L’attacco DDoS è l’abbreviazione di “Distributed Denial of Service”, un tipo di crimine informatico in cui l’autore dell’attacco sommerge un server con un’eccessiva quantità di traffico Internet al fine di impedire l’accesso a servizi e siti online collegati.
Le ragioni che spingono a compiere un attacco di tipo distributed denial of service (DDoS) sono molto diverse, così come i tipi di persone e organizzazioni che sono disposte a compiere questo tipo di cyberattacco.
Alcuni attacchi sono portati a termine da individui insoddisfatti o da hacktivisti che cercano di distruggere i server di un’azienda senza alcun altro motivo se non quello di fare una dichiarazione, di divertirsi approfittando di una debolezza informatica o di esprimere la propria insoddisfazione. Altri attacchi sono portati avanti da persone che cercano di rubare informazioni sensibili.
Altri attacchi di tipo distributed denial-of-service (DDoS) hanno una motivazione economica, come nel caso in cui un rivale interrompa o chiuda le operazioni online di un’altra azienda per sottrarle gli affari durante il periodo di inattività. Altri includono l’estorsione, in cui i criminali prendono di mira un’azienda, installano hostageware o ransomware sui server dell’azienda e poi chiedono una quantità significativa di denaro all’azienda per rimuovere il malware e rimediare al danno.
Indice dei contenuti
Perchè gli attacchi Distributed Denial of Service (DDoS) sono così diffusi
Il numero di attacchi DDoS (Distributed Denial of Service) è in aumento e anche alcune delle più grandi organizzazioni del mondo non sono immuni da “DDoS”. Il precedente record per il più grande assalto della storia è stato stabilito nel febbraio 2020, quando è stato effettuato contro nientemeno che Amazon Web Services (AWS), superando il precedente record stabilito da un attacco a GitHub due anni prima. Gli effetti di un attacco DDoS (Distributed Denial of Service) comprendono la diminuzione del traffico reale, la perdita di affari e il danno alla reputazione.
Si prevede che l’Internet of things (IoT) continui la sua rapida espansione, che porterà anche a un aumento del numero di dipendenti remoti che lavorano da casa e del numero totale di dispositivi collegati a una rete. È possibile che le caratteristiche di sicurezza di ciascun dispositivo IoT non tengano necessariamente il passo con i progressi tecnologici, lasciando la rete a cui sono collegati aperta ai cyberattacchi. Alla luce di ciò, la necessità di prevenire e mitigare gli attacchi DDoS non può essere sopravvalutata.
Come funziona un attacco di tipo Distributed Denial of Service (DDoS)
L’obiettivo di un attacco DDoS (Distributed Denial of Service) è quello di inondare i dispositivi, i servizi e la rete del bersaglio con un traffico Internet fasullo, al fine di rendere tali risorse non disponibili o inutilizzabili per gli utenti reali.
Che differenze ci sono tra un attacco DoS e un attacco DDoS
Un altro tipo di attacco denial-of-service, noto come attacco denial-of-service distribuito, rientra nell’ambito del più generico attacco DoS. Un aggressore utilizzerà una singola connessione Internet per lanciare un attacco denial of service (DoS), in cui inonderà l’obiettivo con richieste false o tenterà di sfruttare una falla di sicurezza.
Il DDoS ha una portata più ampia. Per raggiungere il suo scopo, si avvale di centinaia o addirittura milioni di dispositivi collegati. Combattere un attacco DDoS (Distributed Denial of Service) è reso molto più difficile dall’enorme numero di dispositivi coinvolti.
Gli attacchi DDoS sfruttano le reti bot
La maggior parte degli attacchi DDoS (Distributed Denial of Service) viene condotta utilizzando come vettore principale le reti bot. L’avversario utilizza tecniche di hacking per ottenere l’accesso a computer o altri dispositivi e quindi installa un software dannoso noto come bot. Una rete nota come botnet viene creata dalle macchine infette che lavorano insieme. L’hacker dà quindi alla botnet l’istruzione di inondare i server e gli altri dispositivi della vittima con un numero eccessivo di richieste di connessione che non sono in grado di elaborare.
Come capire se si è stati vittime di un attacco Distributed Denial of Service
Il fatto che gli indicatori di un attacco DDoS non siano del tutto eccezionali è una delle sfide più significative associate al rilevamento di un attacco. Un buon numero di sintomi è paragonabile a quelli che gli utenti di tecnologia sperimentano quotidianamente. Tra questi:
- La lentezza delle prestazioni di upload o download
- L’impossibilità di visualizzare un sito web
- La caduta della connessione a Internet
- La presenza di media e materiali strani o un’eccessiva quantità di spam.
Inoltre, la durata di un attacco DDoS può variare da poche ore a qualche mese e anche l’intensità dell’attacco può variare.
Quali sono le nazioni più colpite dagli attacchi DDoS?
Gli attacchi possono essere classificati in base ai livelli di connessione di una rete che prendono di mira, poiché i vari elementi di una rete sono i loro bersagli a seconda del tipo di attacco.
Secondo il modello OSI (Open Systems Interconnection), sviluppato dall’Organizzazione Internazionale per la Standardizzazione, una connessione a Internet è costituita da sette “livelli” distinti. Sistemi informatici diversi sono in grado di “parlare” tra loro grazie all’interoperabilità del modello.
Gli attacchi DDoS possono essere di diverse forme
Attacchi DDoS basati su volumi o volumetrici
L’obiettivo di questo tipo di attacco è prendere il controllo completo di tutta la larghezza di banda disponibile tra la vittima e la rete Internet. L’amplificazione del traffico del sistema dei nomi di dominio (DNS) è un esempio di attacco basato sul volume. In questa situazione ipotetica, l’aggressore falsifica prima l’indirizzo dell’obiettivo e poi effettua una richiesta di ricerca del nome DNS a un server DNS aperto utilizzando l’indirizzo falsificato.
Quando il server DNS fornisce la risposta al record DNS, questa viene invece inoltrata all’obiettivo, che riceve così una versione amplificata della piccola richiesta iniziale dell’attaccante.
Attacchi contro il protocollo
Gli attacchi ai protocolli utilizzano tutta la capacità disponibile sui server web o in altre risorse come i firewall.Sfruttano le vulnerabilità nei livelli 3 e 4 della pila di protocolli OSI per rendere l’obiettivo non disponibile.
Un esempio di attacco protocollare è il cosiddetto SYN flood. In questo tipo di attacco, l’aggressore invia alla vittima una quantità spropositata di richieste di handshake del protocollo di controllo della trasmissione (TCP) con indirizzi IP di origine falsificati.
Nonostante i server presi di mira si sforzino di reagire a ogni richiesta di connessione, l’handshake finale non ha mai luogo, con il risultato che l’obiettivo viene sopraffatto.
Attacchi al livello applicativo
Questi attacchi hanno lo stesso obiettivo di esaurire o sopraffare le risorse della vittima, ma sono difficili da identificare come malevoli. Un attacco al livello applicativo, che ha come obiettivo il livello in cui vengono create le pagine Web in risposta alle richieste del protocollo HTTP (Hypertext Transfer Protocol), viene spesso definito come attacco DDoS (Distributed Denial of Service) al livello 7, che si riferisce al livello 7 del modello OSI.
Per produrre un sito web, un server deve prima eseguire delle interrogazioni al database. Quando viene effettuato un attacco di questo tipo, l’autore fa lavorare il server della vittima più di quanto dovrebbe fare normalmente. Un HTTP flood è una forma di attacco a livello di applicazione che funziona in modo analogo all’aggiornamento continuo di un browser Web su più macchine contemporaneamente. Il server viene quindi sottoposto a un attacco Distributed Denial of Service (DDoS) come risultato diretto dell’eccessiva quantità di richieste HTTP.
Per difenderti adeguatamente dagli attacchi normativi e dai disastri di mercato, se hai esposizioni in criptovalute e DeFi leggi subito il nostro approfondimento per navigare senza paura durante la tempesta:
Sta arrivando l’Apocalisse DeFi e non ho niente da mettermi
Come ci si può proteggere contro gli attacchi DDoS
Anche se si è consapevoli di cosa sia un attacco DDoS (Distributed Denial of Service), è estremamente difficile evitare gli attacchi poiché il rilevamento potrebbe essere difficile. Ciò è dovuto al fatto che i sintomi dell’attacco possono non differire molto da quelli di un normale disservizio, come ad esempio un caricamento più lento dei siti online, e che il grado di sofisticazione e complessità degli attacchi DDoS continua a svilupparsi.
Inoltre, molte aziende considerano l’aumento del traffico internet come uno sviluppo positivo. Ciò avviene in particolare quando l’azienda in questione ha recentemente introdotto prodotti o servizi innovativi o divulgato informazioni che cambiano il settore. Poiché non è sempre possibile prevenire questi attacchi, la migliore linea d’azione per un’organizzazione è sviluppare una reazione per quando si verificano.
- Mitigazione degli attacchi DDoS
Una volta che un’organizzazione ha motivo di credere che sia in corso un attacco, ha a disposizione una serie di scelte per ridurre i danni causati dall’attacco. - Valutazione del rischio
Le valutazioni del rischio e gli audit di rete devono essere eseguiti di routine dalle aziende su tutti i loro dispositivi, server e reti. Anche se è impossibile evitare totalmente un DDoS, è molto utile avere una conoscenza completa dei punti di forza e di debolezza delle risorse hardware e software dell’organizzazione. Per capire quale approccio adottare per limitare i danni e le interruzioni che possono essere imposti da un assalto DDoS, è essenziale avere una solida comprensione di quali parti della rete di un’organizzazione sono più suscettibili di essere attaccate. - La differenziazione del traffico
Se un’azienda sospetta di essere stata recentemente colpita da un attacco DDoS (Distributed Denial of Service), una delle prime cose da fare è indagare sulla natura e sull’origine del volume di traffico anormalmente elevato. Ovviamente, un’azienda non può bloccare completamente tutti i visitatori del suo sito web, perché ciò significherebbe ignorare i clienti positivi insieme a quelli negativi.
L’utilizzo di una rete Anycast per disperdere il traffico di attacco su una rete di server dispersi è un approccio per mitigare gli effetti di un attacco.
In questo modo si rende il traffico più gestibile sulla rete, consentendogli di essere assorbito dal sistema. - Il metodo dei buchi neri per l’instradamento
Un altro tipo di protezione è il cosiddetto “black hole routing”, in cui l’amministratore di rete o il provider di servizi Internet di un’organizzazione costruisce un percorso che conduce a un buco nero e poi dirige tutto il traffico dell’azienda attraverso quel percorso. Utilizzando questa tattica, tutto il traffico, sia positivo che negativo, viene inviato a un percorso nullo e, di fatto, viene rimosso dalla rete. Ciò può essere piuttosto grave, in quanto si blocca anche il traffico legale, che potrebbe comportare perdite finanziarie per l’azienda. - Limitazione della velocità
Un altro metodo per difendersi dagli assalti DDoS consiste nel porre un limite al numero di richieste che un server può elaborare in un determinato periodo di tempo. L’uso di questa tattica da sola è in genere insufficiente per respingere un attacco più complesso, anche se potrebbe essere utile come parte di una strategia più completa. - Firewall
Alcune aziende decidono di implementare un Web Application Firewall (WAF) per limitare i danni causati da un attacco al livello applicativo o al Livello 7. Un web application firewall (WAF) è un dispositivo che svolge la funzione di reverse proxy e si colloca tra i server di un’organizzazione e Internet. Un’organizzazione, come qualsiasi altro firewall, ha la possibilità di costruire una serie di regole che filtrano le richieste.Può iniziare con una serie di criteri e poi regolare tali regole in base a ciò che rileva come schemi di comportamento sospetto effettuati dal DDoS.
Cosa fare se si pensa di essere stati vittima di un attacco DDoS
Se un’azienda sospetta di essere stata recentemente colpita da un attacco DDoS (Distributed Denial of Service), una delle prime cose da fare è indagare sulla natura e sull’origine del volume di traffico anormalmente elevato. Ovviamente, un’azienda non può bloccare completamente tutti i visitatori del suo sito web, perché ciò significherebbe ignorare i clienti positivi insieme a quelli negativi.
L’utilizzo di una rete Anycast consente di distribuire il traffico dannoso su una rete di server sparsi, come approccio per mitigare il rischio. Questo per rendere il traffico più gestibile sulla rete, permettendogli di essere assorbito dal sistema.
Domande frequenti sugli attacchi DDOS
Esistono misure di protezione contro gli attacchi DDoS?
Una soluzione di protezione DDoS completamente completa è composta da componenti che offrono assistenza all’azienda nelle aree di monitoraggio e di difesa. Poiché il grado di sofisticazione e di complessità degli attacchi continua ad aumentare, le aziende desiderano una soluzione in grado di aiutarle ad affrontare contemporaneamente sia le minacce note che quelle zero-day.
Un sistema di protezione DDoS deve avvalersi di una serie di tecnologie in grado di difendersi da ogni possibile tipo di assalto DDoS e di monitorare centinaia di migliaia di parametri contemporaneamente.
Che cos’è un attacco DDoS?
DDoS è l’abbreviazione di “Distributed Denial-of-Service”, un tipo di crimine informatico in cui l’autore dell’attacco sovraccarica un server con un’eccessiva quantità di traffico internet per impedire agli utenti di accedere a servizi online e siti web collegati.
Quando è opportuno utilizzare un attacco di tipo distributed denial of service?
L’obiettivo di un attacco DDoS (Distributed Denial of Service) è quello di inondare i dispositivi, i servizi e la rete dell’obiettivo con un traffico Internet fasullo, al fine di rendere tali risorse non disponibili o inutilizzabili per gli utenti reali.
Come si presenta un esempio di attacco DDoS?
Gli attacchi possono essere classificati in base ai livelli di connessione di una rete che prendono di mira, poiché i vari elementi di una rete sono i loro obiettivi a seconda del tipo di attacco. Di seguito sono elencati i tre tipi:
- Attacchi basati su volumi o volumetrici
- Attacchi al livello di applicazione
- Attacchi al protocollo
