Cos'è un attacco DDoS?

In un attacco DDoS (Distributed Denial-of-Service), un criminale sovraccarica la sua vittima con traffico Internet indesiderato, impedendo al traffico normale di giungere alla destinazione prevista.

Ma cosa significa esattamente tutto questo? Immaginate il vostro film di zombie preferito. Frotte di creature infette, tutte con lo stesso obiettivo: sopraffare le persone diffondendo la "piaga zombie". Invadono le stazioni di polizia, depredano le forze militari e danneggiano i servizi di assistenza sanitaria. Poi, inevitabilmente, si crea un enorme ingorgo di traffico che si diffonde a perdita d'occhio in autostrada, mentre le persone tentano di fuggire per mettersi in salvezza. Un attacco DDoS è proprio così: un'apocalisse di zombie online. Ma, al posto degli zombie, orde di computer infetti che prendono di mira un determinato sito web, tutti contemporaneamente, allontanando persone e affari.

Un attacco DDoS al sito web di un'azienda, a un'applicazione web, alle API, a una rete o all'infrastruttura di un data center può causare downtime e impedire agli utenti legittimi di acquistare prodotti, fruire di un servizio, ottenere informazioni o qualsiasi altra cosa.

Durante un attacco DDoS, i malintenzionati sfruttano una grande quantità di macchine e dispositivi connessi su Internet, come dispositivi IoT (Internet of Things), smartphone, personal computer e server di rete, per inviare un afflusso di traffico verso le varie destinazioni.

Il livello dell'applicazione è quello più alto e più vicino all'utente finale. È lì che le persone si interfacciano con computer e dispositivi e le reti si connettono alle applicazioni.

La crittografia e decrittografia dei dati si verificano al livello della presentazione, per consentire una trasmissione sicura.

Il livello della sessione consente a dispositivi, computer o server di comunicare tra loro e controllare porte e sessioni.

Al livello di trasporto, i dati vengono inoltrati tramite un protocollo TCP (Transmission Control Protocol) che si basa sul protocollo Internet (IP), anche noto come TCP/IP.

Il livello della rete stabilisce il percorso fisico che intraprenderanno i dati per arrivare a destinazione.

Il livello datalink offre un modo per trasferire i dati tra entità di rete. È anche un mezzo per rilevare e correggere errori che possono verificarsi nel livello fisico.

Il livello 1, nonché il più basso, è il livello fisico, in cui i bit di dati non elaborati vengono trasmessi tramite un datalink fisico che collega i nodi di rete.

L'intento di un attacco DDoS volumetrico è quello di sopraffare una rete con enormi quantità di traffico, congestionando la larghezza di banda della risorsa della vittima prescelta. Le grandi quantità di traffico di attacco impediscono agli utenti legittimi di accedere a un'applicazione o servizio, arrestando, al contempo, il flusso in entrata o in uscita del traffico. A seconda di quale sia la vittima di un attacco, l'arresto del traffico legittimo può significare ad esempio che il cliente di una banca non ha modo di pagare una bolletta per tempo, i clienti di un e-commerce non possono completare le transazioni online, la cartella clinica del paziente di un ospedale può essere esclusa o un cittadino può non riuscire più a visualizzare le tasse pagate a un ente governativo. A prescindere dall'organizzazione vittima, impedire alle persone di utilizzare un servizio online che si aspettano funzioni ha un impatto negativo.

Gli attacchi volumetrici utilizzano botnet create a partire da eserciti di singoli sistemi e dispositivi infettati da malware. Controllati da un malintenzionato, i bot vengono utilizzati per congestionare una vittima precisa e Internet in generale con del traffico dannoso che occupa tutta la larghezza di banda disponibile.

Una quantità imprevista di traffico di bot può ridurre notevolmente o impedire l'accesso a una risorsa web o servizio su Internet. Poiché i bot assumono il controllo di dispositivi legittimi per amplificare gli attacchi DDoS che fanno un uso intensivo della larghezza di banda, spesso a insaputa degli utenti, il traffico dannoso è difficile da individuare da parte dell'organizzazione vittima.

Esistono vari tipi di vettori di attacchi DDoS volumetrici utilizzati dai criminali. Molti sfruttano tecniche di riflessione e amplificazione per sopraffare una rete o servizio target.

Gli UDP flood vengono spesso scelti per gli attacchi DDoS su una larghezza di banda più ampia. I malintenzionati tentano di sopraffare le porte dell'host target con pacchetti IP contenenti protocolli UDP stateless. L'host vittima, quindi, cerca applicazioni associate ai pacchetti UDP e, quando non ne trova, restituisce al destinatario il messaggio "Destinazione non raggiungibile". Gli indirizzi IP vengono spesso contraffatti per rendere anonimo un malintenzionato e, una volta inondato l'host target di traffico di attacco, il sistema non risponde più e non è più disponibile agli utenti legittimi.

Gli attacchi di riflessione al DNS sono un tipo comune di vettore in cui i criminali informatici eseguono lo spoofing dell'indirizzo IP della vittima per inviare grandi quantità di richieste ai server DNS aperti. A loro volta, questi server DNS rispondono alle richieste dannose fatte dall'indirizzo IP contraffatto, creando, così, un attacco al target prescelto attraverso un afflusso di risposte DNS. Il grande volume di traffico creato dalle risposte DNS sovraccarica molto rapidamente i servizi dell'organizzazione vittima, rendendoli non più disponibili e impedendo al traffico legittimo di raggiungere la destinazione prevista.

Il protocollo ICMP (Internet Control Message Protocol) viene usato principalmente per la messaggistica di errore e, in genere, non consente uno scambio di dati tra sistemi diversi. I pacchetti ICMP possono accompagnare pacchetti TCP (Transmission Control Protocol) che consentono ai programmi applicativi e ai dispositivi di elaborazione di scambiarsi messaggi tramite una rete durante la connessione a un server. Un ICMP flood è un metodo di attacco DDoS per infrastrutture a 3 livelli che utilizza messaggi ICMP per sovraccaricare la larghezza di banda della rete presa di mira.

Gli attacchi ai protocolli tentano di consumare ed esaurire la capacità di elaborazione di varie risorse dell'infrastruttura di una rete, come server o firewall, attraverso richieste di connessione dannosa che sfruttano le comunicazioni con i protocolli. I SYN (Synchronize) flood e lo Smurf DDoS sono due tipi comuni di attacchi DDoS basati su protocolli. È possibile misurare gli attacchi ai protocolli in pacchetti al secondo (pps) e bit al secondo (bps).

Uno dei principali metodi che hanno le persone per connettersi alle applicazioni Internet è tramite il protocollo TCP (Transmission Control Protocol). Questa connessione richiede un handshake a tre vie da un servizio TCP, come un server web, e comprende l'invio del cosiddetto pacchetto SYN (sincronizzazione), dal quale l'utente si connette al server. Quest'ultimo restituisce un pacchetto SYN-ACK (riconoscimento sincronizzazione), al quale infine si risponde con una comunicazione ACK (riconoscimento) finale per completare l'handshake del TCP.

Durante un attacco SYN flood, un client dannoso invia una grande quantità di pacchetti SYN (parte del solito handshake), ma non invia mai il riconoscimento per il completamento dell'handshake.  Ciò fa restare il server in attesa di una risposta per queste connessioni TCP semiaperte, che finiscono con l'esaurire la capacità di accettare nuovi collegamenti per i servizi che monitorano gli stati di connessione. 

Un attacco SYN flood è come un terribile scherzo fatto dall'intera classe di maturandi di un liceo molto grande, in cui ogni studente chiama la stessa pizzeria e ordina una pizza in quello stesso lasso di tempo. Perciò, quando la persona che consegna va a organizzare il tutto, si accorge che ci sono troppe pizze da mettere in macchina e che sull'ordine non è indicato alcun indirizzo: tutta la consegna è in sospeso.

Il nome di questo attacco DDoS si basa sul concetto che tanti piccoli malintenzionati possono sopraffare un nemico molto più potente grazie al volume di traffico, proprio come la colonia fittizia di piccoli umanoidi blu che danno il nome all'attacco, i Puffi.

In un attacco Smurf DDoS (Distributed Denial-of-Service), grandi quantità di pacchetti ICMP (Internet Control Message Protocol) con l'IDP di origine del target previsto sottoposto a spoofing vengono trasmesse a una rete di computer tramite un indirizzo broadcast IP. Per impostazione predefinita, la maggior parte dei dispositivi di una rete risponderà all'indirizzo IP sorgente. A seconda del numero di macchine sulla rete, il computer della vittima potrebbe subire rallentamenti fino a soccombere sotto il peso del traffico.

Sferrati sobbarcando le applicazioni di richieste dannose, gli attacchi a livello di applicazione vengono misurati in richieste al secondo (RPS). Anche detti attacchi DDoS di livello 7, questi attacchi prendono di mira e distruggono applicazioni web specifiche e non intere reti. Seppure siano difficili da prevenire e mitigare, sono tra gli attacchi DDoS più semplici da sferrare.

Per contro, è facile spaventare una mandria di cavalli e farla correre via, ma quasi impossibile poi ripristinare l'ordine. Gli attacchi a livello di applicazione sono proprio così: facili da implementare, difficili da rallentare o arrestare e specifici per il target.

Nell'ambito di un panorama di attacchi in costante evoluzione, la protezione dagli attacchi DDoS attraverso un provider per la mitigazione che adotti un approccio di difesa approfondita può tenere al sicuro organizzazioni e utenti finali. Un servizio di mitigazione degli attacchi DDoS individuerà e bloccherà gli attacchi DDoS il prima possibile, in teoria, in zero secondi o poco più a partire dal momento in cui il traffico di attacco raggiunge i centri di scrubbing del provider di mitigazione. Poiché i vettori di attacco continuano a cambiare con una portata sempre maggiore, per ottenere il miglior livello di protezione dagli attacchi DDoS, un provider deve continuamente investire nelle capacità di difesa. Per tenere il passo con gli attacchi più ampi e complessi, sono necessarie le tecnologie giuste a rilevare traffico dannoso e intraprendere solide contromisure di difesa per mitigare rapidamente gli attacchi.

I provider di mitigazione degli attacchi DDoS filtrano il traffico dannoso per evitare che raggiunga la risorsa presa di mira. Il traffico dell'attacco viene bloccato da un servizio di scrubbing DDoS, un servizio DNS basato sul cloudoppure un servizio di protezione del web basato su CDN. La mitigazione basata sul cloud rimuove il traffico di attacco ancora prima che raggiunga la destinazione.

Lo scrubbing DDoS può mantenere operative le attività online anche durante un attacco. Al contrario di una mitigazione basata su CDN, un servizio di scrubbing DDoS è in grado di offrire protezione su tutte le porte, i protocolli e le applicazioni di un data center, compresi i servizi web e basati su IP. Le organizzazioni indirizzano il traffico di rete in uno di questi due modi: tramite la modifica delle informazioni di routing del protocollo BGP (Border Gateway Protocol) oppure un reindirizzamento del DNS (un record o CNAME) all'infrastruttura di scrubbing del provider di mitigazione. Il traffico viene monitorato e analizzato, per ricercare attività dannose e la mitigazione si applica al rilevamento degli attacchi DDoS. In genere, questo servizio può essere reso disponibile sia in configurazioni On Demand che sempre attive, a seconda della strategia di sicurezza preferita di un'organizzazione, anche se un numero più alto che mai di organizzazioni sta passando a un modello di implementazione continuo, data la sua risposta difensiva più rapida.

Una rete per la distribuzione dei contenuti (CDN) avanzata adeguatamente configurata può aiutare a difendersi dagli attacchi DDoS. Quando un provider di servizi di protezione per i siti web utilizza la sua CDN per accelerare in maniera specifica il traffico tramite protocolli HTTP e HTTPS, tutti gli attacchi DDoS mirati a quel dato URL possono poi essere interrotti sull'edge della rete. Ciò significa che gli attacchi DDoS di livello 3 e 4 vengono mitigati in maniera istantanea, poiché questo tipo di traffico non è destinato alle porte web 80 e 443. Come un proxy basato su cloud, la rete è posta prima dell'infrastruttura IT del cliente e distribuisce il traffico dagli utenti finali ai siti e alle applicazioni web aziendali. Poiché queste soluzioni funzionano in linea, le risorse esposte al web sono protette sempre, senza alcun intervento umano da parte degli attacchi DDoS a livello di rete. Per una difesa specifica a livello di applicazione, le organizzazioni dovrebbero cercare di implementare un Web Application Firewall per risolvere i problemi causati dagli attacchi avanzati, compresi alcuni tipi di attacchi DDoS come HTTP GET e HTTP POST flood, mirati a interrompere i processi del livello 7 delle applicazioni del modello OSI.   

Le organizzazioni possono ridurre la propria superficie di attacco, diminuendo, al tempo stesso, il rischio di downtime e interruzioni che influenzano le attività aziendali, grazie a controlli di sicurezza specifici per attacchi DDoS. Questo tipo di difesa può contrastare un attacco consentendo, al contempo, ai visitatori legittimi di accedere alla propria organizzazione online, come farebbe di solito.  La protezione dagli attacchi DDoS impedisce al traffico dannoso di giungere a destinazione, limitando l'impatto dell'attacco e consentendo al traffico normale di passare, per lavorare come di consueto. 

Durante la mitigazione, il vostro provider di protezione dagli attacchi DDoS implementerà una sequenza di contromisure atte ad arrestare e ridurre l'impatto di un attacco DDoS (Distributed Denial-of-Service). Con i moderni attacchi che diventano sempre più avanzati, la protezione offerta dalla mitigazione degli attacchi DDoS basata sul cloud aiuta a fornire un grado di sicurezza basato su una difesa approfondita su vasta scala, mantenendo disponibili i servizi dell'infrastruttura di back-end e su Internet e garantendo prestazioni ottimali.

Akamai fornisce una difesa da attacchi DDoS approfondita attraverso una mesh trasparente di edge dedicato, DNS distribuito e difese dello scrubbing su cloud. Queste soluzioni sul cloud appositamente studiate sono progettate per rafforzare le strategie di sicurezza DDoS, riducendo, al contempo, le superfici di attacco, migliorando la qualità della mitigazione e riducendo i falsi positivi, aumentando, così, la resilienza rispetto agli attacchi più vasti e complessi.

Inoltre, è possibile ottimizzare le soluzioni in base ai requisiti specifici delle applicazioni web e dei servizi basati su Internet.

Akamai ha progettato l'Intelligent Edge Platform distribuita globalmente come un proxy inverso che accetta il traffico solo tramite le porte 80 e 443. Tutti gli attacchi DDoS a livello di rete vengono subito interrotti sull'edge grazie ad uno SLA (accordo sul livello di servizio) immediato. Ciò significa che gli autori degli attacchi DDoS a livello di rete non hanno alcuna possibilità di successo.

Per gli attacchi DDoS a livello di applicazioni, inclusi quelli lanciati tramite API, Kona Site Defender rileva e mitiga gli attacchi, concedendo, al contempo, l'accesso agli utenti legittimi.

Servizio DNS autoritativo Akamai, Edge DNS, filtra anche il traffico sull'edge. A differenza di altre soluzioni DNS, Akamai ha progettato Edge DNS specificamente per offrire caratteristiche di disponibilità e resilienza contro gli attacchi DDoS. Edge DNS assicura, inoltre, performance superiori con ridondanze delle architetture a più livelli, inclusi server dei nomi, punti di presenza, reti e persino cloud IP Anycast segmentati.