DDoS protection multilivello: scrubbing >1 Tbps, threat intel e BGP Flowspec

Gli attacchi DDoS volumetrici hanno cambiato scala. Le campagne osservate negli ultimi trimestri superano regolarmente il terabit al secondo, con vettori sempre più sofisticati che combinano reflection, amplification e tecniche di carpet bombing su interi prefissi. In questo scenario, un singolo apparato di mitigazione non è più sufficiente: serve un’architettura.

Scrubbing distribuito oltre 1 Tbps

La capacità di scrubbing di Nexim Italia supera 1 Tbps ed è distribuita su più punti di presenza. Questo consente di assorbire il traffico anomalo vicino al suo ingresso in rete, ripulirlo dai pacchetti malevoli e restituire ai clienti solo traffico legittimo, senza introdurre latenza aggiuntiva significativa sui servizi in produzione.

Threat intelligence e correlazione

La capacità di banda serve poco senza contesto. Per questo l’infrastruttura è alimentata da feed di threat intelligence aggiornati in continuo, che permettono di riconoscere:

  • botnet note e infrastrutture di comando e controllo;
  • pattern tipici di reflection/amplification (DNS, NTP, memcached, CLDAP);
  • attacchi application-layer a bassa intensità ma alta persistenza;
  • anomalie comportamentali sui flussi legittimi.

La correlazione tra intelligence e telemetria di rete consente al SOC di intervenire prima che l’attacco saturi i link.

BGP Flowspec: mitigazione a monte

Uno dei componenti più efficaci dell’architettura è BGP Flowspec (RFC 8955). Le regole di filtering vengono propagate automaticamente sui router di edge e, dove applicabile, verso i peer upstream. Il traffico malevolo viene così scartato il più vicino possibile alla sorgente, con tre benefici concreti:

  1. riduzione del consumo di banda sulle dorsali;
  2. tempi di reazione nell’ordine dei secondi;
  3. granularità elevata nei criteri di match (protocollo, porta, lunghezza pacchetto, TCP flag).

Continuità operativa come requisito, non come opzione

Per un datacenter in colocation TIER III/IV, per un’infrastruttura enterprise o per un evento live broadcast, la disponibilità della connettività è un requisito contrattuale. La qualità della difesa DDoS diventa quindi parte integrante dello SLA, non un servizio accessorio.

Un’architettura multilivello — scrubbing, intelligence, Flowspec — non elimina il rischio, ma lo rende gestibile e prevedibile. Ed è questo, oggi, il vero indicatore di maturità di un operatore di rete.