Cosa sono e come proteggerci dagli attacchi DDoS (Distributed Denial of Service)

Redazione RHC : 22 Marzo 2023 08:24

Gli attacchi DDoS (Distributed Denial of Service) rappresentano una delle minacce più comuni per i siti web, i server e altre infrastrutture online. Nello specifico, si tratta di un genere di attacco che cerca di saturare i server di destinazione con un gran numero di richieste di traffico, impedendo agli utenti legittimi di accedere alle risorse online.

In questo articolo, andremo ad esaminare come avvengono gli attacchi DDoS, le tecniche ad oggi utilizzate, chi effettua gli attacchi, le soluzioni messe a disposizione dal cybercrime e come possono essere mitigati.

Come avviene un attacco di Distributed Denial of Service

Gli attacchi DDoS sono attuati principalmente da delle botnet, ovvero da un insieme di computer compromessi da un malware. Questi computer, noti anche come bot, sono controllati da un criminale informatico che li utilizza per inviare una grande quantità di richieste di traffico anomalo ad un server di destinazione.

Questo processo di invio di traffico avviene in modo simultaneo e coordinato da tutti i bot, il che rende difficile per il server distinguere le richieste legittime da quelle dannose. Gli attacchi DDoS possono essere eseguiti con diversi metodi.

Tipologie e tecniche di attacco

Esistono molte forme di attacco che consentono a dei malintenzionati di compromettere la disponibilità dei servizi online attraverso la saturazione della rete o l’overload del server. Questo capitolo fornisce una lista delle tecniche di attacco DDoS più comuni, come il “TCP SYN flood”, il “UDP flood”, il “HTTP flood”, l'”ICMP flood” e altri.

Comprendere le diverse tecniche di attacco DDoS è essenziale per adottare misure di sicurezza adeguate per mitigare questi attacchi e proteggere la propria infrastruttura online. In questo modo, le aziende e gli utenti finali possono mantenere i propri servizi disponibili e funzionanti, proteggendo allo stesso tempo la propria reputazione e la fiducia dei clienti.

1. Attacco di flooding a livello di rete: questo attacco prevede l’invio di una grande quantità di pacchetti in una rete in modo da saturare la larghezza di banda della vittima.
2. Attacco di flooding a livello di applicazione: in questo attacco, il malintenzionato invia un elevato numero di richieste legittime all’applicazione o al sito web della vittima, sovraccaricando così la capacità del server.
3. Attacco di amplificazione: in questo attacco, il malintenzionato invia una richiesta a un server di terze parti con un falso indirizzo IP della vittima. Il server di terze parti risponde con una grande quantità di dati inviati alla vittima, sfruttando la vulnerabilità di amplificazione.
4. Attacco di ping of death: questo attacco sfrutta la vulnerabilità del protocollo ICMP inviando pacchetti di ping di grandi dimensioni che superano la capacità di elaborazione del sistema.
5. Attacco di slowloris: in questo attacco, il malintenzionato invia richieste HTTP incomplete al server, mantenendo aperta ogni connessione il più a lungo possibile, in modo da limitare la disponibilità di risorse del server.
6. Attacco di DNS reflection: in questo attacco, il malintenzionato sfrutta i server DNS pubblici per inviare un grande volume di richieste DNS falsificate alla vittima, sovraccaricando così il server.
7. Attacco di HTTP GET: in questo attacco, il malintenzionato invia un grande volume di richieste HTTP GET al server, in modo da esaurire la sua capacità di risposta.
8. Attacco di SYN flood: in questo attacco, il malintenzionato invia un elevato numero di richieste di connessione SYN al server, ma non completa la connessione. Il server quindi deve elaborare un grande volume di connessioni incomplete, impedendo l’accesso alle connessioni legittime.
9. Attacco di Smurf: in questo attacco, il malintenzionato sfrutta la vulnerabilità del protocollo ICMP inviando pacchetti di ping a una rete di computer utilizzando l’indirizzo IP della vittima, facendo sì che la rete risponda con una grande quantità di traffico in ingresso.
10. Attacco di HTTP POST: in questo attacco, il malintenzionato invia un grande volume di richieste HTTP POST al server, sovraccaricando la sua capacità di elaborazione.
11. Attacco di UDP flood: in questo attacco, il malintenzionato invia un grande numero di pacchetti UDP al server, in modo da saturare la sua capacità di elaborazione.
12. Attacco di TCP reset: in questo attacco, il malintenzionato invia pacchetti TCP RST al server, interrompendo le connessioni attive.
13. Attacco di IoT botnet: in questo attacco, il malintenzionato sfrutta dispositivi IoT (Internet of Things) compromessi, come router e telecamere di sorveglianza, per inviare una grande quantità di traffico alla vittima.
14. Attacco di application layer DDoS: in questo attacco, il malintenzionato invia richieste legittime ad un’applicazione o a un sito web della vittima, ma con lo scopo di sovraccaricare la capacità di elaborazione dell’applicazione piuttosto che la larghezza di banda della rete. Questo attacco è spesso associato alla tecnica di “slow http attack”.
15. Attacco tramite botnet: in questo attacco, il malintenzionato utilizza una rete di computer compromessi (botnet) per inviare un grande volume di traffico alla vittima, sovraccaricando la capacità del server.

Le motivazioni di un attacco DDoS

Gli attacchi DDoS possono essere motivati da una varietà di ragioni, tra cui l’hacktivismo cibernetico, la rivalità tra nazioni o gruppi, o il desiderio di estorcere denaro.

L’hacktivismo cibernetico è una forma di protesta online che mira a promuovere un’agenda politica o sociale. Gli attacchi DDoS sono una delle tecniche più utilizzate dagli hacktivist per rendere inaccessibili i siti web o i servizi online di organizzazioni o enti che ritengono responsabili di un comportamento scorretto o ingiusto.

Inoltre, gli attacchi DDoS possono essere utilizzati come arma in conflitti internazionali. Ad esempio, durante il conflitto tra Russia e Ucraina, si è verificato un aumento significativo degli attacchi DDoS, presumibilmente a causa della rivalità tra le due nazioni.

Infine, gli attacchi DDoS possono essere utilizzati come tattica di estorsione, in particolare dopo un attacco ransomware. In questo caso, gli aggressori minacciano di intensificare gli attacchi DDoS a meno che la vittima non paghi il riscatto richiesto per ripristinare l’accesso ai propri dati.

In generale, gli attacchi DDoS sono un metodo relativamente economico e semplice per infliggere danni online, e rappresentano una minaccia per la sicurezza informatica globale. È importante che le organizzazioni adottino misure di sicurezza adeguate per mitigare gli attacchi DDoS e prevenire la compromissione dei propri sistemi.

Quali sono i danni che infligge un attacco DDoS?

Un attacco DDoS può causare una serie di danni a un sistema informatico o a un’intera rete. Ecco alcuni dei possibili effetti negativi di un attacco DDoS:

1. Interruzione dei servizi: un attacco DDoS può causare l’interruzione di servizi online, come siti web, applicazioni o servizi cloud, rendendoli temporaneamente inaccessibili. Questo può causare notevoli perdite economiche per le aziende e un danno reputazionale.
2. Degrado delle prestazioni: anche se un attacco DDoS non interrompe completamente un servizio, può comunque causare un degrado delle prestazioni, rallentando i tempi di risposta e causando tempi di attesa elevati. Ciò può influire negativamente sull’esperienza dell’utente e sulla soddisfazione del cliente.
3. Perdita di dati: un attacco DDoS può essere utilizzato come diversivo per coprire un attacco informatico più avanzato, come una violazione dei dati. Ciò può portare alla perdita di informazioni sensibili, come informazioni personali, finanziarie o commerciali.
4. Costi aggiuntivi: mitigare gli effetti di un attacco DDoS può comportare costi elevati per le aziende, come l’acquisto di strumenti di protezione e la manodopera necessaria per affrontare l’attacco.
5. Problemi di reputazione: un’azienda che subisce un attacco DDoS può subire danni alla propria reputazione, poiché gli utenti possono percepire l’incapacità dell’azienda di garantire la sicurezza dei propri servizi.
6. Rischi per la sicurezza: un attacco DDoS può anche essere utilizzato per compromettere la sicurezza del sistema informatico o della rete, aprendo la porta ad altri attacchi informatici o a malware. Ciò può mettere a rischio non solo la sicurezza dei dati, ma anche la sicurezza fisica degli utenti, come nel caso di attacchi a sistemi di controllo industriale o di sicurezza pubblica.

Come mitigare gli attacchi DDoS

Ci sono alcune misure che le organizzazioni possono adottare per mitigare gli attacchi DDoS, inclusi quelli di tipo “slow http attack”. Ecco alcuni suggerimenti:

1. Utilizzare una soluzione anti-DDoS: Le organizzazioni possono utilizzare una soluzione anti-DDoS come un firewall o un servizio di protezione anti-DDoS fornito da un provider di servizi gestiti. Queste soluzioni possono rilevare gli attacchi DDoS e bloccare il traffico malevolo prima che raggiunga il server della vittima.
2. Configurare un bilanciamento del carico: Un bilanciamento del carico può aiutare a distribuire il traffico tra più server, prevenendo il sovraccarico di uno specifico server e garantendo un migliore livello di servizio.
3. Aggiornare regolarmente il software: Assicurarsi di avere il software e i sistemi operativi aggiornati con le patch di sicurezza più recenti può aiutare a prevenire gli attacchi DDoS che sfruttano le vulnerabilità conosciute.
4. Limitare l’accesso ai servizi: Ridurre il numero di servizi disponibili per il pubblico e limitare l’accesso solo a utenti autorizzati può aiutare a ridurre l’impatto di un attacco DDoS.

Per quanto riguarda gli attacchi di tipo “slow http attack”, una soluzione anti-DDoS in grado di rilevare e bloccare i pacchetti di traffico maliziosi può essere efficace, ma esistono anche alcune altre misure che possono essere utili:

1. Utilizzare un web application firewall (WAF): Un WAF può aiutare a proteggere le applicazioni web da attacchi come i “slow http attack” filtrando il traffico in ingresso e bloccando i pacchetti malevoli.
2. Configurare il timeout delle sessioni: Configurare il timeout delle sessioni per interrompere le connessioni inattive può aiutare a prevenire gli attacchi “slow http” che sfruttano le connessioni a bassa velocità.
3. Utilizzare CDN: Utilizzare una rete di distribuzione dei contenuti (CDN) può aiutare a distribuire il traffico e mitigare gli effetti degli attacchi “slow http”.

In generale, le organizzazioni dovrebbero adottare una serie di misure di sicurezza per proteggere i propri sistemi da attacchi DDoS, e dovrebbero essere pronte a rispondere tempestivamente in caso di attacco.

Che cosa si intende per geolocking

Sempre all’interno delle “Mitigazioni” degli attacchi DDoS esiste il “geolocking”. Per geolocking si intende una tecnica utilizzata per mitigare gli attacchi DDoS (Distributed Denial of Service) che consiste nel bloccare il traffico in ingresso proveniente da specifici paesi o regioni geografiche.

Questa tecnica si basa sull’idea che gli attacchi DDoS spesso provengono da botnet costituite da computer o dispositivi infettati in tutto il mondo, ma concentrati in un numero limitato di regioni geografiche. In questo modo, bloccando il traffico in ingresso proveniente da queste regioni, si può ridurre significativamente l’impatto dell’attacco DDoS sul sistema o sulla rete.

Il geolocking può essere implementata utilizzando vari metodi, tra cui l’utilizzo di software di firewall o di servizi di mitigazione DDoS che consentono di selezionare le regioni geografiche da bloccare. È importante notare che la geolocking non è una soluzione completa per la mitigazione degli attacchi DDoS, in quanto può anche bloccare traffico legittimo proveniente da utenti in quelle regioni geografiche. Pertanto, la geolocking dovrebbe essere utilizzata con cautela e in combinazione con altre tecniche di mitigazione degli attacchi DDoS.

Gli strumenti messi a disposizione dal cybercrime

l cybercrime mette a disposizione diverse soluzioni per affittare botnet e condurre attacchi DDoS, spesso attraverso il dark web o mercati clandestini online. Queste soluzioni includono:

1. Botnet-as-a-Service (BaaS): Questo è un servizio in cui i criminali cibernetici affittano le loro botnet, che sono costituite da una rete di dispositivi infettati e controllati a distanza, per condurre attacchi DDoS contro i loro obiettivi. I servizi BaaS possono essere acquistati su mercati clandestini online o tramite contatti all’interno della comunità hacker.
2. Stresser e booter: Sono servizi online a pagamento che forniscono accesso a una vasta rete di botnet, utilizzate per condurre attacchi DDoS. Questi servizi sono spesso pubblicizzati come strumenti legittimi per testare la resilienza del proprio sito web, ma sono utilizzati principalmente per condurre attacchi DDoS contro obiettivi selezionati.
3. Malware di controllo remoto (RAT): Questo tipo di malware consente ai criminali di assumere il controllo di un dispositivo infettato, come un computer o un dispositivo IoT, e di utilizzarlo come parte di una botnet per condurre attacchi DDoS.

È importante notare che l’utilizzo di questi servizi illegali è punibile dalla legge e può avere conseguenze gravi per gli individui coinvolti. Inoltre, le organizzazioni devono essere consapevoli dell’esistenza di queste soluzioni e adottare le misure di sicurezza necessarie per proteggere i propri sistemi da attacchi DDoS.

Conclusioni

In conclusione, gli attacchi DDoS rappresentano una seria minaccia per i sistemi e le reti informatiche. Gli attacchi DDoS possono essere utilizzati per bloccare i servizi online, rendere indisponibili i dati e danneggiare la reputazione di un’organizzazione. Tuttavia, esistono diverse tecniche per mitigare gli attacchi DDoS, tra cui la protezione a livello di rete, l’utilizzo di servizi di mitigazione DDoS e la geolockning.

La protezione a livello di rete, come l’utilizzo di firewall e router con funzionalità anti-DDoS, può aiutare a filtrare il traffico e proteggere i sistemi e le reti da attacchi DDoS. Tuttavia, le protezioni a livello di rete possono essere superate da attacchi DDoS di grande scala.

I servizi di mitigazione DDoS, come i servizi offerti da fornitori di sicurezza specializzati, possono offrire una protezione più avanzata e personalizzata contro gli attacchi DDoS. Questi servizi utilizzano tecniche sofisticate per analizzare il traffico di rete in tempo reale e filtrare il traffico di attacco, proteggendo i sistemi e le reti dalla saturazione e dal downtime.

Infine, la geolocking può essere utilizzata per bloccare il traffico proveniente da specifici paesi o regioni geografiche. Questa tecnica può ridurre l’impatto degli attacchi DDoS, ma deve essere utilizzata con cautela per evitare di bloccare il traffico legittimo proveniente da queste regioni.

In sintesi, la protezione contro gli attacchi DDoS richiede un approccio multifattoriale, che preveda l’utilizzo di più tecniche di mitigazione e la costante valutazione e miglioramento della sicurezza della rete.