www.MegaLab.it

[selex]

Il mio obiettivo è quello di creare un sito web che abbia un buon livello di immunità nei confronti degli attacchi degli hacker.
1° question. Questa protezione dipende dal sito web oppure dal server che lo ospita?
In particolare, il sito web deve essere immune ai DoSHTTP '= Denial of Service attack' (il significato di DoS è <it is an attempt to make a computer resource unavailable to its intended users>). Ho effettuato due 'DoS test', su due siti web diversi; in basso è riportato il LOG dei due test.
--- --- --- START LOG
[A] Questo è il LOG del software 'DoSHTTP' x per il 1° sito
DoSHTTP 2.0 Professional Edition
HTTP Flood Testing Report
Date: 02/18/2009
Host: http://www.xxxxxx.com:80 [ho nascosto il nome del sito]
Duration: 2 minutes, 37 seconds
Requests Issued: 2557
Responses Received: 16
Requests Lost: 99,37%
Request Rate: 16,29 requests per second
[B] Questo è il LOG del software 'DoSHTTP' per il 2° sito
DoSHTTP 2.0 Professional Edition
HTTP Flood Testing Report
Date: 02/18/2009
Host: http://www.xxxxxx.com:80 [ho nascosto il nome del sito]
Duration: 3 minutes, 21 seconds
Requests Issued: 2438
Responses Received: 2172
Requests Lost: 10,91%
Request Rate: 12,13 requests per second
--- --- --- END LOG
I server che ospitano i due siti web hanno risposto im modo diverso allo 'stress test': per il primo sito le 'Responses Received' erano bassissime e quindi
il 'Request Lost' molto alto, mentre per il 2° sito i risultati sono opposti e cioè le 'Responses Received' erano altissime e quindi il 'Request Lost' molto
basso. Quindi, il 2° sito web non è sufficientemente protetto perché le richieste inviate sono state accettate al 90%, e magari il sito web è entrato in
crisi (overload); invece, il 1° sito web ha rifiutato quasi tutte le richieste ed è più sicuro.
2° question. Come posso rendere il mio sito web antiDoS come il 1° sito sottoposto a stress test? Occorre installare nel server dei software particolari o
delle apparecchiature particolari?
3° question. Mi conviene essere autonomo (mi compro un server, installo Windows Server 2008, collego il server alla mia ADSL, creo il sito web, attendo le
iscrizioni dei vari utenti)? Oppure mi conviene affidarmi ad una Hosting Agency (come quella pubblicizzata nel vostro sito: http://www.dnshosting.it/), anche perché sono 'zero' in amministrazione di server?

Grazie per la risposta.

[Al3x]

Prima di tutto mi auguro che i test di ethical hacking tu li abbia fatti con il consenso dei proprietari dei siti in questione

Detto questo ci sono diversi ordini di problemi riguardo la gestione diretta o meno di un server web\applicativo

Hardware:
nel caso di hosting non devi acquistare nulla e la manutenzione è totalmente a carico del fornitore del servizio sia che si tratti un server virtuale che fisico
Nel caso tu lo voglia tenere in casa o in housing le cose cambiano poiché nel primo caso ti devi prendere l'onere della manutenzione in prima persona, nel secondo (housing) non so però quali sono i normali termini contrattuali

Software:
nel caso di hosting non hai accesso al sistema operativo e degli applicativi di base (MySQL, MSSQL, PHP ecc.) ma ne puoi usare le funzioni.
Con l'housing mi pare invece che tu possa scegliere di gestire il tutto direttamente con l'onere di doverti occupare degli aggiornamenti, controllo della sicurezza e del patch management ecc.

Connettività:
una semplice ADSL casalinga con il suo modesto uplod non ti potrà mai dare la possibilità esporre un servizio degno di questo nome e con numeri di accesso importanti, devi per forza di cose orientarti su connessione HDSL o similari che hanno costi decisamente alti a meno di un rientro economico importante. Se non ricordo male credo siano almeno 100 euro\mese per una 2mbit simmetrica con indirizzo ip statico e pubblico (mi pare sia il prezzo richiesto da fastweb)

Con ciò non ho certo esaurito l'argomento e anzi, se qualcuno ne sa di più e meglio (spero di non aver detto caxxate), si faccia avanti

[zenith]

Ciao!
Non so dire nulla di nuovo, ma sarei interessato a conoscere (se possibile) alcuni software possibilemente gratuiti per testare il sito e il server contro attacchi di varia natura... io non ne capisco molto ma poichè con altre persone stiamo lavorando a un sito vorremmo anche testarne la sicurezza