Che cos’è un attacco DDoS?

Il significato e i 5 attacchi principali

Attacco DDoS

Immagina di essere il proprietario di un bar. Un giorno apri il bar e le persone si affollano nel tuo locale. Giornata intensa, pensi, ottima per gli affari. Beh, sarà davvero una giornata molto impegnativa, ma di certo non farai buoni affari. Le persone si siedono ma non ordinano. Continuano ad arrivare, occupano spazio e impediscono ai tuoi veri clienti di ordinare. Alla fine, l’afflusso bloccherà completamente l’accesso al tuo bar, negando il servizio ai tuoi veri clienti.

Un attacco DDOS funziona proprio così.

Sommario: Lo scopo di un attacco DDoS è quello di far crollare siti web e reti. È una forma di crimine informatico che invia un flusso continuo di traffico falso ai servizi online, come i siti web, fino a quando non si bloccano o crollano. È difficilissimo arrestarlo: anche i principali siti web sono state vittime di attacchi DDos in passato. Continua a leggere per scoprire gli attacchi DDoS più comuni.

DDos Attack

Cos’è un attacco DDoS?

DDoS (acronimo di Distributed Denial of Service) rende un servizio online non disponibile bombardandolo con traffico proveniente da più fonti.

È un tipo di attacco Denial of Service (DoS). Un attacco DoS è un attacco proveniente da un’unica fonte: una sola connessione di rete o un dispositivo compromesso. Gli attacchi DDoS, al contrario, sono attacchi che provengono da più fonti.

In sostanza, un attacco Denial of Service è ogni metodo per impedire agli utenti reali di accedere a una risorsa di rete. Il bar nella precedente analogia può essere qualsiasi tipo di risorsa online, ad esempio un server di gioco o un sito web.

Quando il server o il sito web è sotto attacco DDoS non potrà servire al suo vero scopo: l’attacco sovraccarica il sito web o il server di gioco con traffico falso, quindi gli utenti (il traffico reale) non potranno accedere al server di gioco o visitare il sito web.

La maggior parte degli attacchi DDoS viene implementata tramite una “botnet”, una rete di bot o una rete connessa a Internet di dispositivi compromessi controllati da un hacker. Le botnet possono spaziare notevolmente: da una manciata di dispositivi a milioni, letteralmente. Peggio ancora, dato che la maggior parte delle botnet utilizza risorse compromesse, i reali proprietari dei dispositivi non sanno nemmeno di essere complici di attacchi DDoS.

La moltiplicazione delle fonti amplifica l’efficacia dell’attacco e allo stesso tempo aiuta a nascondere l’identità dell’autore.

Tipi di attacco DDoS

Per capire meglio come bloccare un attacco DDoS, dovrai prima avere un’idea dei diversi tipi. Gli attacchi DDoS si suddividono in tre ampie categorie, che si differenziano in base all’obiettivo dell’attacco:

1. Attacchi basati sul volume – Come suggerisce il nome, questo tipo di attacco DDoS sfrutta il volume. Gli attacchi DDoS basati sul volume sono anche, non a torto, denominati “flood” (inondazioni). Si tratta del tipo più basilare ed è l’essenza stessa di un attacco DDoS.

2. Attacchi al protocollo – Questo tipo di attacco DDoS invia ondate di bot a protocolli specifici: ad esempio i web balancer, i firewall o i web server che comprendono la risorsa di rete che l’attacco sta tentando di far crollare.

3. Attacchi alle applicazioni – Considerati il tipo più grave e sofisticato di attacco DDoS, questi attacchi prendono di mira le applicazioni web sfruttandone le vulnerabilità. Il funzionamento degli attacchi alle applicazioni (denominati anche attacchi Layer 7) è identico, ma richiede molta meno forza bruta perché si concentra sui punti deboli all’interno dei server target. Occorre molto meno traffico bot per monopolizzare processi e protocolli specifici all’interno di questi punti deboli, quindi è molto più difficile rilevare l’attacco, perché il volume ridotto di traffico generato può sembrare autentico.

I 5 attacchi DDoS più utilizzati

Gli attacchi DDoS più utilizzati derivano dalle tre ampie categorie riportate in precedenza:

1. UDP flooding

Le applicazioni utilizzano protocolli di comunicazione per connettersi tramite Internet. I protocolli più utilizzati sono Transmission Control Protocol (TCP o talvolta TCP/IP, dove IP sta per Internet Protocol) e User Datagram Protocol (UDP o UDP/IP). Inviano pacchetti di dati su Internet per stabilire connessioni e inviare correttamente i dati.

L’UDP flooding è esattamente quello che ti potresti aspettare: un attacco al protocollo DDoS che colpisce UDP.

L’autore dell’attacco invia informazioni false ai pacchetti UDP target: la risorsa di rete presa di mira non sarà in grado di associare il pacchetto UDP alle applicazioni corrette e restituirà un messaggio di errore. Ripetendo questo processo per un numero sufficiente di volte, è possibile sovraccaricare il sistema, che smetterà di rispondere.

2. DNS flooding

I Domain Name Servers (DNS) sono server informatici che traducono gli URL dei siti web nei loro indirizzi IP. Ad esempio, quando visiti Facebook per metterti in contatto con amici e parenti, digiti Facebook[.]com nel tuo browser; in questo caso comunichi al tuo computer di visitare uno degli indirizzi IP di Facebook (Facebook ne ha molti, considerando il suo traffico). Un indirizzo IP di Facebook è 66.220.144.0.

I server DNS traducono il nome del sito web che conosci nei relativi indirizzi IP.

Che cosa accadrebbe se si sfruttasse un attacco DDoS per inondare i server DNS affinché non possano svolgere la loro funzione? È proprio questo l’obiettivo del DNS flooding.

3. SYN flooding

Una richiesta SYN fa parte di una sequenza di connessione “three-way handshake” eseguita tramite TCP. Non preoccuparti, potrebbe sembrare tecnico, ma è piuttosto semplice.

Innanzitutto, viene inviata una richiesta SYN (sincronizzazione) a un host. In seguito, l’host invia una risposta SYN-ACK (sincronizzazione-riconoscimento). Infine, l’host che ha richiesto il three-way handshake finalizza il protocollo con una risposta ACK (riconoscimento). Questo processo consente ai due host o computer di negoziare il modo in cui comunicano.

Un SYN flood interrompe il three-way handshake nella prima parte. Un utente malintenzionato invia più richieste SYN da falsi indirizzi IP o semplicemente non risponde alla risposta SYN-ACK dal target. Il sistema target continua ad attendere l’ultima parte del three-way handshake, la risposta ACK, per ogni richiesta.

Con velocità e volumi sufficienti è possibile vincolare le risorse del sistema target fino a creare nuove connessioni: il risultato di tutto ciò è la negazione del servizio (Denial of Service).

4. HTTP flooding

HTTP sta per Hypertext Transfer Protocol ed è la base del trasferimento dei dati su Internet. In effetti, dovresti vedere il protocollo HTTP nella barra degli indirizzi del tuo browser, dove la “S” aggiuntiva significa HTTP sicuro.

Come tutti gli altri protocolli, HTTP utilizza alcuni tipi di richieste per inviare o richiedere informazioni, come HTTP POST e GET. Generalmente, l’HTTP flooding viene impiegato quando gli hacker acquisiscono informazioni utili da un sito web e fanno sparire le proprie tracce attraverso numerosissime richieste HTTP POST o GET che sovraccaricano l’applicazione web o il server.

Questo metodo utilizza meno larghezza di banda, ma può forzare i server a massimizzare le loro risorse.

5. ICMP (Ping) flooding

ICMP (Internet Control Message Protocol) è un protocollo di segnalazione degli errori utilizzato comunemente, tra gli altri strumenti, dall’utilità di diagnostica ping. Fondamentalmente, si esegue il “ping” di un sito web per verificare se è possibile accedervi. I risultati del ping possono comunicarti alcuni tipi di problemi nella connettività, che costituiscono un buon punto di partenza per la soluzione.

Un ping invia un piccolo pacchetto di informazioni alla risorsa di rete target (es. sito web) e tale risorsa rinvia un pacchetto di informazioni di dimensioni simili.

Il ping flooding è semplicemente un’inondazione di richieste ping, così tante che la larghezza di banda della rete del sistema preso di mira si intasa cercando di rispondere ad ogni richiesta.

Un altro attacco DDoS che utilizza il ping è chiamato Ping of Death, che invece di utilizzare volumi elevati di pacchetti di dati di dimensioni simili, elude le misure di sicurezza e invia pacchetti di dati sovradimensionati o malformati per sovraccaricare il sistema preso di mira.

Come arrestare un attacco DDoS

È difficile identificare gli attacchi DDoS. Un amministratore di sistema che esegue la manutenzione o perfino un problema tecnico relativo a particolari risorse di rete può causare sintomi simili a un attacco DDoS. Tuttavia, è meglio rimanere vigili e osservare in maniera approfondita l’eventuale presenza di prestazioni insolitamente lente e di servizi non disponibili.

È possibile configurare la protezione DDoS attraverso il monitoraggio del traffico di rete e analizzarla tramite firewall monitorati o sistemi di rilevamento delle intrusioni, in grado di rilevare e identificare gli attacchi DDoS. Gli amministratori di sistema possono anche impostare allerte per attività di traffico anomale, come carichi di traffico insolitamente elevati o cali di pacchetti di rete che soddisfano determinati criteri.

Purtroppo però, i moderni attacchi DDoS possono essere così estesi e sofisticati che è quasi impossibile risolverli da soli: dovrai contattare il tuo ISP o uno specialista di mitigazione DDoS per bloccare completamente la minaccia.

Se stai subendo un attacco, puoi mettere in pratica alcune procedure per guadagnare tempo e metterti in contatto con il tuo ISP o un esperto:

  • Aumento dell’ampiezza di banda: aumenta la disponibilità della larghezza di banda di diverse volte rispetto al tuo limite attuale per far fronte a improvvisi picchi di traffico.
  • Difendi il perimetro della rete del tuo web server: puoi attenuare gli effetti di un attacco DDoS in corso modificando alcuni parametri di rete.
  • Limitando la velocità del router aiuti a prevenire il sovraccarico del tuo web server.
  • Aggiungendo filtri, il tuo router potrà identificare le fonti di attacco più ovvie.
  • Crea timeout più aggressivi per le connessioni semiaperte. Alcuni degli attacchi DDoS più comuni sfruttano i protocolli semiaperti per bloccare la tua larghezza di banda. Timeout più aggressivi aiutano a chiudere i vettori di attacco DDoS in corso.
  • Getta i pacchetti di dati malformati e falsificati.
  • Imposta soglie di drop inferiori per SYN, UDP e ICMP, tre degli attacchi DDoS più comuni.

Una volta che hai messo in pratica queste procedure, puoi guadagnare tempo sufficiente per permettere all’ISP di gestire l’attacco DDoS o per permettere a un esperto di mitigazione di risolverlo.

Inoltre, le società di sicurezza Internet offrono prodotti e servizi che possono aiutare a prevenire gli attacchi e aumentare i livelli di protezione DDoS. Il modo migliore per prevenire, identificare e bloccare gli attacchi DDoS è attraverso il software di protezione DDoS.

Fonti (in inglese)

 

    Articoli Correlati:

    Le migliori antivirus
    AdWare
    Antivirus
    Attacco DDoS
    Botnet
    Crimine informatico
    Exploit
    Furto d’identità
    Hacking
    Ingegneria sociale
    Keylogger
    Malware
    Phishing
    Ransomware
    Rootkit
    Scam
    Spam
    Spoofing
    Spyware
    SQL injection
    Trojan
    Virus informatico
    Worm
    Zero-Day

    Sei protetto?

    Le botnet sono responsabili di alcuni tra i maggiori attacchi informatici Gli attacchi DDoS colpiscono i siti web, non gli utenti, quindi, a meno che tu non possieda un sito web, sei al sicuro da questa minaccia. 

    CONFRONTA ANTIVIRUS
    CONFRONTA ANTIVIRUS