OVH NEWS | INNOVAZIONI E TENDENZE IT


Scopri, comprendi, anticipa









13/10/2017
Condividi

Articolo scritto da Hugo Bonnaffé


Tecnologia anti-DDoS: perché OVH deve continuare a investire massivamente per mantenere la protezione dei propri clienti ai massimi livelli


Una corsa contro il tempo. È così che dovremmo immaginare la lotta che OVH porta avanti da numerosi anni per proteggere i propri clienti dagli attacchi DDoS, la cui frequenza e intensità non smettono di crescere. Per essere in grado di contrastare gli attacchi futuri, dalla portata ancora difficilmente prevedibile, è necessario investire massivamente nelle tecnologie di mitigazione dei DDoS.





Una giornata ordinaria vista da un VAC (la tecnologia anti-DDoS di OVH). In verde, il traffico legittimo in entrata. In rosso, il traffico illegittimo (gli attacchi DDoS) filtrato dai nostri sistemi di protezione.



Gli attacchi DDoS, un fenomeno inevitabile



Il 2013 è stato caratterizzato da un notevole incremento degli attacchi DDoS, che hanno raggiunto picchi mai visti fino a quel momento. Da allora abbiamo preso coscienza dell’insufficienza dei primi investimenti effettuati da OVH nelle tecnologie di protezione anti-DDoS.



In seguito, abbiamo scoperto che parte degli attacchi – in particolare quelli rivolti ai clienti del settore Gaming– provenivano da un competitor poco scrupoloso che, una volta terminato l’attacco, contattava le vittime per proporre loro i propri servizi, vantandosi dell’efficacia delle proprie soluzioni.



Poco importa: come abbiamo già detto, le vie legali non possono essere l’unico strumento di lotta contro gli attacchi. Le autorità giudiziarie, con le loro unità specializzate nella cybercriminalità, si sono sicuramente mobilitate per lottare contro questo fenomeno. Ma bisogna essere realisti: le indagini sono lunghe e tecnicamente complesse, anche per via della natura internazionale delle reti che mettono a disposizione di più offerenti i mezzi per compiere gli attacchi su larga scala.



La battaglia si gioca innanzitutto sul piano tecnico: i DDoS sono un fenomeno intrinseco alla nostra attività di hosting provider. È nostra responsabilità, dunque, disporre di mezzi di protezione adeguati per limitare al minimo l’impatto degli attacchi, senza nutrire false speranze sulle loro capacità dissuasive.



Nel 2017 abbiamo registrato una media di 2.000 attacchi al giorno, di cui una ventina di forte entità (ovvero, con una portata di decine di Gbps).



Questo numero non è mai diminuito ed è sorprendente l’elenco dei Paesi che ospitano il maggior numero di bot, le macchine zombie all'origine dei più grandi attacchi DDoS. Un recente articolo sostiene che, se le vie del Signore sono imperscrutabili, i computer, i server, i cellulari e altri dispositivi connessi dal Vaticano lo sono molto meno, poiché qui la densità di bot per utente è la più alta al mondo. Forse la spiegazione di questa teoria è da ricercare nei telefoni compromessi dei turisti: è la dimostrazione che, nel campo della sicurezza informatica, i miracoli non esistono.



Condividere il costo della protezione anti-DDoS per un vantaggio comune


Nel 2013 abbiamo chiesto il contributo dei nostri clienti (con un aumento di 1 o 2 euro/mese/servizio) per implementare il più velocemente possibile il sistema VAC, la nostra protezione anti-DDoS, e recuperare così il ritardo accumulato su questo terreno.



OVH ha quindi fatto una scelta originale: non proporre questo servizio come opzione a pagamento, la pratica più diffusa, ma “offrirlo” a tutti includendolo di default nelle offerte proposte per ripartire meglio i costi.



All’epoca Octave Klaba dichiarava: “La questione non è sapere se hai bisogno di protezione anti-DDoS, ma che sarai protetto in caso di attacco. OVH è al tuo fianco per proteggere il tuo progetto 24 ore su 24 da qualsiasi attacco DDoS, a prescindere da durata e portata”.



È importante sapere che in caso di attacco, in mancanza di protezione, si verificano sistematicamente dei danni collaterali: a seconda dell'intensità dell'attacco, se non mitigato, sono i servizi dei vicini di rack del server colpito a risultare momentaneamente non disponibili.



Abbiamo quindi pensato che offrire la protezione a tutti fosse la soluzione migliore. Soprattutto perché, se molti attacchi DDoS hanno origine da motivazioni malevole o futili, alcuni possono anche costituire un mezzo di censura, come ha dimostrato l'esperto in sicurezza americano Brian Krebs. La protezione contro gli attacchi DDoS contribuisce quindi a migliorare la qualità della rete e a proteggere la libertà di espressione, a cui abbiamo sempre dato molta importanza.



Anti-DDoS di nuova generazione e implementazione internazionale


L’implementazione del VAC dal 2013 ha permesso ai clienti OVH di usufruire di un livello di protezione insuperabile per l'epoca e tutt’ora all’avanguardia. È ciò che ha dimostrato, nel settembre 2016, l'attacco record di 1 Tbps a cui OVH è stata in grado di resistere.



Il sistema VAC è molto efficiente e lavora nell'ombra per proteggere gli utenti che, nella maggior parte dei casi, si accorgono di essere stati vittime di un attacco soltanto perché inviamo loro un’email per informarli.



Nel frattempo OVH ha avviato un ambizioso piano di sviluppo internazionale, che prevede anche la costruzione di nuovi datacenter in Europa, Asia Pacifica e Nord America per accompagnare i clienti ovunque intendano estendere il proprio mercato.



Abbiamo quindi riflettuto sul modo migliore di far evolvere la tecnologia VAC, inizialmente basata su tre moduli localizzati a Roubaix, Strasburgo e Montréal, prima dell'aggiunta di un quarto a Gravelines nel 2016.



Consapevoli che la tecnologia implementata nel 2013 avrebbe presto raggiunto i propri limiti di capacità e scalabilità, negli ultimi due anni abbiamo sviluppato la nostra soluzione anti-DDoS basata su diversi livelli tecnologici: filtraggio tramite FPGA (chip informatici riprogrammabili con una capacità di trattamento superiore alle CPU), associato a server x86 dotati di accelerazione software 6WIND e che utilizzano la libreria open source DPDK, oltre all'ultima generazione di schede di rete Mellanox 100GbE. Attualmente sono più di 100.000 le linee di codice (la nostra logica di mitigazione, costantemente arricchita) che vengono eseguite nel VAC di nuova generazione made in OVH.



Per scalare la nostra protezione anti-DDoS, abbiamo sostituito innanzitutto i primi quattro VAC 40G con VAC 100G di nuova generazione con capacità unitaria di 600 Gbps. Dopodiché abbiamo iniziato a installare questi “aspiratori di traffico illegittimo” nei datacenter localizzati nelle nuove aree geografiche.



L’aumento del numero di VAC ha l’obiettivo di individuare gli attacchi il più vicino possibile alla loro sorgente, per evitare di “trasportarli” alla backbone e utilizzare la banda passante inutilmente, con il rischio di saturare alcuni collegamenti.



La diffusione del VAC di nuova generazione continua così di pari passo con la realizzazione dei nuovi datacenter. Nel 2017 OVH ha messo a punto 5 VAC aggiuntivi a Singapore, Sidney, Varsavia, Limburg (Francoforte) e Londra, portando il numero totale a 9 per una capacità complessiva di oltre 4 Tbps. Le prossime attivazioni sono previste nella costa Est degli Stati Uniti (nel futuro datacenter di Vint Hill, all'inizio di ottobre), Spagna e Italia.



La R&S continua


Parallelamente all’implementazione internazionale dell'anti-DDoS di nuova generazione continuiamo a investire nella R&S. La corsa contro il tempo a cui abbiamo fatto riferimento all’inizio è senza fine: l'intensità degli attacchi continuerà a crescere insieme alle dimensioni e alla capacità della rete Internet. Anche la loro complessità è destinata ad aumentare: proprio come noi studiamo i meccanismi degli attacchi per migliorare continuamente i nostri sistemi di mitigazione, a loro volta gli attaccanti cercano di capire il funzionamento delle nostre protezioni per tentare di aggirarle. È quindi necessario giocare sempre d’anticipo.



Le nostre statistiche del mese di settembre 2017 danno un’idea della tipologia degli attacchi DDoS contrastati da OVH:

1. UDP FLOOD (40%)

2- SYN Flood (30%)

3. TCP flood (other than SYN flood) (25%)

4- GRE (Generic Routing Encapsulation) (3%)

5. Altri (2%)

La prevalenza di attacchi UDP si spiega con la loro facilità di attuazione. Tuttavia abbiamo osservato un aumento della complessità dei meccanismi utilizzati per ogni tipo di attacco, soprattutto per quelli che utilizzano il protocollo TCP. Abbiamo inoltre notato la comparsa di nuove tecnologie, in particolare quelle basate sul GRE. I nostri indicatori mostrano che, solo a settembre 2017, sono state create un centinaio di nuove botnet che sfruttano dispositivi connessi compromessi. Il più attivo ha emesso oltre 3.000 attacchi nel corso del mese, rivolti a diversi hosting provider. Un’ulteriore dimostrazione, se ce ne fosse bisogno, che la minaccia è sempre forte anche quando non è presente sulle prime pagine della stampa internazionale.




Sono i nostri stessi utenti che sperano che le protezioni anti-DDoS vengano perfezionate. Se il VAC protegge di default tutti i clienti OVH, è anche vero che si attiva soltanto in caso di rilevamento di attacco. A questo punto filtra il traffico illegittimo per mantenere la disponibilità del server colpito. Alcuni clienti, ad esempio del settore finanziario, usufruiscono di un'opzione che permette l'attivazione permanente del VAC: per loro, il rallentamento del servizio per il tempo necessario a individuare un attacco non è accettabile, anche se di una durata media di 3 secondi.



Siamo consapevoli che questa capacità di reazione diventerà lo standard per un numero di utenti sempre maggiore. Ad esempio nel campo dell’IoT, quando il rilevamento di un pericolo deve innescare un’azione immediata.



Proprio l’IoT lancerà presto un’altra sfida: distinguere correttamente un attacco DDoS da un flusso intenso di dati provenienti da sensori connessi, la cui moltiplicazione in questo settore è esponenziale.



Insomma, attualmente i nostri VAC proteggono i clienti dagli attacchi esterni alla nostra rete. Per quanto riguarda invece quelli che hanno origine all'interno della rete OVH, vengono individuati e contrastati alla radice tramite l’isolamento dei servizi coinvolti in meno di 30 secondi. Anche se questo sistema è già efficace, vogliamo offrire una protezione ancora maggiore: per questo abbiamo intenzione di installare un sistema anti-DDoS supplementare a un livello di rete inferiore, il più vicino possibile al server, che permetterà di proteggere le macchine dagli attacchi interni con una maggiore reattività.



Del resto, è ciò che proponiamo già nei server GAME, le cui esigenze specifiche in termini di protezione anti-DDoS costituiscono una sfida tecnica stimolante che avvicina la nostra velocità innovazione a quella dei progressi compiuti nell'industria aerospaziale, di cui tutti spesso beneficiano qualche anno dopo. Per ottenere questo ulteriore livello di protezione e fornirlo a tutti, utilizzeremo la nostra tecnologia vRouter (un router virtuale su server x86 di cui stiamo dotando gradualmente i nostri datacenter), che permette di implementare le funzioni di filtraggio ad alte prestazioni.



A Roubaix è attualmente in corso un PoC e questa tecnologia è già stata implementata su 20.000 server. Stiamo inoltre sperimentando tecniche che consentano di anticipare alcuni tipi di attacchi, in modo da attivare la protezione prima che i pacchetti arrivino alla nostra rete e assicurare così una mitigazione completa.



Non vogliamo soltanto fornire una protezione anti-DDoS efficace, ma anche offrire la migliore protezione possibile. A dimostrazione di ciò, stiamo pensando di integrare nel nostro SLA il rischio di subire un DDoS. In altre parole, garantire per contratto la disponibilità dei servizi anche in caso di attacco DDoS!



L’aumento delle capacità di interconnessione: costi nascosti delle protezioni anti-DDoS


Se il costo del sistema che mitiga gli attacchi (cioè li intercetta e filtra il traffico illegittimo senza impatto su quello legittimo) è già notevole, esiste anche un costo nascosto dovuto alla necessità di aumentare le capacità di interconnessione (peering) con i vari ISP nel mondo, per evitare la saturazione dei collegamenti tra le sorgenti dei DDoS e i nostri VAC. Sempre più spesso questi peering sono a pagamento.



OVH ha bisogno di un’elevata capacità supplementare per assorbire i picchi di traffico generati da attacchi di forte intensità senza saturare la propria rete. Non basta saper gestire gli attacchi, occorre soprattutto essere in grado di incassarli. Così, dei 12 Tbps di capacità totale della nostra rete, in media ne utilizziamo realmente soltanto 3,5.



È chiaro quindi che i costi della lotta contro i DDoS non sono, in parte, correlati con il ritmo di crescita di OVH. L'intensificazione degli attacchi ci costringe a incrementare gli investimenti più velocemente di quanto cresca il nostro parco macchine.



Oggi più che mai, la sicurezza delle infrastrutture IT è al centro delle preoccupazioni delle aziende. Le minacce informatiche, dai ransomware agli attacchi DDoS, negli ultimi mesi hanno regolarmente occupato le prime pagine della stampa internazionale, accelerando senza dubbio la sensibilizzazione rispetto all’entità di questi fenomeni. Se alcuni tipi di minacce sono difficili da estirpare, è anche perché le assicurazioni considerano i cyberattacchi un mercato ad alto potenziale. Il problema dei denial of service è oggi ben gestito, a condizione di affidarsi a un provider che metta questo tema in cima alle proprie priorità e si doti dei mezzi necessari. Questo è ciò che OVH ha deciso di fare chiedendo un contributo straordinario ai propri clienti, attraverso un aumento di prezzo compreso tra 1 e 10 € +IVA/mese per VPS, istanze Public Cloud e server dedicati (server Game esclusi). Questo aumento diventerà effettivo alla fine di ottobre sui siti Web OVH per i nuovi ordini di server dedicati e VPS, e all'inizio di dicembre per la soluzione Public Cloud. I clienti esistenti, titolari di servizi interessati dall'aumento, saranno informati personalmente via email sull'applicazione delle nuove tariffe a partire dal 1° dicembre. Se hanno optato per un impegno di 3, 6 o 12 mesi, l'aumento verrà applicato al prossimo rinnovo dei servizi.