
Esistono numerose minacce informatiche a cui gli utenti di Internet e gli amministratori di rete devono prestare attenzione, ma per le organizzazioni i cui servizi funzionano principalmente online, uno degli attacchi più importanti a cui prestare attenzione, a causa della loro crescente prevalenza, è rappresentato dagli attacchi Distributed Denial of Service (DDoS). Ma cos'è un attacco denial-of-service, come funziona e ci sono modi per prevenirlo?
Gli attacchi DDoS (Distributed Denial of Service)
Cos'è un attacco DDoS? Questo tipo di attacco sfrutta i limiti specifici che qualsiasi risorsa di rete possiede, come l'infrastruttura su cui è basato il sito Web di un'azienda. Un attacco DDoS invia molteplici richieste alla risorsa Web aggredita, allo scopo di superare la capacità del sito Web di gestire più richieste e impedirgli quindi di funzionare correttamente. Tra i bersagli tipici degli attacchi DDoS ci sono i siti di e-commerce e qualsiasi organizzazione che offra servizi online.
Come funziona?
Per comprendere gli attacchi DDoS è essenziale apprendere come funzionano. Le risorse di rete, come i server Web, hanno un limite preciso in termini di numero di richieste che sono in grado di soddisfare contemporaneamente. Oltre alla capacità limitata del server di accettare richieste, anche il canale che connette il server a Internet avrà una data larghezza di banda o capacità. Ogni volta che il numero di richieste supera la capacità di qualsiasi componente dell'infrastruttura, molto probabilmente il livello del servizio ne risentirà in uno dei modi seguenti:
Solitamente, l'obiettivo dell'attaccante in un attacco DDoS è quello di sovraccaricare il server della risorsa web, impedendone il normale funzionamento e provocando un diniego totale del servizio. L'autore può anche richiedere un pagamento per interrompere l'attacco. In alcuni casi, un attacco DDoS può anche essere un tentativo di screditare o danneggiare un'azienda concorrente.
Per portare a termine l'attacco, l'aggressore prende il controllo di una rete o di un dispositivo infettandolo con un malware , creando una botnet . Quindi avviano l'attacco inviando istruzioni specifiche ai bot. A sua volta, la botnet inizia a inviare richieste al server di destinazione tramite il suo indirizzo IP , sovraccaricandolo e causando il diniego del servizio al suo traffico regolare.
Esempi di attacchi DDoS: quali sono i diversi tipi di attacchi?
Conoscere il significato di DDoS e come funzionano questi attacchi è un passo avanti per prevenirli, ma è altrettanto fondamentale capire che esistono diversi tipi di attacchi DDoS. Per prima cosa è necessario spiegare in dettaglio come si formano le connessioni di rete.
Il modello OSI (Open Systems Interconnection), sviluppato dall'Organizzazione Internazionale per la Standardizzazione, definisce sette livelli distinti che costituiscono le connessioni di rete Internet. Tra questi rientrano il livello fisico, il livello di collegamento dati, il livello di rete, il livello di trasporto, il livello di sessione, il livello di presentazione e il livello applicativo.
I numerosi esempi di attacchi DDoS differiscono in base al livello di connessione a cui mirano. Di seguito sono riportati alcuni degli esempi più comuni.
Attacchi a livello di applicazione
Talvolta chiamati attacchi di livello 7 (perché prendono di mira il settimo livello (applicativo) del modello OSI), questi attacchi esauriscono le risorse del server di destinazione utilizzando siti web DDoS. Il settimo livello è quello in cui un server genera pagine web in risposta a una richiesta HTTP. Gli aggressori eseguono numerose richieste HTTP, sovraccaricando il server di destinazione mentre questo risponde caricando numerosi file ed eseguendo le query del database necessarie per creare una pagina web.
Inondazione HTTP
Immagina che questi attacchi DDoS siano come se un browser web venisse aggiornato più volte su più computer. Ciò crea un'ondata di richieste HTTP, forzando un diniego di servizio. L'implementazione di questi attacchi può essere semplice, utilizzando un URL con una gamma ristretta di indirizzi IP, o complessa, utilizzando una serie di indirizzi IP e URL casuali.
Attacchi al protocollo
Spesso chiamati attacchi di esaurimento dello stato, questi attacchi DDoS sfruttano le vulnerabilità nel terzo e quarto livello del modello OSI (livelli di rete e di trasporto). Questi attacchi creano un diniego di servizio sovraccaricando le risorse del server o delle apparecchiature di rete, come i firewall . Esistono diversi tipi di attacchi al protocollo, tra cui i SYN flood. Questi sfruttano l'handshake TCP (Transmission Control Protocol), che consente a due persone di stabilire una connessione di rete, inviando un numero ingestibile di "richieste di connessione iniziali" TCP da indirizzi IP falsi.
Attacchi volumetrici
Questi esempi di attacco DDoS creano un diniego di servizio utilizzando tutta la larghezza di banda disponibile su un server di destinazione, inviando enormi quantità di dati per creare un aumento del traffico sul server.
Amplificazione DNS
Si tratta di un attacco basato sulla riflessione in cui una richiesta viene inviata a un server DNS da un indirizzo IP falsificato (quello del server di destinazione), inducendo il server DNS a "richiamare" il server di destinazione per verificare la richiesta. Questa azione viene amplificata tramite l'uso di una botnet, che sovraccarica rapidamente le risorse del server di destinazione.
Identificazione di un attacco DDoS
Gli attacchi DDoS possono essere difficili da identificare perché possono imitare problemi di servizi convenzionali e sono sempre più sofisticati. Tuttavia, ci sono alcuni segnali che potrebbero suggerire che un sistema o una rete sono stati vittima di un attacco DDoS. Ad esempio:
- Un improvviso aumento del traffico proveniente da un indirizzo IP sconosciuto
- Un flusso di traffico proveniente da numerosi utenti che condividono somiglianze specifiche, come la geolocalizzazione o la versione del browser web
- Un aumento inspiegabile delle richieste di una singola pagina
- Modelli di traffico insoliti
- prestazioni generali della rete
- Un servizio o un sito web che improvvisamente va offline senza motivo
Prevenzione e mitigazione degli attacchi DDoS
Sebbene gli attacchi DDoS possano essere difficili da rilevare, è possibile implementare diverse misure per cercare di prevenire questo tipo di attacchi informatici e mitigare eventuali danni in caso di attacco. Per gli utenti che si chiedono come prevenire gli attacchi DDoS, la chiave è creare un piano d'azione per proteggere i sistemi e mitigare i danni in caso di attacco. In generale, è utile implementare una soluzione come la protezione DDoS Kaspersky per le aziende, che analizza e reindirizza costantemente il traffico dannoso. Inoltre, i seguenti consigli generali possono aiutarti a rafforzare ulteriormente le tue difese:
- Valutare l'attuale configurazione del sistema, inclusi software, dispositivi, server e reti, per identificare rischi per la sicurezza e potenziali minacce, quindi implementare misure per ridurli; condurre valutazioni dei rischi regolari.
- Mantenere aggiornati tutti i software e le tecnologie per garantire che siano installati gli ultimi patch di sicurezza.
- Sviluppare una strategia valida per la prevenzione, il rilevamento e la mitigazione degli attacchi DDoS.
- Assicurarsi che tutti coloro che sono coinvolti nel piano di prevenzione degli attacchi comprendano il significato degli attacchi DDoS e i ruoli assegnati.
In caso di attacco, queste azioni possono offrire una certa mitigazione:
- Reti Anycast: l'utilizzo di una rete Anycast per ridistribuire il traffico può aiutare a mantenere l'usabilità del server mentre il problema viene risolto, evitando che il server debba essere spento completamente.
- Black hole routing: in questo scenario, un amministratore di rete dell'ISP reindirizza tutto il traffico dal server di destinazione in un percorso black hole (indirizzo IP di destinazione), eliminandolo dalla rete e preservandone l'integrità. Tuttavia, questa potrebbe essere una misura estrema, poiché blocca anche il traffico legittimo.
- Limitazione della velocità: limita il numero di richieste che un server può accettare in un dato momento. Sebbene da sola non sia particolarmente efficace, può rivelarsi utile come parte di una strategia più ampia.
- Firewall: le organizzazioni possono utilizzare i Web Application Firewall (WAF) come proxy inverso per proteggere i propri server. È possibile impostare regole per filtrare il traffico sui WAF; gli amministratori possono modificarle in tempo reale se sospettano un attacco DDoS.
Articoli e collegamenti correlati:
- Cos'è un virus Trojan Horse? Tipi e come rimuoverlo
- Come impedire che gli attacchi DDoS rovinino la tua prossima sessione di gioco
Prodotti e servizi correlati: