che crea un'ondata anomala che sovraccarica le risorse di destinazione. In tal senso, l'attacco è distribuito. Le fonti del traffico di attacco possono essere un ruppo di individui che lavorano insieme, botnet di PC compromessi, botnet di server compromessi, resolver DNS configurati in modo errato o persino router Internet iniziali con password deboli.

Poiché a chi lancia un attacco di livello 3/4 non interessa ricevere una risposta alle richieste inviate, i pacchetti che formano l'attacco non devono essere accurati e formattati correttamente. Gli utenti malintenzionati effettuano regolarmente lo spoofing di tutte le informazioni nei pacchetti degli attacchi, tra cui l'IP di origine, facendo in modo che l'attacco sembri provenire da un numero infinito di origini. Poiché i dati dei pacchetti possono essere interamente casuali, anche le tecniche, come il filtro IP upstream, diventano praticamente inutili.

Con Cloudflare, tutto il traffico degli attacchi che altrimenti colpirebbe direttamente la tua infrastruttura server viene automaticamente instradato nella rete anycast dei data center di Cloudflare. Una volta che il traffico dell'attacco viene spostato, siamo in grado di sfruttare la notevole capacità globale della nostra rete, così come i rack dell'infrastruttura del server per assorbire le inondazioni del traffico dell'attacco nel nostro perimetro di rete. Ciò significa che Cloudflare è in grado di impedire che anche un solo pacchetto del traffico di attacco di un tradizionale attacco di livello 3/4 riesca a raggiungere un sito protetto da Cloudflare.

Gli attacchi di amplificazione DNS

Gli attacchi al DNS con amplificazione, una forma di DRDoS, sono in aumento e sono diventati la più grande fonte di attacchi di livello 3/4. Cloudflare attenua regolarmente gli attacchi che superano i 100 Gpbs e di recente ha protetto un cliente da un attacco che ha superato i 300 Gbps, un attacco che il New York Times ha definito

In un attacco di reflection DNS, l'autore dell'attacco invia una richiesta per un grande file di zona DNS, con l'indirizzo IP di origine falsificato come l'indirizzo IP della vittma, a un gran numero di risolutori DNS aperti. I risolutori rispondono quindi alla richiesta, inviando la risposta di zona del grande DNS all'indirizzo IP della vittima. Le richieste dell'autore dell'attacco sono solo una frazione della dimensione delle risposte e permettono all'utente malintenzionato di amplificare l'attacco tanto quanto la dimensione della larghezza di banda delle risorse che controlla.

Attacco di reflection DNS senza Cloudflare

Un utente malintenzionato raccoglie risorse, come botnet o recursor DNS non protetti e imita l'indirizzo IP del bersaglio. Le risorse quindi inviano una marea di risposte al bersaglio, portandolo offline.

Unprotected DNS reflection attack

Attacco di reflection DNS con Cloudflare

Un utente malintenzionato raccoglie risorse, come botnet o recursor DNS non protetti e imita l'indirizzo IP del bersaglio. Le risorse quindi inviano una marea di risposte al bersaglio, ma vengono bloccate a livello regionale dai data center di Cloudflare. Il traffico legittimo può comunque accedere alla proprietà Web.

DNS reflection attack protection

Ci sono due criteri per un attacco di amplificazione: 1.) una query può essere inviata con un indirizzo di origine contraffatto (ad esempio, tramite un protocollo come ICMP o UDP che non richiede handshake); 2.) la risposta alla query è significativamente più grande della query stessa. DNS è una piattaforma Internet di base e universale che soddisfa questi criteri, pertanto è diventata la più grande fonte di attacchi di amplificazione.

Le query DNS vengono generalmente trasmesse tramite UDP, il che significa che, come per le query ICMP usate in un attacco SMURF (descritto di seguito), vengono fatte e dimenticate. Di conseguenza, l'attributo di origine di una query DNS può essere falsificato e il destinatario non può verificarne la veridicità prima di rispondere. Il DNS è anche in grado di generare una risposta molto più grande della query. Ad esempio, è possibile inviare le seguenti (piccole) query (dove x.x.x.x è l'IP di un resolver DNS aperto):

dig ANY isc.org @x.x.x.x +edns=0

E ricevi la seguente gigante risposta:

; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5
;; QUESTION SECTION:
;isc.org. IN ANY
;; ANSWER SECTION:
isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
isc.org. 4084 IN A 149.20.64.42
isc.org. 4084 IN MX 10 mx.pao1.isc.org.
isc.org. 4084 IN MX 10 mx.ams1.isc.org.
isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
isc.org. 4084 IN AAAA 2001:4f8:0:2::d
isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 484 IN RRSIG NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
isc.org. 484 IN RRSIG SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
isc.org. 484 IN RRSIG MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223

Questa è una query di 64 byte che ha provocato una risposta di 3.223 byte. In altre parole, un utente malintenzionato è in grado di realizzare un'amplificazione di 50 volte su qualsiasi traffico che può avviare in un resolver DNS aperto.

La rete "Anycast" di Cloudflare è stata specificamente progettata per bloccare gli attacchi di livello 3/4. Usando Anycast, siamo in grado di annunciare gli stessi indirizzi IP da ciascuno dei nostri 154 data center in tutto il mondo. La rete stessa carica le richieste nella struttura più vicina. In circostanze normali questo ci aiuta a garantire che i visitatori del tuo sito vengano automaticamente indirizzati al data center più vicino sulla nostra rete per garantire le migliori prestazioni. Quando si verifica un attacco, Anycast serve a diffondere e diluire efficacemente il traffico di attacco su tutta la nostra rete di data center. Poiché ogni data center annuncia lo stesso indirizzo IP per qualsiasi cliente di Cloudflare, il traffico non può essere indirizzato a nessuna posizione. Invece che "uno a molti", l'attacco diventa "molti-a-molti" senza un singolo punto di errore sulla rete.

Attacchi di livello 7

Una nuova generazione di attacchi è indirizzata al livello 7 del modello OSI, il livello di "applicazione". Tali attacchi si concentrano sulle caratteristiche specifiche delle applicazioni Web che creano colli di bottiglia. Ad esempio, il cosiddetto attacco Slow Read invia lentamente i pacchetti attraverso più connessioni. Poiché Apache apre un nuovo thread per ogni connessione e poiché le connessioni vengono mantenute fintanto che il traffico viene inviato, un utente malintenzionato può sovraccaricare un server Web esaurendo il relativo pool di thread in modo relativamente veloce.

Cloudflare offre protezioni da molti di questi attacchi e, parlando di casi reali, in genere riduciamo il traffico degli attacchi HTTP del 90%. Per la maggior parte degli attacchi e, per la maggior parte dei nostri clienti, ciò è sufficiente per rimanere online. Tuttavia, il 10% del traffico che attraversa protezioni tradizionali può ancora essere schiacciante per i clienti con risorse limitate o che si trovano ad affrontare attacchi molto grandi. In questo caso, Cloudflare offre un'impostazione di sicurezza definita modalità "I’m Under Attack" (IUAM).

IUAM è un livello di sicurezza che puoi impostare per un sito quando sei sotto attacco. Quando IUAM è attivato, Cloudflare aggiunge un ulteriore livello di protezione per bloccare il passaggio del traffico HTTP dannoso nel server. Mentre vengono eseguiti alcuni controlli aggiuntivi in background, una pagina intermedia viene presentata ai visitatori del sito per 5 secondi mentre i controlli vengono completati. Puoi pensare a questa cosa come a una sfida in cui i test sono automatici e i visitatori non devono mai compilare un CAPTCHA.

Layer 7 attack protection

Dopo essere stati verificati come legittimi con test automatici, i visitatori possono navigare liberament nel tuo sito. JavaScript e i cookie sono necessari per i test e per registrare il fatto che i test sono stati superati correttamente. La pagina che i visitatori vedono quando sono in IUAM può essere completamente personalizzata per riflettere il tuo marchio. La modalità I’m Under Attack non blocca i crawler del motore di ricerca o l'elenco degli elementi consentiti di Cloudflare.

Attacchi Smurf

Uno dei primi attacchi di amplificazione è noto come attacco SMURF. In un attacco SMURF un utente malintenzionato invia richieste ICMP (ad esempio, richieste ping) a un indirizzo di broadcast della rete (ad es. X.X.X.255) annunciate da un router configurato per inoltrare ICMP a tutti i dispositivi dietro il router. L'autore dell'attacco quindi falsifica l'origine della richiesta ICMP con l'indirizzo IP della vittima. Poiché ICMP non include handshake, la destinazione non ha mezzi per verificare se l'IP di origine è legittima. Il router riceve la richiesta e la passa a tutti i dispositivi che si trovano dietro di lui. Ognuno di questi dispositivi risponde quindi di nuovo al ping. L'utente malintenzionato è in grado di amplificare l'attacco per il numero di volte pari al numero di dispositivi dietro il router (ad esempio, se hai 5 dispositivi dietro il router, l'utente malintenzionato potrà amplificare l'attacco di 5 volte, vedi il diagramma seguente).

DNS Smurf attack

Gli attacchi SMURF sono una cosa nettamente del passato. Per la maggior parte, gli operatori di rete hanno configurato i propri router per disabilitare l'inoltro delle richieste ICMP inviate all'indirizzo di broadcast della rete.