Denial of Service: cosa succede in un attacco DoS?

Al giorno d’oggi è estremamente importante essere preparati ai pericoli di Internet. In caso contrario, gli aggressori possono facilmente penetrare, manipolare o paralizzare i sistemi. Una classica forma di attacco è il Denial of Service (DoS). Che cos’è esattamente e come ci si protegge?

Il Denial of Service (DoS) in origine indicava semplicemente che alcuni servizi Internet di un sistema IT, come un server, erano temporaneamente non disponibili. Ciò si verifica quando i server in questione sono sovraccarichi, ad esempio per le troppe richieste da parte degli utenti. I servizi Internet comprendono siti web, servizi di posta elettronica o funzioni di chat.

In un attacco DoS, l’aggressore provoca di proposito questa “negazione del servizio”: ciò avviene “bombardando”, e di conseguenza sovraccaricando, con una miriade di richieste le connessioni di rete di un sistema informatico responsabile dello scambio di dati esterni. Se il numero di richieste supera il limite di capacità, il sistema rallenta o collassa, cosicché non è più possibile accedere, ad esempio, a siti web, funzioni di posta elettronica o shop online.

Un attacco DoS è paragonabile a un negozio dove si riversano centinaia di persone, distraendo il personale di vendita con domande fuorvianti, bloccando le risorse e non comprando nulla. Il personale è portato al collasso, i clienti effettivi non riescono più a entrare nel negozio o non vengono serviti.

Gli attacchi DoS, in linea di principio, sono relativamente facili da eseguire, soprattutto perché non mirano necessariamente a sistemi informatici sicuri. Anche chi non ha competenze tecniche, ma vuole comunque lanciare un attacco illegale, magari contro un concorrente, può farlo con un piccolo budget. I criminali informatici offrono questo tipo di attacco per poche centinaia di euro via darknet. Se le aziende e le organizzazioni non sono preparate agli attacchi DoS, il massimo danno può essergli arrecato con il minimo sforzo.

Un possibile indizio del fatto che avete subito un attacco Denial of Service è una performance insolitamente lenta dell’intera rete, cosa che si nota soprattutto all’apertura dei file o dei vostri siti web. Anche lato utente è facile riconoscere un attacco DoS: i siti web attaccati si aprono molto lentamente e alcune funzioni, ad esempio i sistemi di negozi online, non funzionano affatto. Nel peggiore dei casi molti siti web non sono più accessibili.

La vittima effettiva di un attacco DoS può essere individuata osservando e analizzando il traffico della rete (Network Traffic Monitoring and Analysis). Questo viene fatto o con l’aiuto del firewall o con un sistema di rilevamento degli attacchi (Intrusion Detection System) installato appositamente. Gli amministratori della rete hanno la possibilità di fissare delle regole per il rilevamento del traffico “anomalo”. Se il numero di richieste sospette al sistema aumenta, scatta automaticamente un allarme e si possono avviare delle contromisure.

Attualmente esistono molti tipi diversi di attacchi DoS che approssimativamente possono essere suddivisi in attacchi alla larghezza di banda, alle risorse di sistema, alle falle di sicurezza e agli errori del software.

Come gli aggressori procedano concretamente in un attacco Denial of Service e quali misure contribuiscano a mettere in sicurezza i sistemi si può spiegare con l’esempio di un attacco smurf: questo è un particolare tipo di attacco DoS che prende di mira il sistema operativo o la connessione Internet di un sistema informatico o di una rete.

L’aggressore invia richieste ping, pacchetti di dati ICMP del tipo “Echo Request”, all’indirizzo broadcast di una rete. In questi pacchetti di dati l’aggressore inserisce l’indirizzo del sistema da attaccare. Successivamente tutti i computer della rete rispondono al sistema da attaccare, supponendo che le richieste provengano effettivamente dal sistema. Più computer fanno parte della rete utilizzata dall’aggressore, più alto sarà il numero di presunte “risposte” e più forte sarà l’attacco.

Per prevenire gli attacchi smurf, i sistemi nella loro configurazione predefinita non rispondono più ai pacchetti di tipo ICMP “Echo Request” e i router non inoltrano più i pacchetti diretti agli indirizzi broadcast. Questa misura di sicurezza generale ha consentito di limitare gli attacchi smurf.

Per mettere in sicurezza la propria infrastruttura contro gli attacchi Denial of Service, si possono adottare più misure contemporaneamente. Sono soprattutto i router a dover essere configurati correttamente e protetti con password forti. Con l’introduzione di misure di blocco in questi nodi, è possibile prevenire già molti attacchi DoS. I relativi pacchetti di attacco non vengono in questo modo accettati nell’infrastruttura interna. Un buon firewall fornisce un’ulteriore sicurezza.

Se siete certi di essere l’obiettivo di un attacco, potete mettere in atto ulteriori risorse. Tramite la distribuzione del carico, ad esempio, possono essere richieste anche con breve preavviso delle capacità supplementari all’hosting provider per evitare che l’attacco giunga a buon fine.

Una panoramica dettagliata sulle misure si trova nel nostro articolo che approfondisce la differenza tra gli attacchi DDoS e DoS.

Attualmente la maggior parte degli attacchi DoS assume la forma di attacchi Distributed Denial of Service, noti in breve come attacchi DDoS. La differenza principale tra attacchi DDoS e DoS è che mentre gli attacchi DoS hanno origine da un’unica fonte (ad es. un computer o una rete), gli attacchi DDoS sono effettuati indirettamente tramite una rete bot spesso ampiamente diffusa; da qui il termine “Distributed”.

Una rete di bot è una rete composta da un gran numero di computer hackerati, chiamati zombie. Questi sono sottoposti a una manutenzione scadente e i proprietari dei computer hackerati si accorgono raramente che sui propri dispositivi è stato installato del malware o che vengono utilizzati in modo improprio per azioni di criminalità informatica. Il gestore di una botnet può utilizzare questa “armata zombie” per effettuare attacchi contro altri sistemi informatici.

Ci sono botnet che consistono di diversi milioni di computer. Se tutti questi computer sono utilizzati in un attacco DDos, il numero di “richieste illegittime” a una rete può aumentare a dismisura. Questo è uno dei motivi principali per cui persino portali come Facebook, con le loro immense risorse, non sono del tutto sicuri di fronte ad attacchi DDoS su larga scala.