Oggigiorno le tipologie di attacchi ai quali possono essere sottoposti i portali web sono molteplici, si va dal Cross Site Scripting, al Web Defacement sino ad arrivare agli attacchi di tipo DoS o DDoS.
In questo articolo vedremo cosa è importante monitorare su un portale web per identificare potenziali attacchi DoS o DDoS in corso.
DoS e DDoS sono rispettivamente l’acronimo di Denial-of-Service e Distributed Denial-of-Service, ovvero “Negazione di un servizio”. Questi termini si riferiscono ad un tipo di attacco il cui obiettivo è quello di esaurire le risorse rese disponibili da una rete, un applicazione o un servizio in genere, in modo tale che gli utenti “legittimi” di quel servizio non siano in grado di usufruirne.
Generalmente, un attacco DDoS viene condotto da un nutrito gruppo di clientsparsi per il mondo che, ad un istante preciso, iniziano a “bombardare” di traffico un sito web, una rete o un servizio in genere. I client che partecipano all’attacco possono essere utilizzati deliberatamente (e consapevolmente) dai rispettivi proprietari, come ad esempio nel caso di azioni condotte da gruppi di attivisti, oppure possono essere stati precedentemente compromessi da trojancome Zeus e SpyEye ed essere di conseguenza associati alle relative botnet.
Nello specifico al fine di rilevare un incremento anomalo di richieste di accesso ad un portale Web e quindi identificare un potenziale attacco DOS o DDOS è fondamentale monitorare sul web server ed application server:
- Utenti anonimi connessi al secondo
- Byte ricevuti ed inviati al secondo
- Tentativi di connessione al secondo
- Connessioni stabilite al secondo
- Connessioni attive totali
- Memoria allocata per processo (webserver, application server)
- Utilizzo CPU per processo (webserver, application server)
- Totale utenti anonimi
Secondo lo stesso principio è necessario monitorare sulla rete :
- Totale connessioni tcp inbound ed outbound
- Totale bytes ricevuti ed inviati al secondo
Altri indicatori possono essere utilizzati per identificare situazioni di potenziale pericolo, ad es. un attacco DOS tende a saturare le risorse a disposizione del portale quindi un controllo sull’utilizzo della memoria o del carico di cpu potrebbe essere un indicatore.
In particolare:
- Utilizzo percentuale del processore
- Memoria Ram disponibile
Essendo il portale un sistema complesso è necessario monitorare oltre a webserver ed application server anche il database e la macchina fisica.
Per quanto riguarda il Database:
- Numero connessioni
- Login per secondo
- Errori per secondo
- Dimensione file di log
- Tempo totale di attesa per ottenere un blocco di risorsa (latch)
- Processi in attesa di un latch per secondo
In pratica un portale web è generalmente un Sistema complesso rappresentato da Server fisici sui quali girano Server Web, Application Server e Database.Un attacco di tipo DoS o DDoS ha l’obiettivo di saturare le risorse del portale ed un efficace azione di monitoraggio deve poter monitorare la disponibilità delle risorse ed in particolare l’incremento di utilizzo delle stesse nel tempo.