Che cos'è un attacco DDoS (Distributed Denial of Service) e quale pericolo rappresenta per il server?

Sono sempre più numerosi i rapporti sulle attività degli hacker e sui tentativi di violazione dei software. Gli attacchi DDoS vengono spesso citati in questi rapporti. Purtroppo, spesso vengono citati senza spiegare cosa sono gli attacchi DDoS e come possono danneggiare i server.

In questo articolo discuteremo cosa sono esattamente gli attacchi DDoS e perché sono stati finora una delle principali preoccupazioni per i professionisti della sicurezza Internet. Inoltre, imparerete come funzionano gli attacchi DDoS e come fermarli.

Che cos'è un attacco DDoS?

Il termine attacco DDoS deriva dall'abbreviazione di "Distributed Denial of Service", che significa attacco distribuito di negazione del servizio. Lo scopo dell'attacco DDoS è quello di interrompere il normale funzionamento di un server, di un servizio o di una rete locale. Lo scopo principale di questo tipo di attacco è quello di far fallire il vostro servizio o di rendere difficile l'accesso al vostro servizio da parte degli utenti abituali. Per raggiungere lo scopo, viene generata una marea di traffico Internet che è troppo grande per essere gestita da un normale sistema informatico.

Il traffico di attacco è generato da più computer, reti locali e dispositivi IoT. Le azioni malevole di un individuo o di un gruppo generano molte richieste al sistema attaccato, consentendo agli aggressori di ottenere l'accesso non autorizzato a informazioni preziose. Potrebbe trattarsi di un database sensibile, di un codice di programma o di una versione di software.

Nella vita quotidiana, un attacco DDoS è analogo a un ingorgo causato da più veicoli. Di conseguenza, i normali automobilisti non possono raggiungere le loro destinazioni.

Come viene effettuato un attacco DDoS (Distributed Denial of Service)?

Solo i sistemi informatici che dispongono di una connessione a Internet possono essere soggetti a un attacco DDoS. Una rete globale è costituita da molti computer e altri dispositivi che dispongono di una connessione a Internet.

Ci sono molti modi per introdurre un software dannoso (virus) in una rete di computer. Gli attacchi DDoS raggiungono l'efficacia utilizzando più sistemi informatici compromessi come fonti di traffico d'attacco. Le macchine sfruttate sono spesso chiamate in gergo "zombie" e i loro gruppi sono rispettivamente chiamati botnet.

Immediatamente dopo aver creato un sistema botnet, un hacker ha l'opportunità di organizzare un attacco DDoS, che viene eseguito nel modo seguente.

• Per ogni singolo bot viene sviluppata un'istruzione speciale, che gli viene trasmessa attraverso la rete.

• Dopo averla ricevuta, il computer o il sistema gestito comincia a formare e inviare richieste agli indirizzi IP della rete locale o del server attaccato.
• Questo provoca un rallentamento dell'elaborazione del traffico e un sovraccarico delle apparecchiature. Di conseguenza, a tutto il traffico viene negato il servizio, compreso quello degli utenti ordinari.

Il problema principale nel contrastare gli attacchi DDoS distribuiti è che è estremamente difficile distinguere il traffico di attacco da quello normale. Tutti i bot utilizzati dagli hacker sono dispositivi Internet legittimi ed è estremamente difficile separare le richieste dannose da quelle ordinarie.

I principali segnali di un attacco DDoS al server

Un improvviso rallentamento del server, la mancanza di accesso al servizio o a un sito separato possono indicare azioni illegali di hacker. Allo stesso tempo, le difficoltà possono derivare da cause naturali come, ad esempio, un forte aumento del traffico normale.

I servizi di analisi pubblicamente disponibili consentono di identificare un attacco DDoS in base a una serie di caratteristiche:

• Una quantità significativa di traffico proveniente da uno o più indirizzi IP appartenenti allo stesso intervallo.
• Un numero elevato di utenti che ricevono richieste di accesso alle pagine web analizzate hanno gli stessi profili comportamentali (geolocalizzazione, versione del browser, o tipo di dispositivo).
• Un forte aumento del traffico a determinati intervalli, ad esempio ogni due o tre ore o in base a un programma diverso.
• Un aumento esplosivo del numero di richieste a uno dei servizi Internet o a una delle pagine Web.

Oltre a questi, ci sono altri segnali inerenti a certi tipi di attacchi DDoS distribuiti. In questi casi, le capacità dei tradizionali strumenti di analisi di Internet potrebbero non essere sufficienti e sarà necessario un software specializzato per identificarli.

Classificazione degli attacchi DDoS: i tipi più comuni

Gli hacker utilizzano una varietà di strumenti per penetrare nei siti web. Alcuni tipi di attacchi DDoS prendono di mira componenti specifici di risorse Internet, server, o computer. Per capire come funzionano i loro algoritmi è necessario comprendere il funzionamento di una specifica connessione di rete.

Un software speciale fornisce la connessione a Internet, che consiste in molti componenti denominati "livelli". Ogni componente è progettato per servire uno scopo specifico e insieme sono in grado di formare il modello. Come ad esempio il supporto, il sostegno e l'involucro di strutture in costruzione.

Il modello OSI a sette livelli viene utilizzato per descrivere la struttura delle connessioni di rete:

• Il livello applicativo Questo livello è utilizzato dai client di posta elettronica, dai messenger e dai browser per elaborare direttamente i dati.
• Il livello delle visualizzazioni Lo scopo della preparazione dei dati (compressione, traduzione e crittografia) è quello di preparare i dati per l'utilizzo nelle applicazioni.
• Livello di sessione Stabilisce un canale di comunicazione tra due dispositivi in rete e lo chiude alla fine del tempo di sessione.
• Livello di trasporto È responsabile della gestione dei flussi di dati e del controllo degli errori tra dispositivi specifici, oltre a garantire la comunicazione end-to-end tra dispositivi specifici.
• Il livello di rete Facilita il trasferimento di dati tra dispositivi che appartengono a reti diverse. Questo livello fornisce un instradamento ottimale, la separazione delle informazioni in pacchetti con il successivo assemblaggio nel punto di destinazione.
• Il livello del canale di trasmissione dei dati Similmente al livello di rete, facilita lo scambio di dati tra dispositivi all'interno di una rete.
• Il livello fisico Comprende le apparecchiature utilizzate per lo scambio di dati tra i dispositivi (cavi, switch, ecc.). A questo livello, i pacchetti di informazioni vengono trasformati in un flusso di bit e i segnali vengono abbinati.

La maggior parte degli attacchi DDoS mira a sovraccaricare un server o una rete specifici. In base al numero e alla natura dei vettori d'attacco, queste azioni possono essere classificate in tre categorie:

• unico;
• multipla;
• ciclico;

Quest'ultimo è utilizzato principalmente in risposta alle contro-azioni utilizzate per proteggere una risorsa Internet.

Attacchi DDoS effettuati a livello di applicazione

Sulla base del modello precedente, tali attacchi sono chiamati attacchi DDoS di settimo livello. Il loro scopo è quello di sovraccaricare il sito e creare condizioni in cui il servizio del traffico normale diventa impossibile.

Gli attacchi hacker di questo tipo vengono eseguiti al livello in cui la pagina web è formata sul server. Gli attacchi vengono trasmessi in risposta a richieste HTTP. Sul lato client, tali richieste non richiedono enormi risorse per creare ed elaborare le informazioni. Allo stesso tempo, il server deve utilizzare notevoli risorse di calcolo. Nel corso di questo processo, sul server di destinazione possono essere elaborate molte richieste di database e possono essere scaricati diversi file per creare la pagina web richiesta.
La protezione contro gli attacchi distribuiti di settimo livello è difficile a causa del fatto che non è facile distinguere il traffico dannoso dal traffico normale.

HTTP flood

Un attacco di questo tipo simula aggiornamenti multipli di un browser Web, che vengono eseguiti simultaneamente su più computer. È come se molti utenti premessero costantemente il pulsante di reset, generando un gran numero di richieste HTTP. A causa di ciò, il server viene sovraccaricato, con conseguenti interruzioni del servizio. A seconda del livello di complessità dell'attacco, gli attacchi DDoS di tipo HTTP flood possono essere classificati come:

• Semplici. In un attacco DDoS di questo tipo, vengono utilizzate azioni coordinate da indirizzi IP dello stesso range per fornire un accesso non autorizzato allo stesso URL, che viene implementato utilizzando gli stessi user agent e fonti di transizione.
• Quelli complessi. Per violare diverse pagine web contemporaneamente, l'aggressore utilizza sia indirizzi IP, presi da fonti di traffico casuali, sia agenti utente.

La gestione di attacchi DDoS complessi richiede computer con caratteristiche adeguate e software ad alta intensità di risorse.

Attacco di protocollo

Gli specialisti si riferiscono a questi tipi di hack come attacchi ed esaurimento. Consumando troppe risorse del server o specifiche apparecchiature di rete, gli attacchi di protocollo possono interrompere il lavoro di diversi servizi. In questi casi, gli aggressori di solito prendono di mira bilanciatori di carico o firewall.

Per rendere inaccessibile la pagina web di destinazione, l'attacco di protocollo sfrutta le vulnerabilità a livello 3 e 4 (stack di protocollo).

SYN-flood

Durante questo tipo di attacco, vengono inviati dai bot molti pacchetti TCP con indirizzi IP falsi. I pacchetti SYN citati sono destinati all'avvio di connessioni di rete. Il computer bersaglio risponde a queste richieste e attende la loro conferma, che non arriva. Di conseguenza, le risorse della pagina web attaccata si esauriscono e questa smette di rispondere alle richieste in arrivo.

SYN-flood può essere paragonato al lavoro di un grande negozio, in cui i dipendenti del reparto approvvigionamenti ricevono istruzioni dal trading floor per la consegna di un particolare prodotto. Si recano in magazzino, trovano ciò di cui hanno bisogno, ma senza ricevere una conferma d'ordine non capiscono cosa fare dopo. Il risultato è che smettono di lavorare finché non si chiariscono le circostanze.

Attacchi DDoS di tipo bulk

Le azioni degli hacker in questi casi mirano a creare un carico tale da utilizzare l'intera larghezza di banda disponibile della connessione Internet. Quando si attuano attacchi DDoS su larga scala, vengono inviati pacchetti di dati di grandi dimensioni alla risorsa bersaglio utilizzando vari mezzi di generazione di traffico di grandi dimensioni o altri mezzi di amplificazione. Durante l'attacco, vengono utilizzati sia singoli bot che intere reti di bot, da cui vengono generate molte richieste alla pagina web o al singolo server di destinazione.

Rafforzamento dei DNS

Durante un attacco hacker, vengono inviate richieste ai server DNS pubblici contenenti l'indirizzo IP del dispositivo bersaglio. Il dispositivo risponde con un pacchetto contenente presumibilmente dati importanti. Di conseguenza, vengono generate molte di queste richieste false, causando sovraccarichi dell'obiettivo e denial of service.

Un esempio di amplificazione DNS si ha quando una persona chiama un ristorante o un supermercato e chiede la consegna di cibo o merci e chiede di richiamare. Nel frattempo, riceve il numero di telefono del vicino. Un gran numero di utenti effettua tali chiamate all'obiettivo, sovraccaricando definitivamente il servizio di consegna.

Metodi di prevenzione degli attacchi DDoS

Per garantire la protezione contro gli attacchi degli hacker, è essenziale distinguere il traffico degli aggressori da quello normale. Nelle campagne pubblicitarie di nuovi prodotti, molti utenti possono visitare il sito web dello sviluppatore. Questo può provocare una chiusura di emergenza del traffico e degli errori. Se questa risorsa web ha un'ondata di traffico proveniente da gruppi di hacker noti, è necessario adottare misure per ridurre l'impatto di un attacco DDoS distribuito.

I tentativi di hacking possono assumere diverse forme, dalle più semplici con una singola fonte di traffico sospetto alle più complesse con effetti multivettoriali. In quest'ultimo caso, vengono utilizzati simultaneamente diversi tipi di attacchi DDoS per costringere la parte che si difende a disperdere le proprie forze e i propri fondi.

Un esempio di tale impatto multivettore è un attacco DDoS simultaneo che si verifica su più livelli. Tale effetto è ottenuto mediante un rafforzamento del DNS che si combina con un gran numero di richieste HTTP. Per prevenire tali attacchi, è necessario utilizzare diverse strategie di contrasto contemporaneamente.

Quando gli aggressori utilizzano attacchi denial-of-service distribuiti con una combinazione di diversi metodi di attacco, la complessità del contrasto aumenta notevolmente.

Gli aggressori tendono a mescolare il più possibile il traffico di attacco con quello normale, per ridurre l'efficacia delle misure di protezione a indicatori prossimi allo zero.

I tentativi di disabilitare o limitare semplicemente il traffico senza filtrare raramente portano a un risultato positivo. Allo stesso tempo, l'attacco DDoS si adatta e cerca di aggirare le contromisure adottate. In questi casi, la soluzione migliore è utilizzare una strategia di protezione a più livelli.

Instradamento dei blackhole

Uno dei metodi di protezione dai DDoS più accessibili agli amministratori di rete è quello di creare un "buco nero" per il traffico sospetto. Nella sua forma più semplice, il Blackhole routing prevede il reindirizzamento di tutte le richieste, senza dividerle in normali e dannose, verso un percorso nullo, seguito dalla rimozione di queste richieste dalla rete. Se viene rilevato un attacco DDoS su un determinato sito, il provider ha la possibilità di cancellare tutto il traffico come misura di protezione. Questa soluzione non è la migliore, perché l'attaccante raggiunge il suo obiettivo e rende indisponibili tutte le risorse.

Limitare la velocità di un attacco DDoS

Ogni server può ricevere ed elaborare un certo numero di richieste per un determinato periodo di tempo. Limitare la velocità di un attacco DDoS consente di ridurne significativamente l'efficacia. Allo stesso tempo, va compreso che questo metodo fornisce un rallentamento significativo nel furto di contenuti e codice di programma da parte dei parser web e blocca i tentativi di accesso tramite forza bruta. Tuttavia, non è abbastanza efficace contro gli attacchi combinati complessi di tipo denial-of-service.

Caratteristiche dell'uso dei firewall per applicazioni Web

L'uso di prodotti software speciali può mitigare in modo significativo gli attacchi DDoS di settimo livello. Esiste un firewall (WAF) tra Internet e il server protetto che funziona come un reverse proxy. Le richieste in entrata vengono filtrate in base alle regole stabilite, il che consente di identificare gli strumenti DDoS e di prevenire gli attacchi di settimo livello. Uno dei principali vantaggi di questo metodo è la possibilità di impostare le proprie regole per contrastare un attacco.

Principi della distribuzione Anycast sulla rete

Questo metodo riduce le conseguenze dannose degli attacchi DDoS ridistribuendo il traffico sulla rete dei server.

Se lo stesso server riceve molte richieste contemporaneamente, sarà sovraccarico di traffico e non sarà in grado di rispondere efficacemente alle ulteriori richieste in arrivo. Nella rete Anycast, invece di un singolo server sorgente che si fa carico del traffico, il carico sarà distribuito tra altri centri dati disponibili, ognuno dei quali dispone di server in grado di elaborare e rispondere a una richiesta in arrivo. Questo metodo di instradamento può prevenire l'espansione della capacità del server di origine ed evitare di interrompere il servizio dei clienti che richiedono contenuti da esso.

La migliore analogia del metodo di distribuzione Anycast sulla rete è la separazione del flusso di un grande fiume con una forte corrente lungo rami separati. Grazie alla ridistribuzione del traffico di un attacco DDoS, la sua capacità distruttiva viene ridotta al minimo e diventa completamente gestibile.