Un attacco DDoS (Distributed Denial of Service) si verifica quando uno o più aggressori tentano di rendere impossibile la fornitura di un servizio ostacolando l’accesso praticamente a qualsiasi cosa: server, dispositivi, servizi, reti, applicazioni e persino transazioni specifiche all’interno delle applicazioni. In un attacco DoS, è un sistema che invia i dati o le richieste dannosi; un attacco DDoS proviene invece da più sistemi.

In genere, questi attacchi funzionano sommergendo un sistema con richieste di dati. Potrebbe essere il caso di un server Web che riceve così tante richieste per servire una pagina che si arresta in modo anomalo in base alla domanda, oppure potrebbe essere un database colpito con un volume elevato di query. Il risultato è che la larghezza di banda Internet disponibile, la capacità della CPU e della RAM vengono sovraccaricate. L’impatto potrebbe variare da un piccolo fastidio ad applicazioni o persino a intere attività offline.

Come funzionano gli attacchi DDoS?

Le botnet DDoS sono il fulcro di qualsiasi attacco DDoS. Una botnet è costituita da centinaia o migliaia di macchine, chiamate zombie o bot, di cui un hacker malintenzionato ha acquisito il controllo. Gli aggressori raccolgono le botnet identificando i sistemi vulnerabili che possono infettare con malware attraverso attacchi di phishing, attacchi di malvertising e altre tecniche di infezione di massa. Le macchine infette possono variare da normali PC domestici o d’ufficio a dispositivi Iot (la botnet Mirai ha preso di mira un esercito di telecamere CCTV hackerate) e i loro proprietari quasi certamente non sanno che sono state infettate dal momento che continuano a funzionare normalmente nella maggior parte dei casi.

Le macchine infette attendono un comando remoto da un cosiddetto server di comando e controllo, che funge da centro di comando per l’attacco ed è spesso esso stesso una macchina hackerata. Una volta partito il comando, tutti i bot tentano di accedere a qualche risorsa o servizio che la vittima mette a disposizione online. Singolarmente, le richieste e il traffico di rete diretto da ciascun bot verso la vittima sarebbero innocui e normali. Ma poiché ce ne sono così tanti, le richieste spesso sovraccaricano le capacità del sistema di destinazione e, poiché i bot sono generalmente computer ordinari ampiamente distribuiti su Internet, può essere difficile o impossibile bloccare il loro traffico senza tagliare fuori al tempo stesso gli utenti legittimi.

Esistono tre classi principali di attacchi DDoS, distinti principalmente dal tipo di traffico che inviano ai sistemi delle vittime:

  • Gli attacchi basati sul volume utilizzano enormi quantità di traffico fasullo per sopraffare una risorsa come un sito Web o un server. Includono attacchi flood ICMP, UDP e pacchetti contraffatti. La dimensione di un attacco basato sul volume viene misurata in bit al secondo (bps).
  • Gli attacchi DDoS a livello di protocollo o di rete inviano un numero elevato di pacchetti a infrastrutture di rete e strumenti di gestione dell’infrastruttura mirati. Questi attacchi al protocollo includono SYN flood e Smurf DDoS, tra gli altri, e la loro dimensione è misurata in pacchetti al secondo (PPS).
  • Gli attacchi a livello di applicazione vengono condotti inondando le applicazioni con richieste dannose. La dimensione degli attacchi a livello di applicazione viene misurata in richieste al secondo (RPS).

Le tecniche utilizzate in tutti i tipi di attacchi DDoS includono:

  • Spoofing: mettiamo il caso che un utente malintenzionato falsifichi un pacchetto IP quando modifica o nasconde le informazioni nella sua intestazione che dovrebbero dirvi da dove proviene. Poiché la vittima non può vedere la vera fonte del pacchetto, non può bloccare gli attacchi provenienti da quella fonte.
  • Riflessione: l’attaccante può creare un indirizzo IP falsificato in modo che sembri effettivamente originato dalla vittima designata, quindi inviare quel pacchetto a un sistema di terze parti, che “risponde” alla vittima. Questo rende ancora più difficile per il bersaglio capire da dove proviene veramente un attacco.
  • Amplificazione: alcuni servizi online possono essere indotti con l’inganno a rispondere a pacchetti con pacchetti molto grandi o con pacchetti multipli.

Tutte e tre queste tecniche possono essere combinate in quello che è noto come attacco DDoS di riflessione/amplificazione, che tra l’altro è diventato sempre più comune.

Come identificare gli attacchi DDoS

Gli attacchi DDoS possono essere difficili da diagnosticare. Dopotutto, assomigliano superficialmente a un flusso di traffico proveniente da richieste legittime di utenti legittimi. Ma ci sono modi per distinguere il traffico artificiale da un attacco DDoS dal traffico più “naturale” che vi aspettereste di ottenere da utenti reali. Ecco quattro sintomi di attacco DDoS a cui prestare attenzione:

  • Nonostante le tecniche di spoofing, molti attacchi DDoS hanno origine da un intervallo ristretto di indirizzi IP o da un singolo paese o regione, forse una regione da cui normalmente non si vede molto traffico.
  • Allo stesso modo, potreste notare che tutto il traffico proviene dallo stesso tipo di client, con lo stesso sistema operativo e browser web visualizzati nelle sue richieste HTTP, invece di mostrare la diversità che vi aspettereste dai visitatori legittimi.
  • Il traffico potrebbe colpire un singolo server, porta di rete o pagina Web, piuttosto che essere distribuito uniformemente sul vostro sito.
  • Il traffico potrebbe arrivare a ondate o tramite schemi regolarmente cronometrati.

attacchi DDoS

Come fermare un attacco DDoS

Mitigare un attacco DDoS è difficile perché, come notato in precedenza, l’attacco assume la forma di traffico web dello stesso tipo utilizzato dai tuoi clienti legittimi. Sarebbe facile “fermare” un attacco DDoS sul vostro sito Web semplicemente bloccando tutte le richieste HTTP e, in effetti, potrebbe essere necessario farlo per evitare che il vostro server si blocchi. Ma ciò impedisce anche a chiunque altro di visitare il vostro sito, il che significa che gli aggressori hanno raggiunto il loro scopo.

Se riuscite a distinguere il traffico DDoS dal traffico legittimo come descritto nella sezione precedente, ciò può aiutare a mitigare l’attacco mantenendo i vostri servizi almeno parzialmente online Ad esempio, se sapete che il traffico di attacco proviene da fonti dell’Europa orientale, potete bloccare gli indirizzi IP di quella regione geografica. Una buona tecnica preventiva consiste nell’arrestare tutti i servizi esposti pubblicamente che non si stanno utilizzando. I servizi che potrebbero essere vulnerabili agli attacchi a livello di applicazione possono essere disattivati senza compromettere la vostra capacità di servire le pagine web.

In generale, tuttavia, il modo migliore per mitigare gli attacchi DDoS è semplicemente avere la capacità di resistere a grandi quantità di traffico in entrata. A seconda della situazione, ciò potrebbe significare potenziare la propria rete o utilizzare una rete di distribuzione di contenuti (CDN), un servizio progettato per ospitare enormi quantità di traffico. Il vostro provider di servizi di rete potrebbe avere i propri servizi di mitigazione che potete utilizzare.

Perché esistono gli attacchi DDoS?

A differenza di un’infiltrazione di successo, un attacco DDoS non dà il controllo sull’obiettivo che si vuole colpire. Semplicemente mette offline la sua infrastruttura informatica. Tuttavia, in un mondo in cui avere una presenza sul Web è un must per qualsiasi attività commerciale, un attacco DDoS può essere un’arma distruttiva mirata a un nemico.

Le persone potrebbero lanciare attacchi DDoS per mettere offline rivali aziendali o politici: la botnet Mirai è stata progettata come arma in una guerra tra i fornitori di server di Minecraft e ci sono prove che i servizi di sicurezza russi a un certo punto stavano preparando un attacco simile. E mentre un attacco DDoS non è la stessa cosa di un attacco ransomware, gli aggressori DDoS a volte contattano le loro vittime e promettono di cessare l’attacco in cambio di un po’ di Bitcoin.

Strumenti DDoS: Booter e stresser

A volte gli aggressori DDoS sferrano questi attacchi solo per i soldi; non soldi da voi, ma da qualcuno che vuole eliminare il tuo vostro web. Strumenti chiamati booter e stresser sono disponibili sul Dark Web ed essenzialmente forniscono DDoS-as-a-Service ai clienti interessati, offrendo a un certo prezzo accesso a botnet già pronte da attivare e “scatenare” con un semplice clic del mouse.

Un attacco DDoS è illegale?

Non è illegale inviare traffico Web o richieste su Internet a un server e quindi gli attacchi DDoS, che stanno solo aggregando una quantità enorme di traffico Web, non possono essere considerati un crimine. Questo è però un malinteso legislativo. Mettendo da parte per il momento che l’atto di hackerare un computer per renderlo parte di una botnet è illegale, la maggior parte delle leggi anti-criminalità informatica negli Stati Uniti, nel Regno Unito e in molti altri paesi criminalizza qualsiasi atto che pregiudichi il funzionamento di un computer o di un servizio online, piuttosto che specificare tecniche particolari. Tuttavia, è legale simulare un attacco DDoS con il consenso dell’organizzazione target ai fini dello stress test della propria rete.

Attacchi DDoS oggi

Come accennato in precedenza, sta diventando sempre più comune che questi attacchi siano condotti da botnet noleggiate e questa tendenza è destinata a continuare. Un’altra tendenza è l’uso di più vettori di attacco all’interno di un attacco, noto anche come Advanced Persistent Denial-of-Service (APDoS). Ad esempio, un attacco APDoS può coinvolgere il livello dell’applicazione, ma può colpire anche database e agire direttamente sul server.

Inoltre, gli aggressori spesso non prendono di mira direttamente solo le loro vittime, ma anche le organizzazioni da cui dipendono, come ISP e provider di servizi cloud. Si tratta insomma di attacchi ben coordinati, di ampia portata e ad alto impatto e quindi molto più distruttivi.

Questa tendenza sta anche modificando l’impatto degli attacchi DDoS sulle organizzazioni. Le aziende infatti non si occupano più solo di attacchi DDoS su se stesse, ma di attacchi al vasto numero di partner commerciali e fornitori su cui fanno affidamento, afferma Mike Overly, avvocato di sicurezza informatica presso Foley & Lardner LLP. “Un vecchio detto sulla sicurezza è che un’azienda è sicura solo quanto il suo anello più debole. Nell’ambiente odierno (come evidenziato da recenti violazioni), l’anello più debole può essere, e spesso è, una delle terze parti”.