Un attacco DDoS (Distributed Denial of Service) è un tentativo di rendere un sito web o un servizio online irraggiungibile, inondandolo di richieste artificiali provenienti da migliaia di dispositivi compromessi (botnet) simultaneamente. Il server, incapace di gestire il volume, rallenta fino all'arresto o restituisce errori a tutti gli utenti reali.
Il DDoS è una minaccia concreta anche per le PMI: il costo medio di un'ora di downtime per una piccola impresa online supera i 10.000 euro, considerando vendite perse, danni reputazionali e costi di ripristino. Gli attacchi DDoS si sono democratizzati: servizi criminali sul dark web permettono di acquistare un attacco a partire da pochi dollari all'ora, abbassando drasticamente la soglia di accesso per i malintenzionati.
Tipologie di attacchi DDoS
| Tipologia | Livello OSI | Come funziona | Esempio |
|---|---|---|---|
| Volumetrico | L3-L4 | Satura la banda di rete con traffico massiccio | UDP flood, ICMP flood, DNS amplification |
| Protocol | L3-L4 | Esaurisce le risorse di rete del server | SYN flood, Ping of Death |
| Applicativo (L7) | L7 | Simula richieste HTTP legittime per esaurire CPU/RAM | HTTP flood, Slowloris, attacchi a login/ricerca |
Gli attacchi di livello applicativo (L7) sono i più insidiosi per i siti web perché le singole richieste sembrano legittime: non vengono bloccate dai firewall di rete tradizionali e richiedono strumenti specifici per essere identificate e mitigate.
Come funziona la protezione DDoS
La protezione DDoS professionale opera su più livelli:
- Scrubbing center: il traffico viene deviato verso data center specializzati che filtrano le richieste malevole prima di inoltrarle al server reale. Il traffico legittimo passa, il traffico di attacco viene assorbito.
- CDN con protezione integrata: provider come Cloudflare, Akamai e AWS Shield distribuiscono il traffico su reti globali e applicano filtri di sicurezza sul perimetro, prima che le richieste raggiungano il server di origine.
- Rate limiting e challenge: limitazione del numero di richieste per IP/secondo, CAPTCHA per comportamenti sospetti, block automatico di IP con pattern anomali.
- Anycast routing: il traffico viene distribuito su più nodi geografici, rendendo impossibile saturare un singolo punto.
Protezione DDoS e WAF: la combinazione ottimale
La protezione DDoS si occupa del volume di traffico, mentre il WAF (Web Application Firewall) analizza il contenuto delle richieste per bloccare attacchi applicativi. Le due tecnologie sono complementari e spesso offerte in bundle dai principali provider di sicurezza cloud. Un sito protetto solo da WAF può subire un DDoS volumetrico che lo mette offline; un sito protetto solo da anti-DDoS può essere violato tramite una singola richiesta SQL injection ben costruita.
Segnali che il tuo sito è sotto attacco DDoS
- Improvviso aumento del tempo di risposta del sito senza variazioni di traffico legittimo
- Picchi anomali di traffico nei log del server, spesso da IP geograficamente concentrati
- Errori 503 o timeout per gli utenti reali
- Saturazione della banda o della CPU del server
- Richieste massicce a specifiche URL (pagina di login, motore di ricerca interno, form)
Come proteggersi
Per le PMI, la strategia più efficace è affidarsi a infrastrutture di hosting con protezione DDoS integrata e a CDN con mitigazione automatica. L'investimento in protezione DDoS professionale è nettamente inferiore al costo di un singolo episodio di downtime significativo.
NEO WEB seleziona infrastrutture di hosting con protezione DDoS per tutti i siti gestiti e configura layer di sicurezza aggiuntivi per siti e-commerce e applicazioni critiche. Contattaci per valutare il livello di protezione attuale del tuo sito.
