Cos’è un attacco DDoS?
Un attacco DDoS, acronimo di “Distributed Denial of Service” (in italiano “Attacco Distribuito di Negazione del Servizio”), è un tipo di attacco informatico in cui un aggressore cerca di sovraccaricare un sistema, un servizio o una rete con una grande quantità di traffico di dati o richieste, al fine di renderlo inutilizzabile per gli utenti legittimi.
Gli attacchi DDoS sono chiamati “distribuiti” perché coinvolgono spesso una rete di computer compromessi o “botnet” per generare il traffico dannoso.
Cosa fa un attacco DDoS?
Ecco come funziona un attacco DDoS.
- Raccolta di una botnet: gli aggressori raccolgono una rete di dispositivi compromessi, come computer, server o dispositivi IoT, attraverso l’infezione da malware o altre vulnerabilità di sicurezza. Questi dispositivi vengono chiamati “zombie” e sono controllati dall’aggressore senza il consenso dei proprietari.
- Coordinazione dell’attacco: una volta che l’aggressore ha il controllo sulla botnet, può coordinare i dispositivi per inviare una quantità massiccia di richieste o dati al bersaglio desiderato.
- Saturazione del bersaglio: il bersaglio dell’attacco DDoS, che può essere un sito web, un server, una rete o un’applicazione online, riceve una quantità eccessiva di traffico o richieste, che possono essere molto difficili da gestire. Questo sovraccarico può causare un’interruzione dei servizi, rendendo il sistema inaccessibile agli utenti legittimi.
Gli attacchi DDoS possono essere utilizzati per scopi diversi, come sabotaggio, estorsione, proteste online o semplicemente per disturbare i servizi online. Le organizzazioni spesso implementano misure di sicurezza come firewall, sistemi di rilevamento degli attacchi DDoS e servizi di mitigazione per proteggersi da tali attacchi.
Come individuare un attacco DDoS?
L’identificare un attacco Distributed Denial of Service può essere una sfida, ma ci sono segnali e indicatori che possono aiutarti a riconoscerlo. Ecco alcuni metodi comuni per individuare un attacco DDoS.
- Monitoraggio del traffico di rete: utilizzando strumenti di monitoraggio di rete, è possibile tenere traccia del volume di traffico in entrata e uscita dalla tua rete o dal tuo server. Se si verifica un picco improvviso e massiccio di traffico in ingresso, potrebbe essere un segnale di un attacco DDoS.
- Analisi del traffico anormale: esamina da vicino il traffico di rete per identificare modelli anomali. Ad esempio, se vedi una quantità eccessiva di richieste provenire da una singola origine o da indirizzi IP sospetti, potrebbe essere un segno di un attacco.
- Errori del server o della rete: se noti che i tuoi server o la tua rete iniziano a rispondere lentamente, diventano inaccessibili o generano errori insoliti, potrebbe essere dovuto a un attacco DDoS che sta sovraccaricando le risorse.
- Verifica dei log del server: controlla i log del server per vedere se ci sono molte richieste o connessioni provenienti da indirizzi IP sconosciuti o sospetti. Questo potrebbe essere un indicatore di un attacco.
- Utilizzo di strumenti di rilevamento: ci sono servizi e strumenti di rilevamento degli attacchi DDoS disponibili che possono aiutarti a identificare e mitigare gli attacchi in tempo reale. Questi strumenti possono monitorare il traffico e attivare misure di protezione automatiche.
- Avvertenze da parte dei fornitori di servizi: alcuni fornitori di servizi di hosting o di sicurezza possono rilevare attacchi DDoS e inviarti avvisi o attivare misure di mitigazione.
- Monitoraggio della larghezza di banda: verifica l’utilizzo della larghezza di banda. Un aumento improvviso e significativo dell’utilizzo della larghezza di banda potrebbe essere un segno di un attacco.
- Segnali anomali dal tuo sistema di protezione: se hai un sistema di mitigazione degli attacchi DDoS in uso, potresti ricevere segnali o avvisi da esso riguardo a un attacco in corso.
Una volta individuato un attacco DDoS, è importante agire rapidamente per mitigare l’attacco. Questo può includere la riduzione del traffico dannoso o la ridistribuzione del traffico per mantenere i servizi online. La preparazione in anticipo con misure di sicurezza e piani di risposta agli attacchi DDoS è essenziale per affrontare con successo tali situazioni.
Tipologie di attacchi DDoS
Gli attacchi DDoS possono variare in base alle tecniche utilizzate e agli obiettivi dell’aggressore. Ecco alcune dei tipi più comuni di attacchi DDoS.
Attacco DDoS di sovraccarico di larghezza di banda
Questo è il tipo più comune di attacco DDoS. In questo caso, gli aggressori cercano di saturare la larghezza di banda del bersaglio generando un volume massiccio di traffico, come pacchetti UDP (User Datagram Protocol) o ICMP (Internet Control Message Protocol) falsificati. Questo può far diventare inaccessibile il servizio o il sito web bersaglio.
Attacco DDoS di sovraccarico delle risorse del server
Invece di mirare alla larghezza di banda, questo tipo di attacco mira a sovraccaricare le risorse del server, come la CPU, la memoria o le connessioni. Gli aggressori inviano richieste complesse o risorse pesanti al server, che richiedono un’elevata capacità di elaborazione per gestire. Ciò può rallentare o interrompere il server.
Attacco DDoS a livello di applicazione
Questo tipo di attacco è mirato alle applicazioni web o ai servizi specifici eseguiti su un server. Gli aggressori inviano un gran numero di richieste legittime ma complesse al server, sovraccaricandolo. Questi attacchi sono spesso difficili da rilevare, poiché sembrano richieste legittime.
Attacco DDoS ad amplificazione
In questo tipo di attacco, gli aggressori sfruttano protocolli che generano risposte molto più grandi rispetto alle richieste inviate. Ad esempio, un attacco DDoS a amplificazione può utilizzare protocolli come DNS (Domain Name System) o NTP (Network Time Protocol) per inviare piccole richieste che generano risposte molto più grandi, sovraccaricando il bersaglio.
Attacco DDoS a livello di rete
Questi attacchi mirano ai componenti di rete, come router, firewall o dispositivi di rete. Gli aggressori cercano di sovraccaricare o compromettere questi componenti, causando interruzioni nella connettività di rete.
Attacco DDoS a livello fisico
Questo tipo di attacco coinvolge la danneggiamento o la distruzione fisica dei componenti di rete, ad esempio il taglio dei cavi di rete. Anche se meno comuni, possono avere un impatto significativo sulla disponibilità dei servizi.
Attacco DDoS a tunneling
Gli aggressori possono utilizzare tunneling, ossia una tecnica di rete che consente di incapsulare un protocollo di comunicazione all’interno di un altro protocollo, creando un “tunnel” attraverso una rete di comunicazione, per nascondere il traffico dannoso all’interno del traffico legittimo. Questo può rendere l’individuazione dell’attacco più difficile.
Attacco DDoS a livello di servizio
Questi attacchi mirano a sfruttare debolezze o vulnerabilità specifiche nei servizi o nelle applicazioni per renderli inaccessibili o interromperne il funzionamento.
Come mitigare un attacco DDoS
La mitigazione di un attacco DDoS richiede una combinazione di strategie di difesa e la preparazione in anticipo. Ecco alcune delle principali misure che puoi adottare per mitigare un attacco DDoS.
- Servizi di mitigazione DDoS: molte aziende offrono servizi specializzati di mitigazione DDoS che possono filtrare il traffico dannoso prima che raggiunga la tua infrastruttura. Questi servizi sono spesso in grado di identificare e mitigare in tempo reale gli attacchi, indirizzando solo il traffico legittimo verso i tuoi server.
- Firewall e dispositivi di sicurezza: utilizza firewall e altri dispositivi di sicurezza per filtrare il traffico indesiderato. Puoi configurare regole specifiche per bloccare o limitare il traffico sospetto o non necessario.
- Bilanciatori di carico: utilizza bilanciatori di carico per distribuire il traffico tra più server. Questo può aiutare a ridurre l’impatto degli attacchi DDoS, distribuendo il traffico in modo uniforme tra i server disponibili.
- Riduzione della superficie di attacco: riduci la superficie di attacco limitando l’accesso ai tuoi servizi solo da indirizzi IP noti e attendibili. Puoi utilizzare liste bianche o nere per consentire o bloccare l’accesso in base all’IP.
- Usa una Content Delivery Network (CDN): le CDN sono in grado di distribuire il traffico su server distribuiti in tutto il mondo, riducendo il carico sui tuoi server principali. Inoltre, spesso hanno funzionalità di mitigazione degli attacchi DDoS integrate.
- Monitoraggio e rilevamento degli attacchi: implementa sistemi di monitoraggio del traffico di rete e di rilevamento degli attacchi DDoS. Questi sistemi possono aiutarti a identificare tempestivamente gli attacchi in corso.
- Pianificazione della capacità: assicurati di avere risorse di rete e server adeguate per gestire picchi di traffico improvvisi. In questo modo, potrai sopportare meglio gli attacchi DDoS senza che i tuoi servizi diventino inaccessibili.
- Pianificazione della risposta agli attacchi: prepara un piano di risposta agli attacchi DDoS che definisca le azioni da intraprendere quando un attacco è in corso. Questo può includere l’attivazione di servizi di mitigazione, il contatto con il tuo provider di servizi Internet o l’isolamento del traffico dannoso.
- Collaborazione con il provider di servizi Internet (ISP): lavora a stretto contatto con il tuo ISP per bloccare o filtrare il traffico dannoso prima che raggiunga la tua rete. Molti ISP offrono servizi di mitigazione DDoS.
- Aggiornamenti e patch: mantieni tutti i tuoi sistemi e applicazioni aggiornati con le patch di sicurezza più recenti per ridurre le vulnerabilità che potrebbero essere sfruttate dagli aggressori.
Ricorda che la preparazione e la difesa in anticipo sono fondamentali per mitigare con successo gli attacchi DDoS. Non esiste una soluzione universale per tutti gli attacchi, quindi è importante utilizzare una combinazione di queste misure in base alle tue esigenze specifiche e alla tua infrastruttura.
Come mitigare un attacco DDoS?
Nel processo di mitigazione di un attacco DDoS, la sfida principale consiste nella capacità di discriminare tra il traffico malevolo dell’attacco e il traffico legittimo.
Ad esempio, se un sito web aziendale viene improvvisamente invaso da un’enorme affluenza di clienti interessati a seguito del lancio di un nuovo prodotto, bloccare tutto il traffico rappresenterebbe un errore. Tuttavia, se l’azienda dovesse subire un improvviso aumento del traffico proveniente da noti aggressori, diventerebbe necessario adottare misure per affrontare un attacco.
Nel contesto dell’Internet moderna, gli attacchi DDoS possono assumere forme molto variegate. Il traffico dannoso può adottare diversi schemi, dalle intrusioni provenienti da una singola sorgente non contraffatta a complessi attacchi multi-vettore e adattivi.
Un attacco DDoS multi-vettore sfrutta percorsi di attacco multipli per sovraccaricare la vittima in diversi modi, cercando di eludere le contromisure in ogni direzione possibile.
Un esempio di attacco DDoS multi-vettore coinvolge il colpire simultaneamente diversi strati del protocollo, come un attacco di amplificazione DNS (che mira ai livelli 3/4) combinato con un flood HTTP (mirante al livello 7).
Affrontare un attacco DDoS multi-vettore richiede l’adozione di varie strategie per affrontare diverse modalità di infezione.
In generale, più un attacco è complesso, più sarà difficile distinguerlo dal traffico legittimo. Gli aggressori cercano infatti di mimetizzarsi al meglio, complicando al massimo le operazioni di mitigazione.
Le strategie di mitigazione che comportano il blocco totale o la limitazione indiscriminata del traffico possono comportare la conseguente esclusione di sia il traffico legittimo che quello malevolo. Inoltre, l’attacco può adattarsi e modificarsi per eludere le contromisure. Per affrontare con successo un attacco sofisticato, è necessaria una soluzione a più livelli.
Utilizzo dell’Instradamento a un Blackhole
Una soluzione ampiamente disponibile per gli amministratori di rete consiste nell’applicare l’istradamento a un blackhole, incanalando il traffico verso questo percorso. In modo semplice, l’implementazione di questa tecnica comporta l’instradamento di tutto il traffico, sia legittimo che dannoso, verso un percorso nullo, eliminandolo così dalla rete.
Se un’organizzazione è vittima di un attacco DDoS, il provider di servizi Internet (ISP) dell’organizzazione può instradare l’intero traffico del sito verso un blackhole come difesa. Tuttavia, questa non rappresenta una soluzione ideale, poiché offre all’aggressore l’obiettivo desiderato: rendere inaccessibile la rete.
Limitazione della Frequenza
Una strategia utile per affrontare un attacco DDoS consiste nella limitazione del numero di richieste che un server può accettare in un determinato intervallo di tempo. Questa pratica è efficace nel rallentare il furto di contenuti da parte di pirati del web e nel mitigare i tentativi di accesso con forza bruta. Tuttavia, da sola, potrebbe non essere sufficiente per affrontare con successo un attacco DDoS complesso.
La limitazione della frequenza rappresenta comunque una componente utile all’interno di una strategia di mitigazione DDoS complessiva.
Firewall delle Applicazioni Web (WAF)
Un Web Application Firewall (WAF) è uno strumento efficace per la mitigazione degli attacchi DDoS al livello 7. Collocato tra Internet e un server di origine, un WAF funge da proxy inverso, proteggendo il server dai tipi specifici di traffico dannoso. Il filtro delle richieste basato su regole specifiche può ostacolare gli attacchi di livello 7. Un valore chiave di un WAF efficace è la possibilità di implementare rapidamente regole personalizzate in risposta a un attacco.
Dissipazione tramite Rete Anycast
Questa strategia di mitigazione sfrutta una rete Anycast per disperdere il traffico dell’attacco attraverso una rete di server distribuiti che lo assorbono. Analogamente all’incanalamento di un fiume rapido in
Attacchi DDoS famosi
Ci sono stati diversi attacchi DDoS famosi nel corso degli anni, alcuni dei quali hanno ricevuto molta attenzione mediatica a causa della loro portata o della notorietà degli obiettivi. Ecco alcuni esempi di attacchi DDoS noti:
- Attacco DDoS su Dyn, 2016. Un attacco DDoS di grandi proporzioni ha colpito la società di servizi DNS Dyn, causando interruzioni di servizio che hanno reso inaccessibili alcuni dei siti web più popolari, tra cui Twitter, Netflix, Reddit e altri. Questo attacco è stato eseguito utilizzando una botnet composta principalmente da dispositivi IoT compromessi.
- Attacco DDoS su GitHub, 2018. GitHub è stato oggetto di un attacco DDoS record, che è stato uno dei più grandi mai registrati. L’attacco ha raggiunto un picco di 1,35 Tbps (terabit per secondo) di traffico dannoso. GitHub è riuscito a mitigare l’attacco con successo e a ripristinare i suoi servizi.
- Attacco DDoS su la radio francese France Inter, 2020. La stazione radio francese France Inter è stata colpita da un attacco DDoS che ha interrotto le trasmissioni per alcune ore. L’attacco è stato rivendicato da un gruppo di hacker sconosciuti.
- Attacco DDoS su Cloudflare, 2016. Cloudflare, la popolare società di sicurezza e servizi CDN, è stata colpita da un attacco DDoS che ha raggiunto un picco di 470 Gbps di traffico dannoso. La società è riuscita a mitigare l’attacco con successo, dimostrando l’efficacia delle loro soluzioni di sicurezza.
- Attacco DDoS su KrebsOnSecurity, 2016. Il noto blogger per la sicurezza Brian Krebs ha subito un attacco DDoS che ha raggiunto un picco di oltre 600 Gbps di traffico dannoso. Questo attacco è stato noto per la sua portata e l’uso di una botnet Mirai, composta principalmente da dispositivi IoT compromessi.
- Attacco DDoS su la Liberia, 2016. la Liberia è stata colpita da un massiccio attacco DDoS che ha interrotto l’accesso a Internet nel paese per diverse ore. Questo attacco ha sollevato preoccupazioni sulla vulnerabilità delle infrastrutture di rete di alcune nazioni.
- Attacco DDoS su Twitter, 2020. Twitter è stato colpito da un attacco DDoS che ha reso il servizio temporaneamente inaccessibile. L’attacco non ha causato danni duraturi, ma ha attirato l’attenzione mediatica.
Questi sono solo alcuni esempi di attacchi DDoS noti. Gli attacchi DDoS possono colpire qualsiasi tipo di obiettivo online e possono variare notevolmente in termini di portata e durata. La difesa contro tali attacchi richiede misure di sicurezza informatica adeguate e la capacità di rispondere rapidamente per mitigarne gli effetti.