Cos'è un attacco DDoS?

Un DDoS, o Distributed Denial-of-Service, è un tipo di attacco informatico che tenta di rendere non disponibile un sito web o una risorsa di rete sovraccaricandoli con traffico dannoso e rendendoli, così, inutilizzabili.

Cos'è un attacco DDoS?

Significato di attacco DDoS

In un attacco DDoS (Distributed Denial-of-Service), un criminale sovraccarica la sua vittima con traffico Internet indesiderato, impedendo al traffico normale di giungere alla destinazione prevista.

Ma cosa significa esattamente tutto questo? Immaginate il vostro film di zombie preferito. Frotte di creature infette, tutte con lo stesso obiettivo: sopraffare le persone diffondendo la "piaga zombie". Invadono le stazioni di polizia, depredano le forze militari e danneggiano i servizi di assistenza sanitaria. Poi, inevitabilmente, si crea un enorme ingorgo di traffico che si diffonde a perdita d'occhio in autostrada, mentre le persone tentano di fuggire per mettersi in salvezza. Un attacco DDoS è proprio così: un'apocalisse di zombie online. Ma, al posto degli zombie, orde di computer infetti che prendono di mira un determinato sito web, tutti contemporaneamente, allontanando persone e affari.

Un attacco DDoS al sito web di un'azienda, a un'applicazione web, alle API, a una rete o all'infrastruttura di un data center può causare downtime e impedire agli utenti legittimi di acquistare prodotti, fruire di un servizio, ottenere informazioni o qualsiasi altra cosa.

Durante un attacco DDoS, i malintenzionati sfruttano una grande quantità di macchine e dispositivi connessi su Internet, come dispositivi IoT (Internet of Things), smartphone, personal computer e server di rete, per inviare un afflusso di traffico verso le varie destinazioni.

Come agisce un attacco DDoS?

Gli attacchi DDoS sfruttano reti di dispositivi connessi a Internet per negare agli utenti l'accesso a un server o a una risorsa di rete, ad esempio un sito web o un'applicazione che utilizzano spesso.

Per sferrare un attacco DDoS, i malintenzionati utilizzano dei malware o sfruttano le vulnerabilità della sicurezza per infettare in maniera dannosa macchine e dispositivi e assumerne il controllo. Ogni computer o dispositivo infettato, detto "bot" o "zombie", diventa così in grado di diffondere ulteriormente il malware, oltre che di prendere parte ad attacchi DDoS. Questi bot si accumulano formando eserciti interi, detti "botnet", che, facendo leva sulla potenza della propria numerosità, amplificano la portata degli attacchi. E, poiché non si accorgono che i dispositivi IoT sono infetti, proprio come capita quando si scarica il b-movie di turno sugli zombie senza sapere che è infetto, i proprietari dei dispositivi legittimi diventano vittime secondarie o partecipanti inconsapevoli degli attacchi, mentre le organizzazioni colpite hanno difficoltà a identificare i malintenzionati.

Dopo aver creato una botnet, un malintenzionato può inviare istruzioni a ogni bot da remoto,

indirizzando un attacco DDoS verso il sistema target. Quando una botnet attacca una rete o un server, il malintenzionato ordina ai singoli bot di inviare richieste all'indirizzo IP della vittima. Proprio come noi umani abbiamo impronte digitali univoche, così i nostri dispositivi hanno un indirizzo univoco che li identifica su Internet o su una rete locale. Il risultato del sovraccarico di traffico è il rifiuto di un servizio, impedendo, così, al traffico normale di accedere a siti web, applicazioni web, API o reti.

A volte le botnet, con le loro reti di dispositivi compromessi, vengono affittate per sferrare altri potenziali attacchi tramite servizi di hacking "su commissione". Ciò consente alle persone malintenzionate, ma prive di formazione o esperienza in merito, di sferrare facilmente attacchi DDoS anche da soli.

Tipi di attacchi DDoS

Esistono molti tipi diversi di attacchi DDoS e i malintenzionati spesso ne utilizzano vari quando creano scompiglio negli ambienti colpiti. I tre tipi principali sono attacchi volumetrici, attacchi di protocolli e attacchi a livello di applicazione.. Lo scopo di tutti gli attacchi è rallentare gravemente o impedire del tutto al traffico legittimo di raggiungere la sua destinazione. Degli esempi potrebbero essere il fatto di negare a un utente di accedere a un sito web, acquistare un prodotto o servizio, guardare un video o interagire sui social media. Inoltre, non rendendo più disponibili le risorse o riducendone le performance, un attacco DDoS può causare l'arresto completo di un'azienda. Ne conseguirebbe l'impossibilità dei dipendenti di accedere alle e-mail, ad applicazioni web o semplicemente di lavorare come al solito.

Per meglio comprendere il funzionamento di un attacco DDoS, analizziamo le varie strade che possono intraprendere i malintenzionati. Il modello di interconnessione a sistema aperto, anche noto come "modello OSI", è un modello multilivello per vari standard di rete e contiene sette livelli diversi. Ogni livello del modello OSI ha uno scopo univoco, come i piani di un edificio in cui ogni ufficio svolge la propria funzione individuale. I malintenzionati prendono di mira i vari livelli, a seconda del tipo di risorsa web o su Internet che desiderano intralciare.

I sette livelli di connettività di rete nel modello OSI coinvolti in un attacco DDoS

Livello 7: applicazione

Il livello dell'applicazione è quello più alto e più vicino all'utente finale. È lì che le persone si interfacciano con computer e dispositivi e le reti si connettono alle applicazioni.

Livello 6: presentazione

La crittografia e decrittografia dei dati si verificano al livello della presentazione, per consentire una trasmissione sicura.

Livello 5: sessione

Il livello della sessione consente a dispositivi, computer o server di comunicare tra loro e controllare porte e sessioni.

Livello 4: trasporto

Al livello di trasporto, i dati vengono inoltrati tramite un protocollo TCP (Transmission Control Protocol) che si basa sul protocollo Internet (IP), anche noto come TCP/IP.

Livello 3: rete

Il livello della rete stabilisce il percorso fisico che intraprenderanno i dati per arrivare a destinazione.

Livello 2: datalink

Il livello datalink offre un modo per trasferire i dati tra entità di rete. È anche un mezzo per rilevare e correggere errori che possono verificarsi nel livello fisico.

Livello 1: fisico

Il livello 1, nonché il più basso, è il livello fisico, in cui i bit di dati non elaborati vengono trasmessi tramite un datalink fisico che collega i nodi di rete.

Attacchi volumetrici

L'intento di un attacco DDoS volumetrico è quello di sopraffare una rete con enormi quantità di traffico, congestionando la larghezza di banda della risorsa della vittima prescelta. Le grandi quantità di traffico di attacco impediscono agli utenti legittimi di accedere a un'applicazione o servizio, arrestando, al contempo, il flusso in entrata o in uscita del traffico. A seconda di quale sia la vittima di un attacco, l'arresto del traffico legittimo può significare ad esempio che il cliente di una banca non ha modo di pagare una bolletta per tempo, i clienti di un e-commerce non possono completare le transazioni online, la cartella clinica del paziente di un ospedale può essere esclusa o un cittadino può non riuscire più a visualizzare le tasse pagate a un ente governativo. A prescindere dall'organizzazione vittima, impedire alle persone di utilizzare un servizio online che si aspettano funzioni ha un impatto negativo.

Gli attacchi volumetrici utilizzano botnet create a partire da eserciti di singoli sistemi e dispositivi infettati da malware. Controllati da un malintenzionato, i bot vengono utilizzati per congestionare una vittima precisa e Internet in generale con del traffico dannoso che occupa tutta la larghezza di banda disponibile.

Una quantità imprevista di traffico di bot può ridurre notevolmente o impedire l'accesso a una risorsa web o servizio su Internet. Poiché i bot assumono il controllo di dispositivi legittimi per amplificare gli attacchi DDoS che fanno un uso intensivo della larghezza di banda, spesso a insaputa degli utenti, il traffico dannoso è difficile da individuare da parte dell'organizzazione vittima.

Tipi comuni di attacchi volumetrici

Esistono vari tipi di vettori di attacchi DDoS volumetrici utilizzati dai criminali. Molti sfruttano tecniche di riflessione e amplificazione per sopraffare una rete o servizio target.

UDP FLOOD

Gli UDP flood vengono spesso scelti per gli attacchi DDoS su una larghezza di banda più ampia. I malintenzionati tentano di sopraffare le porte dell'host target con pacchetti IP contenenti protocolli UDP stateless. L'host vittima, quindi, cerca applicazioni associate ai pacchetti UDP e, quando non ne trova, restituisce al destinatario il messaggio "Destinazione non raggiungibile". Gli indirizzi IP vengono spesso contraffatti per rendere anonimo un malintenzionato e, una volta inondato l'host target di traffico di attacco, il sistema non risponde più e non è più disponibile agli utenti legittimi.

Riflessione/amplificazione DNS

Gli attacchi di riflessione al DNS sono un tipo comune di vettore in cui i criminali informatici eseguono lo spoofing dell'indirizzo IP della vittima per inviare grandi quantità di richieste ai server DNS aperti. A loro volta, questi server DNS rispondono alle richieste dannose fatte dall'indirizzo IP contraffatto, creando, così, un attacco al target prescelto attraverso un afflusso di risposte DNS. Il grande volume di traffico creato dalle risposte DNS sovraccarica molto rapidamente i servizi dell'organizzazione vittima, rendendoli non più disponibili e impedendo al traffico legittimo di raggiungere la destinazione prevista.

ICMP flood

Il protocollo ICMP (Internet Control Message Protocol) viene usato principalmente per la messaggistica di errore e, in genere, non consente uno scambio di dati tra sistemi diversi. I pacchetti ICMP possono accompagnare pacchetti TCP (Transmission Control Protocol) che consentono ai programmi applicativi e ai dispositivi di elaborazione di scambiarsi messaggi tramite una rete durante la connessione a un server. Un ICMP flood è un metodo di attacco DDoS per infrastrutture a 3 livelli che utilizza messaggi ICMP per sovraccaricare la larghezza di banda della rete presa di mira.

Attacchi ai protocolli

Gli attacchi ai protocolli tentano di consumare ed esaurire la capacità di elaborazione di varie risorse dell'infrastruttura di una rete, come server o firewall, attraverso richieste di connessione dannosa che sfruttano le comunicazioni con i protocolli. I SYN (Synchronize) flood e lo Smurf DDoS sono due tipi comuni di attacchi DDoS basati su protocolli. È possibile misurare gli attacchi ai protocolli in pacchetti al secondo (pps) e bit al secondo (bps).

Attacco SYN flood

Uno dei principali metodi che hanno le persone per connettersi alle applicazioni Internet è tramite il protocollo TCP (Transmission Control Protocol). Questa connessione richiede un handshake a tre vie da un servizio TCP, come un server web, e comprende l'invio del cosiddetto pacchetto SYN (sincronizzazione), dal quale l'utente si connette al server. Quest'ultimo restituisce un pacchetto SYN-ACK (riconoscimento sincronizzazione), al quale infine si risponde con una comunicazione ACK (riconoscimento) finale per completare l'handshake del TCP.

Durante un attacco SYN flood, un client dannoso invia una grande quantità di pacchetti SYN (parte del solito handshake), ma non invia mai il riconoscimento per il completamento dell'handshake.  Ciò fa restare il server in attesa di una risposta per queste connessioni TCP semiaperte, che finiscono con l'esaurire la capacità di accettare nuovi collegamenti per i servizi che monitorano gli stati di connessione. 

Un attacco SYN flood è come un terribile scherzo fatto dall'intera classe di maturandi di un liceo molto grande, in cui ogni studente chiama la stessa pizzeria e ordina una pizza in quello stesso lasso di tempo. Perciò, quando la persona che consegna va a organizzare il tutto, si accorge che ci sono troppe pizze da mettere in macchina e che sull'ordine non è indicato alcun indirizzo: tutta la consegna è in sospeso.

Attacco Smurf DDoS

Il nome di questo attacco DDoS si basa sul concetto che tanti piccoli malintenzionati possono sopraffare un nemico molto più potente grazie al volume di traffico, proprio come la colonia fittizia di piccoli umanoidi blu che danno il nome all'attacco, i Puffi.

In un attacco Smurf DDoS (Distributed Denial-of-Service), grandi quantità di pacchetti ICMP (Internet Control Message Protocol) con l'IDP di origine del target previsto sottoposto a spoofing vengono trasmesse a una rete di computer tramite un indirizzo broadcast IP. Per impostazione predefinita, la maggior parte dei dispositivi di una rete risponderà all'indirizzo IP sorgente. A seconda del numero di macchine sulla rete, il computer della vittima potrebbe subire rallentamenti fino a soccombere sotto il peso del traffico.

Attacchi a livello di applicazione

Esempio: attacco HTTP flood

Sferrati sobbarcando le applicazioni di richieste dannose, gli attacchi a livello di applicazione vengono misurati in richieste al secondo (RPS). Anche detti attacchi DDoS di livello 7, questi attacchi prendono di mira e distruggono applicazioni web specifiche e non intere reti. Seppure siano difficili da prevenire e mitigare, sono tra gli attacchi DDoS più semplici da sferrare.

Per contro, è facile spaventare una mandria di cavalli e farla correre via, ma quasi impossibile poi ripristinare l'ordine. Gli attacchi a livello di applicazione sono proprio così: facili da implementare, difficili da rallentare o arrestare e specifici per il target.

A cosa servono gli attacchi DDoS?

Gli attacchi DDoS (Distributed Denial-of-Service) cercano di danneggiare servizi online, siti web e applicazioni web inondandoli di traffico dannoso da più fonti o esaurendo le risorse di elaborazione della risorsa presa di mira. L'obiettivo del malintenzionato è quello di rendere non più disponibile il target agli utenti legittimi, perché si tratta di una vera e propria interruzione. Gli attacchi DDoS prendono di mira una vasta gamma di risorse dalle quali dipendono ogni giorno le persone, come servizi finanziari, informazioni sanitarie, agenzie di stampa, sistemi di istruzione e shopping online. 

Esistono molte ragioni sul perché i criminali sferrano attacchi DDoS mirati a distruggere le organizzazioni. Le motivazioni più comuni comprendono:

  • Hactivismo legato a ragioni politiche o sociali

  • Autori di attacchi governativi, mirati a causare danni economici o sociali

  • Tentativi di attrarre nuovi affari se un servizio o prodotto della concorrenza non è disponibile

  • DDoS utilizzati come cortina di fumo per distrarre un team di risposta agli incidenti da un attacco più sofisticato e insidioso

  • Estorsione volta a ottenere un guadagno o profitto finanziario

Più di recente, gli attacchi DDoS sferrati a scopo di estorsione sono stati una motivazione molto importante per i criminali informatici. Noti anche come attacchi DDoS con richiesta di riscatto (RDDoS, ransom DDoS), gli attacchi DDoS a scopo di estorsione si verificano quando alcuni gruppi di autori di attacchi (e imitatori simili) minacciano le organizzazioni con un evento DDoS se non viene pagato un riscatto o rispettato l'ultimatum dell'estorsione. Spesso questi criminali sferrano un attacco di "dimostrazione di forza" per dimostrare appunto la propria capacità di causare interruzioni e aumentare le probabilità che l'azienda presa di mira effettivamente accetti di pagare il riscatto richiesto. Per evitare l'arresto, gli autori dell'attacco insistono su un pagamento in criptovaluta, come i bitcoin.

Proprio come un bullo che ruba i compiti a un compagno alle elementari che, per riaverli, deve dargli i soldi destinati a comprarsi il pranzo, così gli attacchi DDoS a scopo di estorsione vertono sul riscatto. Nel sofisticato mondo dei bulli online, i soldi del riscatto sono digitali e non tracciabili.

 

Come difendersi dagli attacchi DDoS

Con un runbook e una solida strategia contro gli attacchi DDoS, le organizzazioni possono proteggersi e limitare le interruzioni da essi derivanti. La protezione delle soluzioni basate su cloud contro gli attacchi DDoS ad alta capacità, a elevate performance e always-on può impedire che il traffico dannoso raggiunga un sito web o interferisca con la comunicazione tramite un'API web. Un servizio di scrubbing basato sul cloud può mitigare rapidamente gli attacchi che mirano alle risorse non web, come l'infrastruttura di rete, su vasta scala.

Protezione dagli attacchi DDoS

Nell'ambito di un panorama di attacchi in costante evoluzione, la protezione dagli attacchi DDoS attraverso un provider per la mitigazione che adotti un approccio di difesa approfondita può tenere al sicuro organizzazioni e utenti finali. Un servizio di mitigazione degli attacchi DDoS individuerà e bloccherà gli attacchi DDoS il prima possibile, in teoria, in zero secondi o poco più a partire dal momento in cui il traffico di attacco raggiunge i centri di scrubbing del provider di mitigazione. Poiché i vettori di attacco continuano a cambiare con una portata sempre maggiore, per ottenere il miglior livello di protezione dagli attacchi DDoS, un provider deve continuamente investire nelle capacità di difesa. Per tenere il passo con gli attacchi più ampi e complessi, sono necessarie le tecnologie giuste a rilevare traffico dannoso e intraprendere solide contromisure di difesa per mitigare rapidamente gli attacchi.

I provider di mitigazione degli attacchi DDoS filtrano il traffico dannoso per evitare che raggiunga la risorsa presa di mira. Il traffico dell'attacco viene bloccato da un servizio di scrubbing DDoS, un servizio DNS basato sul cloudoppure un servizio di protezione del web basato su CDN. La mitigazione basata sul cloud rimuove il traffico di attacco ancora prima che raggiunga la destinazione.

Scrubbing DDoS sul cloud

Lo scrubbing DDoS può mantenere operative le attività online anche durante un attacco. Al contrario di una mitigazione basata su CDN, un servizio di scrubbing DDoS è in grado di offrire protezione su tutte le porte, i protocolli e le applicazioni di un data center, compresi i servizi web e basati su IP. Le organizzazioni indirizzano il traffico di rete in uno di questi due modi: tramite la modifica delle informazioni di routing del protocollo BGP (Border Gateway Protocol) oppure un reindirizzamento del DNS (un record o CNAME) all'infrastruttura di scrubbing del provider di mitigazione. Il traffico viene monitorato e analizzato, per ricercare attività dannose e la mitigazione si applica al rilevamento degli attacchi DDoS. In genere, questo servizio può essere reso disponibile sia in configurazioni On Demand che sempre attive, a seconda della strategia di sicurezza preferita di un'organizzazione, anche se un numero più alto che mai di organizzazioni sta passando a un modello di implementazione continuo, data la sua risposta difensiva più rapida.

Difesa basata su CDN

Una rete per la distribuzione dei contenuti (CDN) avanzata adeguatamente configurata può aiutare a difendersi dagli attacchi DDoS. Quando un provider di servizi di protezione per i siti web utilizza la sua CDN per accelerare in maniera specifica il traffico tramite protocolli HTTP e HTTPS, tutti gli attacchi DDoS mirati a quel dato URL possono poi essere interrotti sull'edge della rete. Ciò significa che gli attacchi DDoS di livello 3 e 4 vengono mitigati in maniera istantanea, poiché questo tipo di traffico non è destinato alle porte web 80 e 443. Come un proxy basato su cloud, la rete è posta prima dell'infrastruttura IT del cliente e distribuisce il traffico dagli utenti finali ai siti e alle applicazioni web aziendali. Poiché queste soluzioni funzionano in linea, le risorse esposte al web sono protette sempre, senza alcun intervento umano da parte degli attacchi DDoS a livello di rete. Per una difesa specifica a livello di applicazione, le organizzazioni dovrebbero cercare di implementare un Web Application Firewall per risolvere i problemi causati dagli attacchi avanzati, compresi alcuni tipi di attacchi DDoS come HTTP GET e HTTP POST flood, mirati a interrompere i processi del livello 7 delle applicazioni del modello OSI.   

Vantaggi dei servizi di mitigazione degli attacchi DDoS

Le organizzazioni possono ridurre la propria superficie di attacco, diminuendo, al tempo stesso, il rischio di downtime e interruzioni che influenzano le attività aziendali, grazie a controlli di sicurezza specifici per attacchi DDoS. Questo tipo di difesa può contrastare un attacco consentendo, al contempo, ai visitatori legittimi di accedere alla propria organizzazione online, come farebbe di solito.  La protezione dagli attacchi DDoS impedisce al traffico dannoso di giungere a destinazione, limitando l'impatto dell'attacco e consentendo al traffico normale di passare, per lavorare come di consueto. 

Come si può fermare un attacco DDoS?

Durante la mitigazione, il vostro provider di protezione dagli attacchi DDoS implementerà una sequenza di contromisure atte ad arrestare e ridurre l'impatto di un attacco DDoS (Distributed Denial-of-Service). Con i moderni attacchi che diventano sempre più avanzati, la protezione offerta dalla mitigazione degli attacchi DDoS basata sul cloud aiuta a fornire un grado di sicurezza basato su una difesa approfondita su vasta scala, mantenendo disponibili i servizi dell'infrastruttura di back-end e su Internet e garantendo prestazioni ottimali.

Con i servizi di protezione contro gli attacchi DDoS le organizzazioni sono in grado di:

  • Ridurre la superficie di attacco e i rischi aziendali associati agli attacchi DDoS
  • Impedire downtime che influenzano le attività aziendali

  • Aumentare la velocità di risposta a un evento DDoS e ottimizzare le risorse di risposta a un incidente

  • Abbreviare il tempo richiesto per la comprensione e l'analisi dell'interruzione di un servizio 

  • Evitare la perdita di produttività dei dipendenti 

  • Implementare più rapidamente contromisure per difendersi da un attacco DDoS

  • Evitare danni alla reputazione del brand e alla redditività

  • Mantenere costanti le performance e i tempi di attività delle applicazioni in tutto il patrimonio digitale

  • Ridurre al minimo i costi associati alla sicurezza web

  • Proteggersi dalle nuove minacce in continua evoluzione

Ulteriori informazioni su come Akamai può proteggere i vostri servizi web e su Internet dagli attacchi DDoS

Come funziona una difesa olistica dagli attacchi DDoS

Akamai fornisce una difesa da attacchi DDoS approfondita attraverso una mesh trasparente di edge dedicato, DNS distribuito e difese dello scrubbing su cloud. Queste soluzioni sul cloud appositamente studiate sono progettate per rafforzare le strategie di sicurezza DDoS, riducendo, al contempo, le superfici di attacco, migliorando la qualità della mitigazione e riducendo i falsi positivi, aumentando, così, la resilienza rispetto agli attacchi più vasti e complessi.

Inoltre, è possibile ottimizzare le soluzioni in base ai requisiti specifici delle applicazioni web e dei servizi basati su Internet.

Difesa sull'edge

Akamai ha progettato l'Intelligent Edge Platform distribuita globalmente come un proxy inverso che accetta il traffico solo tramite le porte 80 e 443. Tutti gli attacchi DDoS a livello di rete vengono subito interrotti sull'edge grazie ad uno SLA (accordo sul livello di servizio) immediato. Ciò significa che gli autori degli attacchi DDoS a livello di rete non hanno alcuna possibilità di successo.

Per gli attacchi DDoS a livello di applicazioni, inclusi quelli lanciati tramite API, Kona Site Defender rileva e mitiga gli attacchi, concedendo, al contempo, l'accesso agli utenti legittimi.

Difesa del DNS

Servizio DNS autoritativo Akamai, Edge DNS, filtra anche il traffico sull'edge. A differenza di altre soluzioni DNS, Akamai ha progettato Edge DNS specificamente per offrire caratteristiche di disponibilità e resilienza contro gli attacchi DDoS. Edge DNS assicura, inoltre, performance superiori con ridondanze delle architetture a più livelli, inclusi server dei nomi, punti di presenza, reti e persino cloud IP Anycast segmentati.

Difesa dello scrubbing sul cloud

Prolexic protegge tutti i data center e le infrastrutture ibride dagli attacchi DDoS, su tutte le porte e i protocolli, con 20 scrubbing center globali e più di 10 Tbps di capacità di difesa DDoS dedicata. Questa capacità è studiata per mantenere a disposizione le risorse su Internet: fondamento essenziale in ogni programma di tutela della sicurezza delle informazioni.

In qualità di servizio completamente gestito, Prolexic è in grado di costruire modelli di sicurezza positivi e negativi. Il servizio combina sistemi di difesa automatizzati con la mitigazione esperta del team globale di oltre 225 addetti SOCC dedicati. Prolexic offre anche un immediato SLA di mitigazione leader del settore attraverso controlli di difesa proattivi, per mantenere al sicuro e altamente disponibili l'infrastruttura di un data center e i servizi basati su Internet.