Che cos'è un attacco DDoS (Distributed Denial of Service) e quale pericolo rappresenta per il server?

Che cos'è un attacco DDoS (Distributed Denial of Service) e quale pericolo rappresenta per il server?

Leggi 20 minuti

Sono sempre più numerosi i rapporti sulle attività degli hacker e sui tentativi di violazione dei software. Gli attacchi DDoS vengono spesso citati in questi rapporti. Purtroppo, spesso vengono citati senza spiegare cosa sono gli attacchi DDoS e come possono danneggiare i server.

In questo articolo discuteremo cosa sono esattamente gli attacchi DDoS e perché sono stati finora una delle principali preoccupazioni per i professionisti della sicurezza Internet. Inoltre, imparerete come funzionano gli attacchi DDoS e come fermarli.

Che cos'è un attacco DDoS?

Il termine attacco DDoS deriva dall'abbreviazione di "Distributed Denial of Service", che significa attacco distribuito di negazione del servizio. Lo scopo dell'attacco DDoS è quello di interrompere il normale funzionamento di un server, di un servizio o di una rete locale. Lo scopo principale di questo tipo di attacco è quello di far fallire il vostro servizio o di rendere difficile l'accesso al vostro servizio da parte degli utenti abituali. Per raggiungere l'obiettivo, viene generata una marea di traffico Internet, troppo elevata per essere gestita da un normale sistema informatico.

Il traffico di attacco è generato da più computer, reti locali e dispositivi IoT. Le azioni malevole di un individuo o di un gruppo generano molte richieste al sistema attaccato, consentendo agli aggressori di ottenere l'accesso non autorizzato a informazioni preziose. Potrebbe trattarsi di un database sensibile, di un codice di programma o di una versione di software.

Nella vita quotidiana, un attacco DDoS è analogo a un ingorgo causato da più veicoli. Di conseguenza, i normali automobilisti non possono raggiungere le loro destinazioni.

Come viene effettuato un attacco DDoS?

Solo i sistemi informatici che dispongono di una connessione a Internet possono essere soggetti a un attacco DDoS. Una rete globale è costituita da molti computer e altri dispositivi che dispongono di una connessione a Internet.

Esistono molti modi per introdurre un software dannoso (virus) in una rete di computer. Gli attacchi DDoS raggiungono l'efficacia utilizzando più sistemi informatici compromessi come fonti di traffico d'attacco. Le macchine sfruttate sono spesso chiamate in gergo "zombie" e i loro gruppi sono rispettivamente chiamati botnet.

Subito dopo aver creato un sistema di botnet, un hacker ha la possibilità di organizzare un attacco DDoS, che viene eseguito nel modo seguente.

  • Per ogni singolo bot viene sviluppata un'istruzione speciale, che gli viene trasmessa attraverso la rete.
  • Dopo averla ricevuta, il computer o il sistema gestito inizia a formare e inviare richieste agli indirizzi IP della rete locale o del server attaccato.
  • Ciò provoca un rallentamento dell'elaborazione del traffico e un sovraccarico delle apparecchiature. Di conseguenza, tutto il traffico viene negato, compreso quello degli utenti comuni.

Il problema principale nel contrastare gli attacchi DDoS distribuiti è che è estremamente difficile distinguere il traffico di attacco da quello normale. Tutti i bot utilizzati dagli hacker sono dispositivi Internet legittimi ed è estremamente difficile separare le richieste dannose da quelle normali.

Che cos'è un attacco DDoS (Distributed Denial of Service) e quale pericolo rappresenta per il server?

I principali segnali di un attacco DDoS al server

Un improvviso rallentamento del server, l'impossibilità di accedere al servizio o a un sito separato possono indicare azioni illegali degli hacker. Allo stesso tempo, le difficoltà possono derivare da cause naturali come, ad esempio, un forte aumento del traffico normale.

I servizi di analisi disponibili pubblicamente consentono di identificare un attacco DDoS in base a una serie di caratteristiche:

  • Una quantità significativa di traffico da uno o più indirizzi IP appartenenti allo stesso intervallo.
  • Un numero elevato di utenti che ricevono richieste di accesso alle pagine web analizzate hanno gli stessi profili comportamentali (geolocalizzazione, versione del browser o tipo di dispositivo).
  • Un forte aumento del traffico a determinati intervalli, ad esempio ogni due o tre ore o secondo un calendario diverso.
  • Un aumento esplosivo del numero di richieste a uno dei servizi Internet o alle pagine Web.

Oltre a questi, esistono altri segnali inerenti ad alcuni tipi di attacchi DDoS distribuiti. In questi casi, le capacità dei tradizionali strumenti di analisi di Internet potrebbero non essere sufficienti e sarà necessario un software specializzato per identificarli.

Classificazione degli attacchi DDoS: i tipi più comuni

Gli hacker utilizzano una varietà di strumenti per penetrare nei siti web. Alcuni tipi di attacchi DDoS prendono di mira componenti specifici di risorse Internet, server o computer. Per capire come funzionano i loro algoritmi è necessario capire come funziona una specifica connessione di rete.

Un software speciale fornisce la connessione a Internet, che consiste in molti componenti denominati "livelli". Ogni componente è progettato per servire uno scopo specifico e insieme sono in grado di formare il modello. Come ad esempio il supporto, la portanza e l'involucro delle strutture in costruzione.

Il modello OSI a sette livelli viene utilizzato per descrivere la struttura delle connessioni di rete:

  • Questolivello è utilizzato dai client di posta elettronica, dai messenger e dai browser per elaborare direttamente i dati.
  • Il livello delle visualizzazioni Lo scopo della preparazione dei dati (compressione, traduzione e crittografia) è quello di preparare i dati per l'uso nelle applicazioni.
  • Livello di sessione Stabilisce un canale di comunicazione tra due dispositivi in rete e lo chiude al termine della sessione.
  • Livello di trasporto È responsabile della gestione dei flussi di dati e del controllo degli errori tra dispositivi specifici, oltre a garantire la comunicazione end-to-end tra dispositivi specifici.
  • Il livello di rete Facilita il trasferimento di dati tra dispositivi che appartengono a reti diverse. Questo livello fornisce un instradamento ottimale, la separazione delle informazioni in pacchetti con successivo assemblaggio nel punto di destinazione.
  • Il livello del canale di trasmissione dei dati Analogamente al livello di rete, facilita lo scambio di dati tra dispositivi all'interno di una rete.
  • Il livello fisico Comprende le apparecchiature utilizzate per lo scambio di dati tra i dispositivi (cavi, interruttori, ecc.). A questo livello, i pacchetti di informazioni vengono trasformati in un flusso di bit e i segnali vengono abbinati.

La maggior parte degli attacchi DDoS mira a sovraccaricare un server o una rete specifici. In base al numero e alla natura dei vettori di attacco, queste azioni possono essere classificate in tre categorie:

  • uno solo;
  • multipli;
  • ciclico.

Quest'ultima è utilizzata principalmente in risposta alle azioni di contrasto utilizzate per proteggere una risorsa Internet.

Attacchi DDoS condotti a livello di applicazione

Sulla base del modello sopra descritto, tali attacchi sono chiamati attacchi DDoS di settimo livello. Il loro scopo è quello di sovraccaricare il sito e creare condizioni in cui il servizio del traffico normale diventa impossibile.

Gli attacchi hacker di questo tipo vengono eseguiti al livello in cui la pagina web è formata sul server. Gli attacchi vengono trasmessi in risposta alle richieste HTTP. Sul lato client, tali richieste non richiedono grandi risorse per creare ed elaborare le informazioni. Allo stesso tempo, il server deve utilizzare notevoli risorse di calcolo. Nel corso di questo processo, sul server di destinazione possono essere elaborate molte richieste di database e possono essere scaricati diversi file per creare la pagina web richiesta.
La protezione contro gli attacchi distribuiti di settimo livello è difficile perché non è facile distinguere il traffico dannoso da quello normale.

Inondazione HTTP

Un attacco di questo tipo simula aggiornamenti multipli a un browser Web, che vengono eseguiti simultaneamente su più computer. È come se molti utenti premessero costantemente il pulsante di ripristino, generando un gran numero di richieste HTTP. A causa di ciò, il server viene sovraccaricato, con conseguenti interruzioni del servizio. A seconda del livello di complessità dell'attacco, gli attacchi DDoS di tipo HTTP flood possono essere classificati come:

  • Semplici. In un attacco DDoS di questo tipo, vengono utilizzate azioni coordinate da indirizzi IP della stessa gamma per fornire accesso non autorizzato allo stesso URL, che viene implementato utilizzando gli stessi agenti utente e fonti di transizione.
  • Complessi. Per violare diverse pagine web contemporaneamente, l'attaccante utilizza sia indirizzi IP, presi da fonti di traffico casuali, sia agenti utente.

La gestione di attacchi DDoS complessi richiede computer con caratteristiche adeguate e software ad alta intensità di risorse.

Attacco di protocollo

Gli specialisti si riferiscono a questi tipi di hack come ad attacchi e ad esaurimento. Consumando troppe risorse del server o specifiche apparecchiature di rete, gli attacchi di protocollo possono interrompere il lavoro di diversi servizi. In questi casi, gli aggressori di solito prendono di mira bilanciatori di carico o firewall.

Per rendere inaccessibile la pagina web bersaglio, l'attacco di protocollo sfrutta le vulnerabilità a livello 3 e 4 (stack di protocollo).

SYN-flood

Durante questo tipo di attacco, i bot inviano numerosi pacchetti TCP con indirizzi IP falsi. I pacchetti SYN sono destinati all'avvio di connessioni di rete. Il computer bersaglio risponde a queste richieste e attende una conferma, che non riceve. Di conseguenza, le risorse della pagina Web attaccata si esauriscono e questa smette di rispondere alle richieste in arrivo.

Il SYN-flood può essere paragonato al lavoro di un grande negozio, in cui i dipendenti del reparto approvvigionamenti ricevono istruzioni dal trading floor per la consegna di un particolare prodotto. Si recano in magazzino, trovano ciò di cui hanno bisogno, ma senza ricevere una conferma d'ordine non capiscono cosa fare dopo. Il risultato è che smettono di lavorare finché non si chiariscono le circostanze.

Attacchi DDoS di tipo bulk

Le azioni degli hacker in questi casi mirano a creare un carico tale da utilizzare l'intera larghezza di banda disponibile della connessione Internet. Quando si attuano attacchi DDoS su larga scala, vengono inviati pacchetti di dati di grandi dimensioni alla risorsa bersaglio utilizzando vari mezzi di generazione di traffico di grandi dimensioni o altri mezzi di amplificazione. Durante l'attacco vengono utilizzati sia singoli bot che intere reti di bot, da cui vengono generate molte richieste alla pagina web o al singolo server bersaglio.

Rafforzamento del DNS

Durante un attacco hacker, vengono inviate richieste ai server DNS pubblici contenenti l'indirizzo IP del dispositivo bersaglio. Quest'ultimo risponde con un pacchetto contenente presumibilmente grandi dati. Di conseguenza, vengono generate molte di queste richieste false, causando sovraccarichi dell'obiettivo e denial of service.

Un esempio di amplificazione DNS si ha quando una persona chiama un ristorante o un supermercato e chiede la consegna di cibo o merci e chiede di richiamare. Nel frattempo, riceve il numero di telefono del vicino. Un gran numero di utenti effettua tali chiamate all'obiettivo, sovraccaricando definitivamente il servizio di consegna.

Metodi di prevenzione degli attacchi DDoS

Che cos'è un attacco DDoS (Distributed Denial of Service) e quale pericolo rappresenta per il server?

Per garantire la protezione dagli attacchi hacker, è essenziale distinguere tra il traffico degli aggressori e quello normale. Nelle campagne pubblicitarie di nuovi prodotti, molti utenti possono visitare il sito web dello sviluppatore. Questo può provocare una chiusura di emergenza del traffico e degli errori. Se questa risorsa web ha un'ondata di traffico proveniente da gruppi di hacker noti, è necessario adottare misure per ridurre l'impatto di un attacco DDoS distribuito.

I tentativi di hacking possono assumere forme diverse, dalle più semplici con una singola fonte di traffico sospetto alle più complesse con effetti multivettoriali. In quest'ultimo caso, vengono utilizzati contemporaneamente diversi tipi di attacchi DDoS per costringere la parte che si difende a disperdere le proprie forze e i propri fondi.

Un esempio di tale impatto multivettoriale è un attacco DDoS simultaneo che si verifica su più livelli. Tale effetto è ottenuto mediante un rafforzamento del DNS che si combina con un gran numero di richieste HTTP. Per prevenire tali attacchi, è necessario utilizzare diverse strategie di contrasto contemporaneamente.

Quando gli aggressori utilizzano attacchi denial-of-service distribuiti con una combinazione di diversi metodi di attacco, la complessità di contrastarli aumenta notevolmente.

Gli hacker tendono a mescolare il più possibile il traffico di attacco con quello normale, per ridurre l'efficacia delle misure di protezione a indicatori prossimi allo zero.

I tentativi di disabilitare o limitare semplicemente il traffico senza filtrare raramente portano a un risultato positivo. Allo stesso tempo, l'attacco DDoS si adatta e cerca di aggirare le contromisure adottate. In questi casi, la soluzione migliore è utilizzare una strategia di protezione a più livelli.

Instradamento dei buchi neri

Uno dei metodi più accessibili agli amministratori di rete per proteggersi dagli attacchi DDoS è la creazione di un "buco nero" per il traffico sospetto. Nella sua forma più semplice, il routing Blackhole prevede il reindirizzamento di tutte le richieste, senza dividerle in normali e dannose, verso un percorso zero, seguito dalla rimozione di queste richieste dalla rete. Se viene rilevato un attacco DDoS su un determinato sito, il provider ha la possibilità di cancellare tutto il traffico come misura di protezione. Questa soluzione non è la migliore, perché l'attaccante raggiunge il suo obiettivo e rende indisponibili tutte le risorse.

Limitare la velocità di un attacco DDoS

Ogni server può ricevere ed elaborare un certo numero di richieste per un determinato periodo di tempo. Limitare la velocità di un attacco DDoS consente di ridurne significativamente l'efficacia. Allo stesso tempo, va compreso che questo metodo fornisce un rallentamento significativo del furto di contenuti e codice di programma da parte dei parser web e blocca i tentativi di accesso tramite forza bruta. Tuttavia, non è abbastanza efficace contro gli attacchi combinati complessi di tipo denial-of-service.

Caratteristiche dell'utilizzo dei firewall per applicazioni Web

L'uso di prodotti software speciali può mitigare in modo significativo gli attacchi DDoS di settimo livello. Tra Internet e il server protetto è presente un firewall (WAF) che funziona come un reverse proxy. Viene utilizzato per bloccare il traffico dannoso di determinati tipi. Le richieste in entrata vengono filtrate in base alle regole stabilite, il che consente di identificare gli strumenti DDoS e di prevenire gli attacchi di settimo livello. Uno dei principali vantaggi di questo metodo è la possibilità di impostare le proprie regole per contrastare un attacco.

Che cos'è un attacco DDoS (Distributed Denial of Service) e quale pericolo rappresenta per il server?

Principi di distribuzione Anycast sulla rete

Questo metodo riduce le conseguenze dannose degli attacchi DDoS ridistribuendo il traffico sulla rete dei server.

Se lo stesso server riceve molte richieste contemporaneamente, sarà sovraccarico di traffico e non sarà in grado di rispondere efficacemente alle ulteriori richieste in arrivo. Nella rete Anycast, invece di essere un singolo server di origine ad assorbire il traffico, il carico sarà distribuito tra gli altri centri dati disponibili, ognuno dei quali dispone di server in grado di elaborare e rispondere a una richiesta in arrivo. Questo metodo di instradamento può prevenire l'espansione della capacità del server di origine ed evitare di interrompere il servizio dei client che richiedono contenuti.

La migliore analogia del metodo di distribuzione Anycast sulla rete è la separazione del flusso di un grande fiume con una forte corrente lungo rami separati. Grazie alla ridistribuzione del traffico di un attacco DDoS, la sua capacità distruttiva viene ridotta al minimo e diventa completamente gestibile.

DedicServerEN