Protezione DDoS

Proteggiamo la nostra rete in modo molto efficace contro gli attacchi DDoS utilizzando software di rilevamento e prefiltri. La protezione rileva e filtra automaticamente il "cattivo traffico" e protegge gli indirizzi IP dagli attacchi DDoS.

Se volete proteggere un sito web (HTTP o HTTPS) dagli attacchi DDoS, vi consigliamo anche di usare Layer 7 Protection per una maggiore efficienza. Un attacco DDoS può essere rilevato e filtrato molto più velocemente con Layer 7 Protection. Quando si usa SSL, è opportuno memorizzare il certificato nel software del firewall.

Durante un attacco, il server rimane accessibile e si può accedere ai servizi normalmente. Le porte estranee sono bloccate finché l'attacco continua, per esempio icmp per le richieste di ping.

Informazioni sulla protezione DDoS di livello 7

Ci sono diversi tipi di attacchi DDoS (Distributed Denial of Service).
Fondamentalmente, un DDoS è un "diniego di servizio" intenzionalmente causato da un gran numero di richieste che quindi porta a un sovraccarico della rete di dati o del server. Gli attacchi DDoS possono prendere di mira diversi livelli (vedi il modello dei livelli ISO/OSI). Rispetto al passato, gli attuali attacchi DDoS prendono spesso di mira il livello superiore (livello 7). Il livello 7 è il livello dell'applicazione ed è usato per fornire funzioni per le applicazioni ed è responsabile dell'ingresso e dell'uscita dei dati. Gli attacchi Layer 7 prendono di mira specificamente i protocolli appartenenti al Layer 7, come Telnet, FTP, NNTP, HTTP o SMTP. Rispetto ad altri attacchi DDoS, gli attacchi Layer 7 richiedono molta meno larghezza di banda e pacchetti per causare l'interruzione dei servizi. Un attacco di protocollo di basso livello come il SYN flood richiede un numero enorme di pacchetti per effettuare un attacco DDoS efficace, mentre un attacco Layer 7 richiede solo un numero limitato di pacchetti per attuare un grande attacco DDoS. Il più comune degli attacchi del livello 7 è il flooding HTTP. In questo caso, una richiesta HTTP viene inviata al server interessato utilizzando notevoli risorse, e anche se il numero di pacchetti è limitato, questi sfruttano tutte le risorse del server e portano a una negazione del servizio.

La protezione Layer 7 è attivata da noi su vostra richiesta, e conserviamo anche il certificato nel software del firewall.

Cosa succede durante un attacco

• ICMP / IGMP (tra gli altri PING) viene scartato
• Le porte sorgente UDP 19, 69, 111, 123, 137, 161, 389, 520, 1434, 1900, 9987, 11211 sono limitate (10Mbit)
• I segmenti di domanda TCP / UDP (pacchetti più grandi di 1500 byte) vengono scartati
• La porta di destinazione UDP da 9000 a 9999 è strettamente filtrata dai pacchetti di Teamspeak3
• La porta di destinazione UDP da 27000 a 29000 è strettamente filtrata dai pacchetti del Source Engine
• La porta di destinazione UDP 53 è strettamente filtrata contro i pacchetti DNS e forza il troncamento TCP
• Quando HTTP Layer7 Mitigation è attivo, tutto il traffico TCP sulle porte 80 e 443 viene instradato attraverso un reverse proxy.
• Se HTTP Layer7 Mitigation è attivo, Cloudflare deve essere disattivato, altrimenti si verificherà un ciclo di risoluzione DNS.
• Tutto il traffico (tranne TCP / UDP) e viene bloccato

Tutto il resto del traffico (TCP / UDP) è rigorosamente convalidato:

• Le connessioni TCP sono possibili solo se un pacchetto TCP SYN o SYN-ACK è stato precedentemente inviato e accettato; i filtri si comportano come una sorta di firewall statico asincrono per applicazioni server. La creazione di una prima connessione (SYN o SYN-ACK) può richiedere molto più tempo o essere interrotta per la prima volta, le presenze web possono caricarsi più lentamente.
• Le connessioni UDP sono possibili solo se sono eseguite da un "client valido", lo spoofing è impedito da un confronto intelligente di tutti i parametri di connessione.

Per i nostri clienti con rete IP Per i clienti con reti IP, possiamo attivare un'API che potrete usare per controllare le funzioni di base di DDoS Protection. Con l'API, avete naturalmente anche la possibilità di dare ai vostri clienti l'accesso tramite il vostro interfaccia.

Porta per il funzionamento dei server di gioco

Le seguenti porte sono state implementate specificamente per il funzionamento dei server di gioco:

• 2300-2400: DayZ and Arma 3, come pure Arma 3 Query
• 5761-5794: Atlas
• 7000-8999: Generic Games
• 9000-9999: Teamspeak3
• 12800-13100: Hurtworld
• 19132: Minecraft Pocket Edition
• 22000-22020: Rage-MP / MTA
• 22126: Rage-MP / MTA
• 23000-23200: Battlefield
• 27000-28000: Tutti i giochi con motore grafico "Source Engine" come Counter Strike 1.6, Counter Strike Source, Counter Strike GO, The Ship, Garrys Mod, Nuclear Dawn, Call of Duty Modern Warfare 3, Starbound, Space Engineers, 7 Days to Die, Rust, Quake Live, ARK: Survival Entwickelt, Valheim, Mordhau
• 30000-32000: FiveM GTA-MP
• 36123-36128: Stormworks

Ogni attacco L3 / L4 è controllato da algoritmi filtranti. Qualsiasi deviazione dal flusso normale di un'applicazione tende ad essere trattata come un attacco.

Questi includono:

Attacchi Flood (TCP, UDP, ICMP, amplificazione DNS).

Attacchi di vulnerabilità TCP / attacchi allo stack TCP (SYN, FIN, RST, SYN ACK, URG-PSH, flags TCP)

Attacchi a frammentazione (Teardrop, Targa3, Jolt2, Nestea)

A livello di layer-7, forniamo filtri dedicati per il flood HTTP GET e HTTPS. Il filtraggio DNS è anche implementato al layer-7.