Denial of Service: cosa succede in un attacco DoS?

Al giorno d’oggi è estre­ma­men­te im­por­tan­te essere preparati ai pericoli di Internet. In caso contrario, gli ag­gres­so­ri possono fa­cil­men­te penetrare, ma­ni­po­la­re o pa­ra­liz­za­re i sistemi. Una classica forma di attacco è il Denial of Service (DoS). Che cos’è esat­ta­men­te e come ci si protegge?

Il Denial of Service (DoS) in origine indicava sem­pli­ce­men­te che alcuni servizi Internet di un sistema IT, come un server, erano tem­po­ra­nea­men­te non di­spo­ni­bi­li. Ciò si verifica quando i server in questione sono so­vrac­ca­ri­chi, ad esempio per le troppe richieste da parte degli utenti. I servizi Internet com­pren­do­no siti web, servizi di posta elet­tro­ni­ca o funzioni di chat.

In un attacco DoS, l’ag­gres­so­re provoca di proposito questa “negazione del servizio”: ciò avviene “bom­bar­dan­do”, e di con­se­guen­za so­vrac­ca­ri­can­do, con una miriade di richieste le con­nes­sio­ni di rete di un sistema in­for­ma­ti­co re­spon­sa­bi­le dello scambio di dati esterni. Se il numero di richieste supera il limite di capacità, il sistema rallenta o collassa, cosicché non è più possibile accedere, ad esempio, a siti web, funzioni di posta elet­tro­ni­ca o shop online.

Un attacco DoS è pa­ra­go­na­bi­le a un negozio dove si riversano centinaia di persone, di­straen­do il personale di vendita con domande fuor­vian­ti, bloccando le risorse e non comprando nulla. Il personale è portato al collasso, i clienti effettivi non riescono più a entrare nel negozio o non vengono serviti.

Gli attacchi DoS, in linea di principio, sono re­la­ti­va­men­te facili da eseguire, so­prat­tut­to perché non mirano ne­ces­sa­ria­men­te a sistemi in­for­ma­ti­ci sicuri. Anche chi non ha com­pe­ten­ze tecniche, ma vuole comunque lanciare un attacco illegale, magari contro un con­cor­ren­te, può farlo con un piccolo budget. I criminali in­for­ma­ti­ci offrono questo tipo di attacco per poche centinaia di euro via darknet. Se le aziende e le or­ga­niz­za­zio­ni non sono preparate agli attacchi DoS, il massimo danno può essergli arrecato con il minimo sforzo.

Un possibile indizio del fatto che avete subito un attacco Denial of Service è una per­for­man­ce in­so­li­ta­men­te lenta dell’intera rete, cosa che si nota so­prat­tut­to all’apertura dei file o dei vostri siti web. Anche lato utente è facile ri­co­no­sce­re un attacco DoS: i siti web attaccati si aprono molto len­ta­men­te e alcune funzioni, ad esempio i sistemi di negozi online, non fun­zio­na­no affatto. Nel peggiore dei casi molti siti web non sono più ac­ces­si­bi­li.

La vittima effettiva di un attacco DoS può essere in­di­vi­dua­ta os­ser­van­do e ana­liz­zan­do il traffico della rete (Network Traffic Mo­ni­to­ring and Analysis). Questo viene fatto o con l’aiuto del firewall o con un sistema di ri­le­va­men­to degli attacchi (Intrusion Detection System) in­stal­la­to ap­po­si­ta­men­te. Gli am­mi­ni­stra­to­ri della rete hanno la pos­si­bi­li­tà di fissare delle regole per il ri­le­va­men­to del traffico “anomalo”. Se il numero di richieste sospette al sistema aumenta, scatta au­to­ma­ti­ca­men­te un allarme e si possono avviare delle con­tro­mi­su­re.

At­tual­men­te esistono molti tipi diversi di attacchi DoS che ap­pros­si­ma­ti­va­men­te possono essere suddivisi in attacchi alla larghezza di banda, alle risorse di sistema, alle falle di sicurezza e agli errori del software.

Come gli ag­gres­so­ri procedano con­cre­ta­men­te in un attacco Denial of Service e quali misure con­tri­bui­sca­no a mettere in sicurezza i sistemi si può spiegare con l’esempio di un attacco smurf: questo è un par­ti­co­la­re tipo di attacco DoS che prende di mira il sistema operativo o la con­nes­sio­ne Internet di un sistema in­for­ma­ti­co o di una rete.

L’ag­gres­so­re invia richieste ping, pacchetti di dati ICMP del tipo “Echo Request”, all’indirizzo broadcast di una rete. In questi pacchetti di dati l’ag­gres­so­re inserisce l’indirizzo del sistema da attaccare. Suc­ces­si­va­men­te tutti i computer della rete ri­spon­do­no al sistema da attaccare, sup­po­nen­do che le richieste pro­ven­ga­no ef­fet­ti­va­men­te dal sistema. Più computer fanno parte della rete uti­liz­za­ta dall’ag­gres­so­re, più alto sarà il numero di presunte “risposte” e più forte sarà l’attacco.

Per prevenire gli attacchi smurf, i sistemi nella loro con­fi­gu­ra­zio­ne pre­de­fi­ni­ta non ri­spon­do­no più ai pacchetti di tipo ICMP “Echo Request” e i router non inoltrano più i pacchetti diretti agli indirizzi broadcast. Questa misura di sicurezza generale ha con­sen­ti­to di limitare gli attacchi smurf.

Per mettere in sicurezza la propria in­fra­strut­tu­ra contro gli attacchi Denial of Service, si possono adottare più misure con­tem­po­ra­nea­men­te. Sono so­prat­tut­to i router a dover essere con­fi­gu­ra­ti cor­ret­ta­men­te e protetti con password forti. Con l’in­tro­du­zio­ne di misure di blocco in questi nodi, è possibile prevenire già molti attacchi DoS. I relativi pacchetti di attacco non vengono in questo modo accettati nell’in­fra­strut­tu­ra interna. Un buon firewall fornisce un’ulteriore sicurezza.

Se siete certi di essere l’obiettivo di un attacco, potete mettere in atto ulteriori risorse. Tramite la di­stri­bu­zio­ne del carico, ad esempio, possono essere richieste anche con breve preavviso delle capacità sup­ple­men­ta­ri all’hosting provider per evitare che l’attacco giunga a buon fine.

Una pa­no­ra­mi­ca det­ta­glia­ta sulle misure si trova nel nostro articolo che ap­pro­fon­di­sce la dif­fe­ren­za tra gli attacchi DDoS e DoS.

At­tual­men­te la maggior parte degli attacchi DoS assume la forma di attacchi Di­stri­bu­ted Denial of Service, noti in breve come attacchi DDoS. La dif­fe­ren­za prin­ci­pa­le tra attacchi DDoS e DoS è che mentre gli attacchi DoS hanno origine da un’unica fonte (ad es. un computer o una rete), gli attacchi DDoS sono ef­fet­tua­ti in­di­ret­ta­men­te tramite una rete bot spesso am­pia­men­te diffusa; da qui il termine “Di­stri­bu­ted”.

Una rete di bot è una rete composta da un gran numero di computer hackerati, chiamati zombie. Questi sono sot­to­po­sti a una ma­nu­ten­zio­ne scadente e i pro­prie­ta­ri dei computer hackerati si accorgono raramente che sui propri di­spo­si­ti­vi è stato in­stal­la­to del malware o che vengono uti­liz­za­ti in modo improprio per azioni di cri­mi­na­li­tà in­for­ma­ti­ca. Il gestore di una botnet può uti­liz­za­re questa “armata zombie” per ef­fet­tua­re attacchi contro altri sistemi in­for­ma­ti­ci.

Ci sono botnet che con­si­sto­no di diversi milioni di computer. Se tutti questi computer sono uti­liz­za­ti in un attacco DDos, il numero di “richieste il­le­git­ti­me” a una rete può aumentare a dismisura. Questo è uno dei motivi prin­ci­pa­li per cui persino portali come Facebook, con le loro immense risorse, non sono del tutto sicuri di fronte ad attacchi DDoS su larga scala.