Un servizio non di­spo­ni­bi­le viene indicato in in­for­ma­ti­ca con l’avviso “Denial of Service” (DoS). Simili in­ter­ru­zio­ni di servizio si ve­ri­fi­ca­no so­li­ta­men­te in con­co­mi­tan­za di un so­vrac­ca­ri­co di un com­po­nen­te dell’in­fra­strut­tu­ra IT. Se questa si­tua­zio­ne viene provocata vo­lon­ta­ria­men­te da agenti esterni, si parla di attacchi DoS, con cui gli hacker inviano in­ten­zio­nal­men­te a un sistema target più richieste di quante ne possa ri­spon­de­re. Dunque è possibile tem­pe­sta­re di­spo­si­ti­vi di rete, sistemi operativi o singoli servizi in modo che non siano più in grado di ri­spon­de­re alle richieste normali, o che lo facciano solo con grande ritardo.

Un simile pro­ce­di­men­to risulta par­ti­co­lar­men­te efficace quando un sistema deve gestire le richieste pro­ve­nien­ti da diversi computer. Di­ver­sa­men­te dagli attacchi DoS, quelli DDoS si ap­pog­gia­no su un’estesa rete di botnet.

Attacchi DDoS: attacchi DoS in grande

Con “Di­stri­bu­ted Denial of Service” (DDoS) si indica una forma comune di attacco DoS, in cui i cy­ber­cri­mi­na­li non sferrano i propri attacchi da un unico computer, ma so­vrac­ca­ri­ca­no i sistemi target con più richieste pro­ve­nien­ti da computer diversi e ap­par­te­nen­ti ad una botnet più ampia. Con un’in­ter­con­nes­sio­ne di questo tipo, tra i computer si genera molto più traffico rispetto ai semplici attacchi DoS, che vengono invece eseguiti da un unico sistema.

Le con­se­guen­ze degli attacchi DDoS sui computer coinvolti sono perciò notevoli e ci sono poche pro­ba­bi­li­tà di scovare il punto di origine reale degli attacchi. Infatti gli hacker che creano botnet di questo tipo si servono di software specifici, che sono collocati in rete su computer poco protetti, ad insaputa degli am­mi­ni­stra­to­ri, e gestiti cen­tral­men­te. Spesso “un’infezione” di questo tipo avviene già mesi prima che si verifichi l’attacco DDoS vero e proprio.

De­fi­ni­zio­ne

Nell’In­for­ma­tion Tech­no­lo­gy il termine DDoS (Distri­bu­ted Denial of Service) indica la non di­spo­ni­bi­li­tà di un servizio in seguito a un elevato numero di richieste. So­li­ta­men­te l’ir­rag­giun­gi­bi­li­tà di un servizio di questo tipo è ri­con­du­ci­bi­le a un attacco mirato che prende anche il nome di attacco DDoS. In linea di principio DDoS può anche risultare da un so­vrac­ca­ri­co tem­po­ra­neo e non in­ten­zio­na­le di risorse.

Come si presenta un attacco DDoS?

Alla base di ogni attacco DDoS si trova una grande rete di computer, che in linea teorica può anche essere di possesso dell’hacker. Nella prassi tuttavia si tratta quasi sempre delle già nominate botnet, composte da migliaia di computer. Questi computer sono infettati con malware che con­sen­to­no ai cy­ber­cri­mi­na­li di accedere da remoto senza farsi notare. Re­cen­te­men­te giocano un ruolo im­por­tan­te anche i di­spo­si­ti­vi IoT (Internet of Things), come router, vi­deo­ca­me­re di sor­ve­glian­za o vi­deo­re­gi­stra­to­ri digitali, usati in­de­bi­ta­men­te come bot.

Ser­ven­do­si della giusta rete di computer, l’hacker riesce a rea­liz­za­re l’attacco DDoS pia­ni­fi­ca­to con facilità. Infatti per rag­giun­ge­re il suo scopo, ovvero rendere ir­rag­giun­gi­bi­le il servizio preso di mira, ha bisogno solo di un adeguato punto di attacco all’interno del sistema o della rete della vittima. Non appena trova una simile backdoor, può inviare i comandi necessari ai bot per avviare gli attacchi DDoS a un de­ter­mi­na­to orario. Nei paragrafi seguenti scoprite quali diversi tipi di azioni e di schemi di attacco vengono uti­liz­za­ti tramite bot con­trol­la­ti a distanza.

Quali tipi di attacchi DDoS esistono?

A dif­fe­ren­za di altre azioni nocive compiute dai cyber criminali, lo scopo prin­ci­pa­le degli attacchi DDoS non è quello di in­fil­trar­si nel sistema. Tuttavia possono far parte un simile attacco  hacker ad esempio quando viene bloccato un sistema, per di­sto­glie­re l’at­ten­zio­ne dall’attacco su un altro sistema. Se la capacità di reazione di un server viene ral­len­ta­ta da attacchi DoS e DDoS, gli hacker hanno la pos­si­bi­li­tà di ma­ni­po­la­re le richieste inviate al sistema so­vrac­ca­ri­co. Le strategie alla base di attacchi simili si dividono in tre categorie:

  • so­vrac­ca­ri­co della banda larga;
  • so­vrac­ca­ri­co delle risorse del sistema;
  •  sfrut­ta­men­to di errori nei software e delle falle di sicurezza.

So­vrac­ca­ri­co della banda larga

Il so­vrac­ca­ri­co della banda larga ha come obiettivo quello di rendere un computer non rag­giun­gi­bi­le. In questo caso gli attacchi DoS e DDoS si in­di­riz­za­no di­ret­ta­men­te alla rete e ai relativi di­spo­si­ti­vi connessi, così un router può ad esempio elaborare con­tem­po­ra­nea­men­te solo una certa quantità di dati e se questa capacità viene sfruttata com­ple­ta­men­te con un attacco, i servizi che offre non sono più di­spo­ni­bi­li per gli altri utenti. Un attacco DDoS classico che haon l’obiettivo di so­vrac­ca­ri­ca­re la banda larga del sistema è l’attacco Smurf.

  • L’attacco Smurf: questi attacchi DDoS sfruttano “l’Internet Control Message Protocol” (ICMP), che serve per allo scambio di in­for­ma­zio­ni e messaggi di errore nelle reti server. In questo caso un hacker invia un pacchetto ICMP falso di un’echo request (ping) all’indirizzo di broadcast di una rete di computer e utilizza l’IP del target come mittente. Partendo dal router della rete, la richiesta di broadcast viene inoltrata a tutti i di­spo­si­ti­vi collegati, per spingere ognuno di questi a inviare una risposta all’indirizzo del mittente (pong). Una rete vasta con molti di­spo­si­ti­vi collegati può dan­neg­gia­re no­te­vol­men­te la banda larga del computer preso di mira.

So­vrac­ca­ri­co delle risorse del sistema

Se un attacco DDoS mira alle risorse del sistema, gli hacker sfruttano il fatto che un server web server può in­stau­ra­re solo un numero limitato di con­nes­sio­ni. Se questo numero viene raggiunto con l’invio di richieste insensate o invalide, i servizi messi a di­spo­si­zio­ne dal server ri­sul­te­ran­no bloccati per gli utenti normali: in questo caso si parla di flooding (inon­da­zio­ne). Classici schemi di attacco DDoS a livello delle risorse di sistema sono HTTP flood, ping flood, SYN flood e UDP flood.

  • HTTP flood: in questa semplice variante di attacco DDoS che mira a so­vrac­ca­ri­ca­re le risorse di sistema, l’hacker inonda il server web target con molte richieste HTTP. Per rag­giun­ge­re questo obiettivo deve solo aprire le pagine del sito target fino a quando il server non risulterà più rag­giun­gi­bi­le a causa del so­vrac­ca­ri­co generato dalle numerose richieste.
     
  • Ping flood: anche in questo schema di attacco i cyber criminali si servono dei pacchetti ICMP dell’echo request, che vengono so­li­ta­men­te inviati in massa agli obiettivi di attacco usando le botnet. Il ping flood rallenta in par­ti­co­lar modo i sistemi lenti perché le richieste (ping) generate dal sistema target devono essere risposte con un pacchetto (pong), processo che quindi consuma le risorse di­spo­ni­bi­li.
     
  • SYN flood: questo schema di attacco rap­pre­sen­ta un abuso della procedura TCP Threeway Handshake. Il pro­to­col­lo di rete TCP (“Tran­smis­sion Control Protocol”) si occupa di garantire insieme all’IP un traffico dati di rete senza perdite, che si verifica in­stau­ran­do una con­nes­sio­ne TCP co­sti­tui­ta da un’au­ten­ti­ca­zio­ne in tre passaggi. In questo caso specifico, un client invia un pacchetto di sin­cro­niz­za­zio­ne (SYN) a un server, che lo accetta e che reinvia a sua volta un altro messaggio SYN e uno di risposta (ACK). La con­nes­sio­ne viene chiusa da una conferma lato client (ACK). Se la risposta non arriva a de­sti­na­zio­ne, i sistemi si possono pa­ra­liz­za­re, visto che il server conserva con­nes­sio­ni non concluse nella RAM. Se arrivano molte di queste con­nes­sio­ni se­mia­per­te provocate da un attacco SYN flood, le risorse del server ri­sul­te­ran­no com­ple­ta­men­te occupate.
     
  • UDP flood: per questo attacco i cyber criminali si basano sul pro­to­col­lo con­nec­tion­less “User Datagram Protocol ” (UDP). Al contrario di una tra­smis­sio­ne via TCP, i dati possono anche essere trasmessi tramite UDP senza che si instauri una con­nes­sio­ne. Nell’ambito degli attacchi DoS e DDoS, i pacchetti UDP vengono quindi inviati in grandie quantità a porte scelte ca­sual­men­te del sistema target, che cerca invano di in­di­vi­dua­re quale ap­pli­ca­zio­ne è in attesa dei dati trasmessi e reinvia perciò al mittente un pacchetto ICMP con il messaggio “Indirizzo di de­sti­na­zio­ne non rag­giun­gi­bi­le­to”. Se un sistema viene so­vrac­ca­ri­ca­to con molte richieste di questo tipo ne deriva uno sfrut­ta­men­to delle risorse, che comporta una di­spo­ni­bi­li­tà limitata per gli utenti normali.

Sfrut­ta­men­to di errori nei software e delle falle di sicurezza

Se un hacker è a co­no­scen­za di de­ter­mi­na­te falle di sicurezza di un sistema operativo o di un programma, si possono sferrare attacchi DoS e DDoS, per fare in modo che le richieste pro­vo­chi­no errori nei software o crash di sistema. Alcuni esempi di schemi di attacco simili sono gli attacchi Ping of Death e Land.

  • Ping of Death: questo schema di attacco ha l’obiettivo di portare il sistema colpito a un crash. Gli hacker traggono quindi vantaggio da un errore di im­ple­men­ta­zio­ne dell’IP (Internet Protocol), dove i pacchetti IP vengono ge­ne­ral­men­te inviati sotto forma di frammenti. Se vengono anche inviate in­for­ma­zio­ni errate per la ri­co­stru­zio­ne dei pacchetti, alcuni sistemi operativi vengono ingannati e generanor pacchetti IP che più grandi delle di­men­sio­ni massime con­sen­ti­te di 64 KB. Questo può portare ad un “buffer overflow” perché è stata creata una quantità di dati troppo grande, che supera le di­men­sio­ni con­sen­ti­te dallo spazio messo a di­spo­si­zio­ne dal sistema vittima dell’attacco.
     
  • Attacchi Land: in un attacco Land un hacker invia un pacchetto SYN nell’ambito di un TCP Threeway Handshake (vedi sopra), dove gli indirizzi del mittente e del de­sti­na­ta­rio cor­ri­spon­do­no al server che deve essere attaccato. Ne consegue che il server spedisce a se stesso la risposta ad una richiesta sotto forma di un pacchetto SYN/ACK, procedura che può essere in­ter­pre­ta­ta come una nuova richiesta di con­nes­sio­ne, a cui va di nuovo risposto con un pacchetto SYN/ACK. Così si verifica una si­tua­zio­ne in cui il sistema risponde con­ti­nua­men­te alle sue stesse richieste, sfrut­tan­do enor­me­men­te il sistema fino ad arrivare a pro­vo­car­ne un crash.
Compute Engine
La soluzione IaaS ideale per i tuoi carichi di lavoro
  • vCPU estre­ma­men­te van­tag­gio­se e potenti core dedicati
  • Massima fles­si­bi­li­tà senza periodo con­trat­tua­le minimo
  • Servizio di as­si­sten­za tecnica 24 ore su 24, 7 giorni su 7

Come si possono re­spin­ge­re e ridurre gli attacchi DDoS?

Per con­tra­sta­re un so­vrac­ca­ri­co dei sistemi in­for­ma­ti­ci causati da attacchi DoS e DDoS, sono state svi­lup­pa­te diverse misure di sicurezza. Tra le soluzioni da impiegare rientrano l’iden­ti­fi­ca­zio­ne di indirizzi IP critici e la ri­so­lu­zio­ne di falle di sicurezza co­no­sciu­te. Inoltre, di regola sarebbe meglio mettere a di­spo­si­zio­ne delle risorse hardware e software con cui sia possibile com­pen­sa­re gli attacchi di portata minore.

  • Blacklist degli IP: le blacklist per­met­to­no di iden­ti­fi­ca­re gli indirizzi IP critici e di rifiutare di­ret­ta­men­te i pacchetti. Questa misura di sicurezza si può rea­liz­za­re ma­nual­men­te o au­to­ma­ti­ca­men­te, im­po­stan­do la ge­ne­ra­zio­ne dinamica di blacklist at­tra­ver­so il firewall.
     
  • Fil­trag­gio: per filtrare pacchetti insoliti è possibile stabilire dei limiti per la tra­smis­sio­ne di dati in un de­ter­mi­na­to in­ter­val­lo di tempo. Bisogna però fare at­ten­zio­ne che i proxy non portino a far re­gi­stra­re molti client su un server con lo stesso indirizzo IP e vengano perciò bloccati senza motivo.
     
  • SYN cookie: i SYN cookie si occupano di in­di­vi­dua­re le falle di sicurezza nell’in­stau­ra­zio­ne di una con­nes­sio­ne TCP. Se viene uti­liz­za­ta questa misura di sicurezza, le in­for­ma­zio­ni inviate dai pacchetti SYN non vengono più salvate sul server, ma inviate al client come crypto-cookie. Infatti gli attacchi SYN flood ri­chie­do­no l’utilizzo delle risorse del computer ma non so­vrac­ca­ri­ca­no la memoria del sistema target.
     
  • Load Balancer: una con­tro­mi­su­ra efficace contro il so­vrac­ca­ri­co è la di­stri­bu­zio­ne del carico su diversi sistemi, come avviene grazie al Load Balancing, dove le richieste vengono di­stri­bui­te su più macchine fisiche per evitare lo sfrut­ta­men­to dell’hardware dei servizi messi a di­spo­si­zio­ne. Così è possibile com­pen­sa­re in parte gli attacchi DoS e DDoS.
Consiglio

Volete disporre del massimo della sicurezza per il vostro sito? Trovate maggiori in­for­ma­zio­ni sulla pagina dedicata ai cer­ti­fi­ca­ti SSL di IONOS, che vi per­met­te­ran­no anche di aumentare la fiducia degli utenti nei confronti della vostra pagina.

Vai al menu prin­ci­pa­le