Un attacco DDoS (Distributed Denial of Service) si verifica quando uno o più aggressori tentano di rendere impossibile la fornitura di un servizio. Ciò può essere ottenuto ostacolando l’accesso a praticamente qualsiasi cosa: server, dispositivi, servizi, reti, applicazioni e persino transazioni specifiche all’interno delle applicazioni. In un attacco DoS, è un sistema che invia i dati o le richieste dannose; un attacco DDoS proviene invece da più sistemi.

In genere, questi attacchi funzionano travolgendo un sistema con richieste di dati. Potrebbe trattarsi di inviare a un server web così tante richieste da far arrestare in modo anomalo lo stesso server, oppure potrebbe essere un database colpito da un elevato volume di query. Il risultato è che la larghezza di banda Internet disponibile e la capacità della CPU e della RAM vengono sopraffatte. L’impatto potrebbe variare da un fastidio minore dovuto a servizi interrotti fino alla visualizzazione offline di interi siti Web, applicazioni o persino dell’intera azienda.

3 tipi di attacchi DDoS

Esistono tre classi principali di attacchi DDoS:

  • Gli attacchi basati sul volume utilizzano enormi quantità di traffico fasullo per sopraffare una risorsa come un sito Web o un server. Includono attacchi ICMP, UDP e spoofing-packet flood. La dimensione di un attacco basato sul volume viene misurata in bit al secondo (bps).
  • Gli attacchi DDoS a livello di protocollo o di rete inviano un gran numero di pacchetti a infrastrutture di rete mirate e a strumenti di gestione dell’infrastruttura. Questi attacchi di protocollo includono SYN flood e Smurf DDoS, tra gli altri, e la loro dimensione è misurata in pacchetti al secondo (PPS).
  • Gli attacchi a livello di applicazione vengono condotti inondando le applicazioni con richieste pericolose. La dimensione degli attacchi a livello di applicazione viene misurata in richieste al secondo (RPS).

Per ogni tipo di attacco, l’obiettivo è sempre lo stesso: rendere le risorse online lente o completamente inaccessibili.

Sintomi dell’attacco DDoS

Gli attacchi DDoS possono assomigliare a molte delle cose non dannose che possono causare problemi di disponibilità, come un server o un sistema interrotto, troppe richieste legittime da utenti legittimi o persino un cavo tagliato. Spesso è necessaria un’analisi del traffico per determinare cosa sta accadendo con precisione.

Una cronologia degli attacchi DDoS

Era un attacco che avrebbe cambiato per sempre il modo in cui sarebbero stati visti gli attacchi denial-of-service. All’inizio del 2000, lo studente di liceo canadese Michael Calce, alias MafiaBoy, colpì Yahoo! con un attacco DDoS che è riuscito a mandare offline uno dei principali motori del web dell’epoca. Nel corso della settimana successiva, Calce ha preso di mira e ha attaccato con successo altri siti come Amazon, CNN ed eBay.

Da allora, gli attacchi DDoS sono diventati una minaccia fin troppo frequente, in quanto sono comunemente usati per vendicarsi, condurre estorsioni, come mezzo di attivismo online e persino per combattere una guerra informatica. Sono anche diventati più grandi nel corso degli anni. A metà degli anni ’90 un attacco poteva consistere in 150 richieste al secondo e sarebbe stato sufficiente per far cadere molti sistemi. Oggi possono superare i 1.000 Gbps. Ciò deriva in gran parte dalle dimensioni delle moderne botnet.

Nell’ottobre 2016, il provider di servizi di infrastruttura Internet Dyn DNS (ora Oracle DYN) è stato bloccato da un’ondata di query DNS da decine di milioni di indirizzi IP. Quell’attacco, eseguito tramite la botnet Mirai, avrebbe infettato oltre 100.000 dispositivi IoT, comprese telecamere IP e stampanti. Al suo apice, Mirai ha raggiunto 400.000 bot. Giganti come Amazon, Netflix, Reddit, Spotify, Tumblr e Twitter sono stati colpiti e hanno subito ingenti danni.

All’inizio del 2018 è iniziata ad emergere una nuova tecnica DDoS. Il 28 febbraio, il servizio di hosting per il controllo della versione GitHub è stato colpito da un massiccio attacco Denial of Service, con ben 1,35 TB al secondo di traffico. Sebbene GitHub sia stato messo offline solo in modo intermittente e sia riuscito a respingere completamente l’attacco dopo meno di 20 minuti, l’entità dell’assalto era preoccupante, poiché ha superato l’attacco Dyn, che aveva raggiunto il picco di 1,2 TB al secondo.

attacchi ddos

Un’analisi della tecnologia che ha guidato l’attacco ha rivelato che era in qualche modo più semplice di altri assalti. Mentre l’attacco Dyn era il prodotto della botnet Mirai, che richiedeva che il malware infestasse migliaia di dispositivi IoT, l’attacco GitHub ha sfruttato i server che eseguivano il sistema di memorizzazione nella cache Memcached, che può restituire blocchi di dati molto grandi in risposta a semplici richieste.

Memcached è pensato per essere utilizzato solo su server protetti in esecuzione su reti interne e generalmente ha ben poco in termini di sicurezza per impedire ad attaccanti malintenzionati di falsificare gli indirizzi IP e inviare enormi quantità di dati a vittime ignare. Sfortunatamente c’è stato un enorme aumento nell’utilizzo di server Memcached negli attacchi DDoS. Pochi giorni dopo l’attacco a GitHub, un altro attacco DDoS basato su Memecached si è infatti abbattuto su un fornitore di servizi statunitense con 1,7 TB al secondo di dati.

La botnet Mirai è stata altrettanto importante e pericolosa in quanto, a differenza della maggior parte degli attacchi DDoS, sfruttava dispositivi IoT vulnerabili piuttosto che PC e server. È un aspetto particolarmente preoccupante se si considera che nel 2020, secondo BI Intelligence, ci sono stati 34 miliardi di dispositivi connessi a Internet e la maggior parte (24 miliardi) sono stati dispositivi IoT.

Sfortunatamente, Mirai non sarà l’ultima botnet basata su IoT. Un’indagine tra i team di sicurezza all’interno di Akamai, Cloudflare, Flashpoint, Google, RiskIQ e Team Cymru ha scoperto una botnet di dimensioni simili, denominata WireX, composta da 100.000 dispositivi Android compromessi in 100 Paesi.

Il 21 giugno 2020, Akamai ha riferito di aver mitigato un attacco DDoS a una grande banca europea che ha raggiunto il picco di 809 milioni di pacchetti al secondo (Mpps), il più grande volume di pacchetti mai registrato. Questo attacco è stato progettato per sopraffare l’attrezzatura di rete e le applicazioni nel data center dell’obiettivo inviando miliardi di piccoli pacchetti (29 byte inclusa l’intestazione IPv4).

I ricercatori di Akamai hanno affermato che questo attacco è unico a causa dell’elevato numero di indirizzi IP di origine utilizzati. “Il numero di IP di origine che hanno registrato il traffico verso la destinazione del cliente è aumentato notevolmente durante l’attacco, indicando che era di natura altamente distribuita. Abbiamo visto un aumento di 600 volte il numero di IP di origine al minuto, rispetto a quello che normalmente osserviamo per questo cliente destinazione”, hanno osservato i ricercatori.

Strumenti di attacco DDoS

In genere, gli aggressori DDoS si affidano a botnet, ovvero raccolte di una rete di sistemi infettati da malware controllati centralmente. Questi endpoint infetti sono generalmente computer e server, ma sono sempre più IoT e dispositivi mobili. Gli aggressori raccolgono questi sistemi identificando i sistemi vulnerabili che possono infettare tramite attacchi di phishing, attacchi di malvertising e altre tecniche di infezione di massa. Sempre più spesso, gli aggressori affittano anche queste botnet da chi le ha costruite.

Come si evolvono gli attacchi DDoS

Come accennato brevemente in precedenza, sta diventando sempre più comune che questi attacchi siano condotti da botnet noleggiate. Aspettatevi che questa tendenza continui. Un’altra tendenza è l’uso di più vettori di attacco all’interno di un attacco, noto anche come APDoS Advanced Persistent Denial-of-Service. Ad esempio, un attacco APDoS può coinvolgere il livello dell’applicazione, come attacchi contro database e applicazioni, nonché direttamente al server.

Gli aggressori spesso non prendono di mira direttamente le loro vittime, ma anche le organizzazioni da cui dipendono, come gli ISP e i fornitori di cloud. “Si tratta di attacchi di vasta portata, ad alto impatto e ben coordinati” afferma Chuck Mackey, managing director do Binary Defense. Tutto ciò sta cambiando anche l’impatto degli attacchi DDoS sulle organizzazioni e aumentando il loro rischio. “Le aziende non si preoccupano più solo degli attacchi DDoS contro se stesse, ma anche degli attacchi contro il vasto numero di partner commerciali, vendor e fornitori su cui si affidano” afferma Mike Overly, avvocato di sicurezza informatica presso Foley & Lardner LLP.

Ovviamente, mentre i criminali perfezionano i loro attacchi DDoS, la tecnologia e le tattiche non si fermeranno. Come spiega Rod Soto, direttore della ricerca sulla sicurezza presso JASK, l’aggiunta di nuovi dispositivi IoT, l’ascesa del machine learning e l’intelligenza artificiale avranno tutti un ruolo nel cambiare e far evolvere questi attacchi. “Gli aggressori alla fine integreranno queste tecnologie nei loro attacchi, rendendo più difficile per i difensori affrontare gli attacchi DDoS, in particolare quelli che non possono essere fermati da semplici ACL o firme. Anche la tecnologia di difesa DDoS dovrà evolversi in quella direzione”, afferma Soto.