Attacchi DoS e DDoS: schemi e contromisure

Se un attacco DDoS mira alle risorse del sistema, gli hacker sfruttano il fatto che un server web server può instaurare solo un numero limitato di connessioni. Se questo numero viene raggiunto con l’invio di richieste insensate o invalide, i servizi messi a disposizione dal server risulteranno bloccati per gli utenti normali: in questo caso si parla di flooding (inondazione). Classici schemi di attacco DDoS a livello delle risorse di sistema sono HTTP flood, ping flood, SYN flood e UDP flood.

• HTTP flood: in questa semplice variante di attacco DDoS che mira a sovraccaricare le risorse di sistema, l’hacker inonda il server web target con molte richieste HTTP. Per raggiungere questo obiettivo deve solo aprire le pagine del sito target fino a quando il server non risulterà più raggiungibile a causa del sovraccarico generato dalle numerose richieste.
   
• Ping flood: anche in questo schema di attacco i cyber criminali si servono dei pacchetti ICMP dell’echo request, che vengono solitamente inviati in massa agli obiettivi di attacco usando le botnet. Il ping flood rallenta in particolar modo i sistemi lenti perché le richieste (ping) generate dal sistema target devono essere risposte con un pacchetto (pong), processo che quindi consuma le risorse disponibili.
   
• SYN flood: questo schema di attacco rappresenta un abuso della procedura TCP Threeway Handshake. Il protocollo di rete TCP (“Transmission Control Protocol”) si occupa di garantire insieme all’IP un traffico dati di rete senza perdite, che si verifica instaurando una connessione TCP costituita da un’autenticazione in tre passaggi. In questo caso specifico, un client invia un pacchetto di sincronizzazione (SYN) a un server, che lo accetta e che reinvia a sua volta un altro messaggio SYN e uno di risposta (ACK). La connessione viene chiusa da una conferma lato client (ACK). Se la risposta non arriva a destinazione, i sistemi si possono paralizzare, visto che il server conserva connessioni non concluse nella RAM. Se arrivano molte di queste connessioni semiaperte provocate da un attacco SYN flood, le risorse del server risulteranno completamente occupate.
   
• UDP flood: per questo attacco i cyber criminali si basano sul protocollo connectionless “User Datagram Protocol ” (UDP). Al contrario di una trasmissione via TCP, i dati possono anche essere trasmessi tramite UDP senza che si instauri una connessione. Nell’ambito degli attacchi DoS e DDoS, i pacchetti UDP vengono quindi inviati in grandie quantità a porte scelte casualmente del sistema target, che cerca invano di individuare quale applicazione è in attesa dei dati trasmessi e reinvia perciò al mittente un pacchetto ICMP con il messaggio “Indirizzo di destinazione non raggiungibileto”. Se un sistema viene sovraccaricato con molte richieste di questo tipo ne deriva uno sfruttamento delle risorse, che comporta una disponibilità limitata per gli utenti normali.

Se un hacker è a conoscenza di determinate falle di sicurezza di un sistema operativo o di un programma, si possono sferrare attacchi DoS e DDoS, per fare in modo che le richieste provochino errori nei software o crash di sistema. Alcuni esempi di schemi di attacco simili sono gli attacchi Ping of Death e Land.

• Ping of Death: questo schema di attacco ha l’obiettivo di portare il sistema colpito a un crash. Gli hacker traggono quindi vantaggio da un errore di implementazione dell’IP (Internet Protocol), dove i pacchetti IP vengono generalmente inviati sotto forma di frammenti. Se vengono anche inviate informazioni errate per la ricostruzione dei pacchetti, alcuni sistemi operativi vengono ingannati e generanor pacchetti IP che più grandi delle dimensioni massime consentite di 64 KB. Questo può portare ad un “buffer overflow” perché è stata creata una quantità di dati troppo grande, che supera le dimensioni consentite dallo spazio messo a disposizione dal sistema vittima dell’attacco.
   
• Attacchi Land: in un attacco Land un hacker invia un pacchetto SYN nell’ambito di un TCP Threeway Handshake (vedi sopra), dove gli indirizzi del mittente e del destinatario corrispondono al server che deve essere attaccato. Ne consegue che il server spedisce a se stesso la risposta ad una richiesta sotto forma di un pacchetto SYN/ACK, procedura che può essere interpretata come una nuova richiesta di connessione, a cui va di nuovo risposto con un pacchetto SYN/ACK. Così si verifica una situazione in cui il sistema risponde continuamente alle sue stesse richieste, sfruttando enormemente il sistema fino ad arrivare a provocarne un crash.

Per contrastare un sovraccarico dei sistemi informatici causati da attacchi DoS e DDoS, sono state sviluppate diverse misure di sicurezza. Tra le soluzioni da impiegare rientrano l’identificazione di indirizzi IP critici e la risoluzione di falle di sicurezza conosciute. Inoltre, di regola sarebbe meglio mettere a disposizione delle risorse hardware e software con cui sia possibile compensare gli attacchi di portata minore.

• Blacklist degli IP: le blacklist permettono di identificare gli indirizzi IP critici e di rifiutare direttamente i pacchetti. Questa misura di sicurezza si può realizzare manualmente o automaticamente, impostando la generazione dinamica di blacklist attraverso il firewall.
   
• Filtraggio: per filtrare pacchetti insoliti è possibile stabilire dei limiti per la trasmissione di dati in un determinato intervallo di tempo. Bisogna però fare attenzione che i proxy non portino a far registrare molti client su un server con lo stesso indirizzo IP e vengano perciò bloccati senza motivo.
   
• SYN cookie: i SYN cookie si occupano di individuare le falle di sicurezza nell’instaurazione di una connessione TCP. Se viene utilizzata questa misura di sicurezza, le informazioni inviate dai pacchetti SYN non vengono più salvate sul server, ma inviate al client come crypto-cookie. Infatti gli attacchi SYN flood richiedono l’utilizzo delle risorse del computer ma non sovraccaricano la memoria del sistema target.
   
• Load Balancer: una contromisura efficace contro il sovraccarico è la distribuzione del carico su diversi sistemi, come avviene grazie al Load Balancing, dove le richieste vengono distribuite su più macchine fisiche per evitare lo sfruttamento dell’hardware dei servizi messi a disposizione. Così è possibile compensare in parte gli attacchi DoS e DDoS.