In cosa consiste un attacco DDoS? - Tutto quello da sapere sugli attacchi Distributed Denial-of-Service e su come proteggersi

8/11/2020

Gli attacchi DDos costituiscono una delle forme di attacchi informatici più datate, ma anche una delle più potenti e difficili da bloccare. Con questa guida imparerai come individuare un attacco DDoS e come proteggerti da esso  

 

Cos’è un attacco DDoS?

Un attacco di Distributed Denial-of-Service (DDoS, letteralmente “interruzione distribuita del servizio”) consente a un attacker o aggressore di intasare la rete o i server della vittima con un volume di traffico internet talmente ingente che la sua infrastruttura viene sopraffatta dal numero troppo elevato di richieste di accesso, rallentando così i servizi o disconnettendoli completamente, impedendo in tal modo agli utenti legittimi di accedere al servizio.

Sebbene il DDoS sia uno degli attacchi informatici meno sofisticati, costituisce tuttavia una delle categorie maggiormente deleterie e potenti, dal momento che è in grado di mantenere offline siti Internet e servizi digitali per periodi che possono andare da pochi secondi a perfino settimane.

Come funziona un attacco DDoS?

Gli attacchi DDoS si verificano attraverso una rete di macchinari connessi a Internet, per esempio PC, laptop, server, dispositivi dell’IoT (Internet delle Cose). Questi macchinari o dispositivi possono trovarsi ovunque (ecco perché il  termine “distributed”) e sono tutti controllati dall’attacker. È raro che il proprietario si renda conto che il proprio dispositivo venga utilizzato da un altro utente.

Solitamente, i criminali informatici assumono il controllo dei dispositivi tramite attacchi malware e ne ottengono l’accesso utilizzando il nome utente e la password di default con cui il prodotto viene rilasciato, questo fermo restando che ne sia impostata una di password.

Una volta che l’attacker penetra nel dispositivo, questo diventa parte di una botnet, ossia un gruppo di macchinari sottoposti al suo controllo. Le botnet possono essere utilizzate per ogni tipologia di attività dolosa, tra cui la distribuzione di email di phishing, malware, ransomware oppure, nel caso di un attacco DDoS, come la fonte di un grossissimo volume di traffico Internet.

 

La dimensione di una botnet può variare da un numero relativamente basso a milioni di dispositivi zombie. In ogni caso, il controllore della botnet può incanalare il traffico web generato verso un obiettivo ed eseguire un attacco DDoS.

I server, le reti e i servizi online sono progettati per gestire un determinato volume di traffico Internet, ma se vengono inondati di traffico aggiuntivo tramite un attacco DDoS, ne vengono sopraffatti. L’altissimo volume di traffico inviato dall’attacco DDoS inceppa le capacità del sistema fino ad annientarle e, al contempo, impedisce agli utenti legittimi di accedere ai servizi (che sarebbe appunto il “denial of service”).

 

Un attacco DDoS si lancia con lo scopo di disconnettere i servizi, ma quelli online possono essere sopraffatti anche da un traffico regolare gestito da utenti non malintenzionati; per esempio, ciò si verifica quando centinaia di migliaia di persone provano ad accedere a un sito per acquistare i biglietti di un concerto non appena vengono messi in vendita. Tuttavia, queste disfunzioni sono temporanee, brevi e accidentali, mentre gli attacchi DDoS possono durare per lunghi periodi.

Gli attacchi DDoS possono costituire armi online estremamente potenti.

Cos’è lo stresser IP e cos’ha a che fare con gli attacchi DDoS?

Lo stresser IP rappresenta un servizio che le organizzazioni utilizzano per mettere alla prova la solidità dei propri server e reti. L’obiettivo consiste nell’individuare se la larghezza di banda e la capacità di rete esistenti bastino per gestire traffico aggiuntivo. Il reparto di informatica utilizza lo stresser per capire se la propria rete costituisca un’applicazione perfettamente legittima.

Tuttavia, l’utilizzo di uno stresser IP contro una rete che non si gestisce è illegale in diverse parti del mondo, in quanto l’operazione potrebbe sfociare in un attacco DDoS. Infatti, esistono individui e gruppi di criminali informatici che utilizzano attivamente gli stresser IP negli attacchi DDoS.

Quando ha avuto luogo il primo attacco DDoS?

Quello che è globalmente ritenuto il primo attacco doloso DDoS si verificò nel luglio del 1999, quando la rete informatica dell’università del Minnesota rimase disconnessa per due giorni. 

114 computer infettati dal malware Trin00 diressero tutto il proprio traffico a un computer dell’università, così da intasare la rete e bloccarne l’utilizzo legittimo. Non fu effettuato alcun tentativo per nascondere l’indirizzo IP dei computer che lanciarono il traffico, con i proprietari dei sistemi da cui aveva origine l’attacco che non avevano idea che i computer erano infettati da un malware e che stavano creando disagi.

Trin00 non era una botnet grande, ma questo fu il primo incidente registrato che vide dei criminali informatici assumere il controllo di dispositivi che non possedevano per utilizzare il traffico web al fine di intasare la rete di un determinato obiettivo. Nei vent’anni seguenti, gli attacchi DDoS si sono espansi e sono diventati più dannosi.

Attacchi DDoS celebri: MafiaBoy, febbraio 2000

Il mondo non dovette aspettare molto dopo l’incidente all’università del Minnesota per capire quanto potenti potevano essere gli attacchi DDoS. Nel febbraio del 2000, il quindicenne canadese Michael Calce, dall’alias online MafiaBoy, fu in grado di assumere il controllo di svariate reti universitarie, convogliando moltissimi computer in una botnet.

MafiaBoy lanciò così un attacco che andò a minare alcuni dei più grandi siti Internet dell’inizio del nuovo millennio, tra cui Yahoo!, che al tempo rappresentava il più grande motore di ricerca al mondo, eBay, Amazon, CNN e altri ancora.

Calce fu arrestato e scontò otto mesi in riformatorio prima di dichiararsi colpevole dei reati di cui era stato accusato. Inoltre, ricevette una multa di 1000 dollari canadesi (660 dollari americani) per aver lanciato gli attacchi che si stima abbiano causato danni per più di 1,7 miliardi di dollari. Calce è ora un analista di sicurezza informatica.

 

Attacchi DDoS celebri: Estonia, aprile 2007

Verso la metà degli anni 2000, era chiaro che gli attacchi DDoS costituivano uno strumento potentissimo nell’arsenale dei criminali informatici, ma il mondo stava per assistere a un nuovo esempio di quanto dannoso potesse essere un attacco DDoS: il sabotaggio dei servizi Internet di una nazione intera.

Nell’aprile del 2007, l’Estonia era, come lo è tuttora, uno dei Paesi più avanzati dal punto di vista informatico al mondo, dal momento che quasi ogni servizio governativo risulta accessibile online all’1,3 milioni di cittadini estoni tramite un sistema di identificazione in rete.

Tuttavia, dal 27 aprile, l’Estonia fu colpita da una serie di attacchi DDoS che violarono ogni servizio online del Paese, inclusi parlamento, banche, ministeri, giornali ed emittenti radiotelevisive. Gli estoni non erano in grado di accedere ai servizi di cui necessitavano quotidianamente.

Gli attacchi vennero lanciati in occasioni separate: un periodo ricco di DDoS fu il 9 maggio, il giorno in cui la Russia celebra il Giorno della Vittoria della Seconda Guerra Mondiale, per 24 ore, prima di interrompersi a maggio inoltrato.

Gli attacchi DDoS ebbero luogo in un periodo in cui l’Estonia stava dibattendo con la Russia in merito allo spostamento di una statua sovietica a Tallinn.

Alcuni membri del governo estone accusarono la Russia di aver orchestrato gli attacchi, cosa che il Cremlino ha sempre negato.

 

L’Estonia fu vittima di un fortissimo attacco DDoS.

Attacchi DDoS celebri: Spamhaus, marzo 2013

L’obiettivo del Progetto Spamhaus consiste nel tracciamento dell’attività degli spammer sul web in modo tale da fornire agli internet provider e ai servizi email una lista in tempo reale delle mail, dei post e dei messaggi di spam più comuni per evitare che gli utenti li visualizzino e che vengano raggirati.

Ciononostante, nel marzo del 2013, Spamhaus stesso divenne vittima di alcuni criminali informatici quando gli vennero indirizzati 300 miliardi di bit di dati al secondo in quello che al tempo fu il più grande attacco mai avvenuto, il quale durò per quasi due settimane.

Cloudfare lo definì “l’attacco DDoS” che quasi ruppe Internet” dopo che l’azienda di sicurezza informatica e di infrastruttura web intervenne al fine di mitigare l’attacco contro Spamhaus, prima che gli attacker provassero a disconnettere Cloudfare stesso. L’attacco non colpì solo Spamhaus, ma fu molto più ampio, dato che congestionò l’intera rete Internet.

 

Attacchi DDoS celebri: Mirai, ottobre 2016

In quello che probabilmente costituisce il più famoso attacco DDoS finora, la botnet Mirai sabotò gran parte dei servizi online in tutta l’Europa e l’America settentrionale. Siti di notizie, Spotify, Reddit, Twitter, la rete di PlayStation e molti altri servizi digitali vennero rallentati drasticamente o resi del tutto inaccessibili a milioni di persone. Fortunatamente, l’interruzione durò meno di un giorno.

 

Definito uno dei più gravi blackout online della storia, il blocco fu causato da un attacco DDoS nei confronti di Dyn, il provider del domain name system (sistema dei nomi di dominio) per centinaia dei principali siti Internet. L’attacco fu progettato esplicitamente per sovraccaricare la sua capacità.

Quello che contribuì a rendere l’attacco così potente fu il fatto che la botnet Mirai aveva assunto il controllo di milioni di dispositivi IoT (Internet of Things), tra cui fotocamere, router, smart TV e stampanti, crackando semplicemente le credenziali di default, sempre che i dispositivi fossero dotati di password. Sebbene il traffico generato dai singoli dispositivi IoT fosse limitato, l’immenso numero dei dispositivi appartenenti alla botnet sopraffece la Dyn. E Mirai è attiva ancora oggi.

 

L’attacco della botnet Mirai prese di mira un numero altissimo di servizi online.

Come faccio a capire se sono vittima di un attacco DDoS?

Qualsiasi azienda od organizzazione che abbia un elemento web-facing dovrebbe considerare di regolare il traffico Internet che riceve e premunirsi di conseguenza; grandi volumi di traffico legittimo possono sopraffare i server, il che porta a un servizio lento o assente che potrebbe allontanare clienti e consumatori.

Le organizzazioni devono anche essere in grado di distinguere il traffico web legittimo da un attacco DDoS.

Perciò, la pianificazione della capacità rappresenta un elemento chiave per la gestione di un sito web: occorre pensare alla determinazione del traffico regolare preventivato e a riconoscere eventuali volumi inaspettati o troppo alti di traffico legittimo per evitare di turbare gli utenti, o bloccando il sito a causa di richieste eccessive, o interrompendone l’accesso a causa di un falso allarme di DDoS.

Quindi, come fa un’organizzazione a distinguere un aumento legittimo delle richieste e un attacco DDoS?

In generale, un’interruzione causata da un traffico legittimo dura brevemente e spesso esiste una ragione valida che la giustifica, come per esempio un rivenditore online che registra tantissime richieste per un nuovo prodotto o i giocatori di un nuovo videogame che inviano un traffico elevatissimo ai server online.

Nel caso di un attacco DDoS, esistono alcuni indicatori che ci fanno capire che si tratta di una campagna malware mirata. Spesso, gli attacchi DDoS sono progettati per creare disagi per un determinato periodo di tempo e possono risultare in picchi improvvisi di traffico fasullo che causano interruzioni regolari.

L’altro segnale che indica che probabilmente la tua organizzazione è stata colpita da un attacco DDoS vede i servizi rallentare o disconnettersi improvvisamente per diversi giorni alla volta, il che può significare che i servizi sono stati presi di mira da attacker che vogliono causare quanto più disagio possibile. Alcuni di questi attacker possono farlo per puro divertimento, mentre altri potrebbero essere stati pagati per penetrare in un certo sito o servizio. Altri ancora potrebbero essere coinvolti in un tentativo di estorsione, minacciando di lanciare un attacco se non ricevono del denaro.

Cosa faccio se sono vittima di un attacco DDoS?

Quando capisci di essere vittima di un attacco DDoS, occorre individuare quando sono iniziati i problemi e da quanto durano, nonché identificare quali sono gli asset colpiti tra applicazioni, servizi, server ecc. e capire in che modo stanno influenzando negativamente utenti, clienti e azienda in generale.

Inoltre, risulta fondamentale che le organizzazioni comunichino l’attacco al proprio web-hosting provider, dal momento che è probabile che anche questo sia oggetto del DDoS; contattarlo direttamente potrebbe limitare l’impatto del malware, soprattutto se il provider è in grado di modificare il tuo indirizzo IP. Cambiare l’IP minimizza l’impatto dell’attacco DDoS perché questo punterebbe verso la direzione sbagliata.

Se il tuo security provider prevede un servizio che mitiga il DDoS, questo dovrebbe ridurre l’impatto dell’attacco; tuttavia, come visto nel caso Mirai, gli attacchi di grande portata possono comunque creare disagi nonostante la presenza di misure preventive. Gli attacchi DDoS sono così fastidiosi anche perché nonostante siano molto facili da lanciare, risultano comunque molto efficaci; pertanto, è possibile che i servizi possano rimanere disconnessi per molto tempo a dispetto delle misure preventive.

Inoltre, è importante mettere al corrente gli utenti del servizio di quello che sta succedendo, altrimenti la mancanza di informazioni potrebbe confonderli. Le aziende devono prendere in considerazione l’installazione di un sito temporaneo che spieghi i problemi esistenti e che fornisca le istruzioni da seguire per l’utilizzo del servizio. Si possono utilizzare anche social media come Twitter e Facebook per diffondere il messaggio.

Come posso proteggermi dagli attacchi DDoS?

Ciò che rende efficaci gli attacchi DDoS è la capacità di dirigere un volume di traffico enorme verso un determinato obiettivo. Se tutte le risorse online di un’organizzazione si trovano in un unico posto, gli attacker dovranno semplicemente individuare un obiettivo per provocare disagi con un intenso volume di traffico. Se possibile, risulta perciò utile suddividere i sistemi, in modo tale da rendere difficile, se non impossibile, il re-indirizzamento immediato delle risorse verso un obiettivo da parte degli attacker.

Inoltre, monitorare il traffico web e conoscere le caratteristiche di traffici regolari e irregolari, può avere un ruolo fondamentale nella protezione o perlomeno nell’individuazione di attacchi DDoS. Alcuni esperti di sicurezza consigliano di impostare allarmi che inviano delle notifiche se il numero di richieste dovesse oltrepassare una certa soglia. Sebbene ciò non indichi necessariamente un’attività dolosa, almeno fornisce un avviso preventivo che c’è qualcosa non va.

È anche utile progettare un segnalatore di picchi del traffico web, cosa più facile con un hosting provider sul cloud.

Firewall e router hanno un ruolo importante nella mitigazione dei danni potenziali creati da un attacco DDoS. Se configurati correttamente, essi possono deviare il traffico fasullo identificandolo come potenzialmente pericoloso e bloccandolo prima che arrivi a destinazione. Tuttavia, risulta inoltre fondamentale ricordarsi che perché ciò sia efficace, i firewall e i software di sicurezza devono essere aggiornati secondo l’ultima patch.

L’utilizzo di uno stresser IP costituisce un metodo efficace per mettere alla prova la capacità della tua larghezza di banda. Esistono anche speciali service provider che mitigano i DDoS e che vengono in soccorso delle organizzazioni per la gestione di un’esplosione immediata del traffico web e per la prevenzione dei danni causati dagli attacchi.

Cos’è il servizio di mitigazione degli attacchi DDoS?

I servizi di mitigazione degli attacchi DDoS proteggono la rete dai suddetti tramite il dirottamento del traffico malware dalla rete della vittima. Tra i migliori provider dei servizi di mitigazione degli attacchi DDoS vi sono Cloudflare, Akamai e Radware.

Primariamente, un servizio di mitigazione è in grado di individuare se un sospetto attacco DDoS costituisca in effetti un malware o se sia solamente un volume di traffico regolare ma insolitamente elevato.

Per farlo, i servizi di mitigazione DDoS valutano l’IP da cui proviene la maggior parte del traffico. Se l’IP risale a un posto insolito o tipicamente associato ai malware, ci potremmo trovare di fronte a un attacco; inoltre, i servizi di mitigazione ricercano modelli comuni associati al traffico malware, spesso basandosi sui fatti avvenuti negli incidenti precedenti.

Se si individua la presenza effettiva di un attacco, entra in azione un servizio di protezione DDoS che tenta di assorbire e deviare il traffico fasullo; inoltre, si cerca inviare il traffico tramite segmenti gestibili che facilitano il processo di mitigazione e prevengono i denial of service.

Come scelgo il servizio di mitigazione DDoS?

Come succede con ogni acquisto di IT, per la scelta di un servizio di mitigazione DDoS non basta selezionare la prima soluzione che si presenta. Le organizzazioni dovrebbero scegliere un servizio in base ai propri bisogni ed esigenze. Per esempio, è probabile che una piccola impresa non avrà bisogno di investire ingenti quantità di denaro per un servizio di mitigazione DDoS dalle capacità adatte a una multinazionale.

Tuttavia, se l’organizzazione in cerca di un servizio di mitigazione DDoS ha dimensioni piuttosto grandi, probabilmente fa bene a cercare capacità di overflow estese per mitigare gli attacchi. Cercare una rete che dispone del doppio o del triplo della capacità necessaria impiegata nei più importanti attacchi sferrati finora dovrebbe bastare per mantenere attive le operazioni anche durante un attacco DDoS.

Sebbene un attacco DDoS possa causare disagi da una parte qualsiasi del mondo, vale la pena considerare la geografia e la posizione del provider dei servizi per la mitigazione DDoS. Un’azienda europea potrebbe disporre di un provider anti-DDoS efficace, ma se i server o gli scrubbing centre di questo provider non hanno sede in Europa, la latenza del tempo di risposta potrebbe rappresentare un problema, soprattutto considerando il re-indirizzamento del traffico.

Per queste ragioni, nella scelta di un service provider, le organizzazioni dovrebbero capire se la rete di protezione DDoS è efficace nella zona in cui si trovano. Per esempio, per un’azienda europea sarebbe meglio optare per un provider di mitigazione DDoS il cui scrubbing centre è locato in Europa, in modo tale da facilitare la rimozione o il reindirizzamento del traffico fasullo il più rapidamente possibile.

Tuttavia, nonostante tutte le soluzioni adottate per la prevenzione di un eventuale attacco DDoS, a volte gli attacker riescono comunque nel proprio intento, in quanto se questi vogliono a tutti i costi sabotare un servizio e dispongono di risorse a sufficienza, faranno l’impossibile per riuscirci. Comunque, se un’organizzazione è a conoscenza degli indicatori di un attacco DDoS, è possibile prepararsi a quando ciò succederà.


Se hai bisogno di proteggere la tua azienda da attacchi di questo tipo non esitare a contattarci

--

Crediti: Il seguente articolo ha il solo scopo divulgativo ed è il risultato di una traduzione e ri-adattamento dell'articolo orginale di cui tutti i diritti sono riservati all'autore Danny Palmer

Articoli in evidenza

Iscriviti alla newsletter

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Cliccando sul pulsante iscriviti accetti la Privacy Policy

Filter by Tag

No items found.

Filter by Categories

All
No items found.