Cybersecurity
Attacco DDOS (o Denial of Service): cos’è e come difendersi
Si sente parlare sempre più spesso di siti istituzionali messi fuori uso da attacchi DDoS, una particolare tipologia di attacco utilizzata per sovraccaricare i sistemi della vittima e renderli inaccessibili da parte degli utenti legittimi, nel caso i cittadini che si avvalgono dei servizi erogati dalla pubblica amministrazione.
Abbiamo citato un possibile esempio, in verità piuttosto frequente nelle cronache, ma gli attacchi DDoS oggi non sono più qualcosa di così distante dall’immaginario della cybersecurity aziendale, in quanto possono colpire organizzazioni pubbliche e private in vari modi, sempre più sofisticati. Questo scenario rende necessario e soprattutto non rimandabile un approccio specifico nella prevenzione degli attacchi DDOS, oltre a saper rispondere con efficacia nelle prime fasi di un potenziale attacco, prima che sia troppo tardi.
Fenomeni come il proliferare dei sistemi IoT e l’aumento del lavoro da remoto, insieme al progressivo aumento di dispositivi mediamente connessi ad una rete, hanno creato un terreno molto fertile per le infezioni di un’ampia tipologia di malware. Il software malevolo che consente di implementare e controllare una botnet, tramite cui vengono sferrati gli attacchi DDoS, non fa certamente eccezione.
Sono le ragioni per cui, anche nel caso degli attacchi DDoS, non è più possibile ragionare soltanto in termini reattivi, ma occorre assumere un atteggiamento proattivo, utile a coniugare la prevenzione, la protezione e la mitigazione degli attacchi: in fondo nulla di così differente rispetto a quanto accade nei confronti di altre minacce provenienti dalla rete.
Vediamo cos’è un attacco DDoS, quali sono le tipologie più diffuse e come difendere con efficacia i sistemi IT da tale minaccia alla sicurezza informatica.
Cos’è un attacco DDoS o Denial of Service
Un attacco denial of service (Dos) ha quale obiettivo quello di impedire agli utenti legittimi di accedere alle risorse IT, sovraccaricandole grazie ad un numero di richieste in contemporanea talmente alto da non poter essere in alcun modo gestito, rendendo a tutti gli effetti inutilizzabile il bersaglio colpito.
I sistemi che vengono messi più frequentemente fuori uso dagli attacchi DDoS sono i servizi e-mail, i siti web, i servizi bancari e finanziari, i servizi delle pubbliche amministrazioni e, in generale, qualsiasi altra forma di servizio che viene resa disponibile grazie ai server attraverso una rete.
È evidente come le organizzazioni colpite da un denial of service, lo dice il termine stesso, subiscano un danno nel momento stesso in cui si ritrovano in una condizione di “negazione del servizio”, ossia impossibilitate ad erogare in modo corretto ed efficiente un servizio IT, sia internamente o sia facendo riferimento a quelli destinati ai clienti finali.
Qual è lo scopo di un attacco DDOS?
Le motivazioni che inducono varie tipologie di cybercriminali a sferrare i loro attacchi DDoS sono piuttosto variegate. Molto frequentemente sono effettuati da correnti e collettivi legati all’hacktivism, le cui azioni di denuncia mirano a colpire un bersaglio ritenuto ideologicamente non condivisibile, per trasmettere in maniera clamorosa un messaggio alternativo, spesso utilizzando i canali stessi della vittima.
Non mancano gli attacchi condotti a scopo di lucro, a scopo di estorsione, oppure su commissione di un’organizzazione per colpire una rivale, o ancora in ambito nation-state, dove alcuni Stati finanziano sotto banco le organizzazioni cybercriminali per colpire importanti obiettivi strategici e funzionali delle nazioni avversarie, come nel caso delle utility e delle infrastrutture critiche, causando loro un danno evidente.
In altri casi, con modalità simili all’hacktivism, esistono attori individuali che agiscono per virtuosismo, cercando di mettere in evidenza le vulnerabilità dei sistemi della vittima, spesso con un semplice intento di carattere dimostrativo.
Le diverse tipologie di attacco DDOS
Anche se sono accomunati dal medesimo obiettivo, esistono molte tipologie di attacco DDoS, che si distinguono sia per quanto riguarda il sistema che intendono colpire, sia per le tecnologie e la metodologia che li contraddistingue.
In termini generali, è possibile identificare tre principali tipi di attachi DDoS: volumetrici, ai protocolli e a livello delle applicazioni. Vediamo tuttavia una panoramica più allargata, utile a comprendere in maniera esaustiva le logiche che caratterizzano gli attacchi DDoS e il comportamento dei cybercriminali.
Attacco DDoS volumetrico
Si tratta dell’attacco DDoS più noto, che ha la caratteristica di cercare di rendere inutilizzabile una rete a causa di una enorme quantità di traffico di dati, che va a congestionare la banda rendendo di fatto impossibile il suo impiego da parte degli utenti legittimi. I servizi di per sé funzionano, ma non riescono ad essere raggiunti a causa della saturazione della banda di rete.
Tra gli attacchi volumetrici più comuni ritroviamo gli attacchi di riflessione e gli attacchi di amplificazione.
I disagi arrecati da un attacco DDoS volumetrico sono quelli tipici di un disservizio, e possono causare danni economici, se la vittima fosse un sistema e-commerce che si ritrova a perdere ordini; danni ai cittadini, impossibilitati ad accedere ai servizi delle pubbliche istituzioni, come quelli socio-sanitari; danni alle aziende e ai professionisti esclusi dal loro conto bancario online, con il concreto rischio di non poter effettuare le operazioni previste entro i tempi utili. Giusto per citare alcune delle casistiche più comuni.
Tali attacchi, come vedremo nello specifico nel caso del funzionamento di un attacco di DDoS, vengono condotte sfruttando le botnet, reti di singoli dispositivi, detti zombie, ignari di essere controllati dai cybercriminali, da cui partono le singole richieste nei confronti della rete della vittima, la cui larghezza di banda viene facilmente saturata, con gli effetti di cui sopra.
Attacco DDoS a livello delle applicazioni
Un attacco DDoS a livello delle applicazioni è facilmente riconoscibile per il fatto di prendere di mira soltanto una o più applicazioni specifiche, senza necessariamente coinvolgere la rete utile per accedervi. Sono altrimenti definitivi attacchi di DDoS di livello 7, in riferimento al settimo livello del modello ISO/OSI, che interessa appunto le applicazioni.
Difficili da prevenire, tutt’altro che semplici da mitigare, gli attacchi DDoS a livello delle applicazioni sono inoltre tra i più diffusi e semplici da effettuare, anche per il fatto che possono richiedere mediamente meno risorse a livello di botnet rispetto agli attacchi volumetrici. Possono pertanto durare a lungo e risultare oltremodo complessi da ripristinare.
Attacco DDoS ai protocolli
Un’ulteriore variante di attacco DDoS è capace di prendere di mira nello specifico i protocolli, nel tentativo di compromettere la capacità di elaborazione delle risorse che compongono l’infrastruttura di rete, come i server e i firewall, rendendo anche in questo caso inaccessibile il sistema della vittima. La magnitudo di questi attacchi viene misurata in pacchetti al secondo (pps) o bit al secondo (bps). Tra gli attacchi DDoS ai protocolli più comuni ritroviamo il SYN flood e lo Smurf DDoS.
Attacco DDoS SYN flood
Durante l’attacco, i client controllati dai cybercriminali inviano grandi quantità di pacchetti SYN (sincronizzazione) senza il pacchetto SYN-ACK (riconoscimento della sincronizzazione), indispensabile per completare l’handshake del protocollo TCP (Trasmission Control Protocol). Questa dinamica manda facilmente in crash il sistema, in quanto il server rimane in attesa di una risposta che non arriva di proposito, e non riesce a chiudere le connessioni TCP, che esauriscono la capacità di accettare nuove richieste di comunicazione.
Attacco DDoS ai protocolli
Un’ulteriore variante di attacco DDoS è capace di prendere di mira nello specifico i protocolli, nel tentativo di compromettere la capacità di elaborazione delle risorse che compongono l’infrastruttura di rete, come i server e i firewall, rendendo anche in questo caso inaccessibile il sistema della vittima. La magnitudo di questi attacchi viene misurata in pacchetti al secondo (pps) o bit al secondo (bps). Tra gli attacchi DDoS ai protocolli più comuni ritroviamo il SYN flood e lo Smurf DDoS.
Attacco Smurf DDoS
L’attacco Smurf DDoS vede l’invio nella rete di grandi quantità di pacchetti ICMP (Internet Control Message Protocol) con un IDP di origine dolosamente contraffatto, che corrisponde a quello della vittima designata. Tutti i device raggiunti tra tale comunicazione sono ovviamente ignari dell’intento malevolo e rispondono all’IP sorgente, saturandone progressivamente le capacità di elaborazione.
Attacco DDoS UDP flood
Gli attacchi DDoS UPD flood vengono utilizzati per colpire reti dotati di una larghezza di banda particolarmente ampia, mediante l’invio di pacchetti IP contraffatti, contenenti protocolli UDP stateless, che mandano in crisi l’host della vittima, che restituisce automaticamente un messaggio di “destinazione non raggiungibile”. Oltre una certa soglia, il sistema della vittima non riesce più a rispondere alle richieste, lecite o meno che siano, rendendo di conseguenza inaccessibili anche i servizi erogati agli utenti legittimi.
Attacco DDoS al DNS
Questa particolare tipologia di attacco DDoS è caratterizzata da un attacco di riflessione al DNS (Domain Name System), che vede i cybercriminali effettuare uno spoofing dell’indirizzo IP della vittima per inviare enormi quantità di richieste ai server DNS, che con le loro risposte causano il sovraccarico del sistema mittente.
Come funziona un attacco DDOS
Come abbiamo esaminato sotto vari punti di vista, un attacco DDoS impiega vari metodi e vettori per sovraccaricare le risorse IT di un sistema di destinazione, ai fini di rendere inaccessibili i suoi servizi agli utenti legittimi. Ma quali sono questi vettori? Come fanno ad inviare quantità di dati così elevate, al punto da mettere in crisi anche le infrastrutture più solide, se non adeguatamente protette?
Per sferrare un attacco DDoS i cybercriminali si avvalgono di una botnet, una rete di dispositivi, definiti bot o zombie, per il fatto di essere controllati remotamente attraverso un malware.
La logica attraverso cui viene costruita una botnet appare piuttosto semplice, per quanto la sua gestione sia tutt’altro che elementare. I cybercriminali sfruttano le vulnerabilità dei device connessi alla rete per installare un malware, che rimane attivo nel sistema con lo scopo di non farsi individuare dagli eventuali anti-malware attivi.
La presenza nociva di una botnet, se si limita soltanto a questo scopo, non causa di per sé un danno in termini di performance, in quanto opera in background per la maggior parte del tempo, con un livello di processo a bassa priorità. Questo aspetto rende gli agenti delle botnet non semplici da rilevare.
Una volta creata la botnet, i cybercriminali possono utilizzare gli zombie per indirizzare gli attacchi DDoS, grazie alla potenza di fuoco garantita da molte migliaia di dispositivi attivabili in una concentrazione di tempo limitato, coerente con l’obiettivo di sorprendere la vittima e lasciarle il minor tempo possibile per reagire, prima che i suoi sistemi falliscano per l’eccessivo carico di lavoro da svolgere per gestire l’enorme numero di richieste ricevute.
Le botnet consentono alle organizzazioni cybercriminali di strutturare nuovi modelli di business, sulla base dei modelli a servizio, mettendole anche a disposizione di terzi o agendo su commissione per raggiungere determinati obiettivi, come l’attacco nei confronti di specifiche vittime.
Identificare un attacco
Nelle fasi iniziali, gli attacchi DDoS non manifestano sintomi così differenti da quelli riconducibili a problematiche di natura tecnica, come una certa lentezza nell’utilizzo della rete, a livello di traffico generico o nell’apertura dei file. In altri casi è possibile incontrare una difficoltà nell’accesso ai siti web, fino ad arrivare ad evidenti problemi nella navigazione su Internet. Nei casi più estremi l’attacco rende impossibile svolgere praticamente qualsiasi attività in una condizione riconducibile alla normalità.
Per rilevare e identificare un attacco DDoS prima che i suoi effetti siano ormai in fase avanzata, è necessario implementare un sistema di monitoraggio e analisi del traffico di rete, ad esempio indirizzando quest’ultimo verso un next generation firewall, dotato di funzioni basate sull’intelligenza artificiale che consentono di riconoscere automaticamente i pattern anomali, come l’elevato numero di accessi da IP differenti rispetto alla condizione di routine.
Qualora si disponga di un firewall tradizionale, è in ogni caso opportuno che sulla rete sia attivo un sistema di rilevamento delle intrusioni (ISP), capace di svolgere una funzione analoga. Gli amministratori possono impostare regole più o meno restrittive, per evitare l’incidenza dei falsi allarme, senza tuttavia sottovalutare i rischi di un possibile attacco DDoS.
I sistemi di monitoraggio, come i moderni SIEM, sono delle autentiche piattaforme di tool che operano in concerto per rilevare e identificare le possibili minacce provenienti dalla rete attraverso l’analisi comportamentale, che si basa su varie attività, tra cui:
- Un range di IP che effettua molte richieste in un breve periodo di tempo;
- Richieste provenienti da determinate tipologie di device, sistemi operativi, browser o posizione geografica, specie se quest’ultima non coincide con il proprio target di riferimento;
- Problemi di comunicazione con i server, o messaggi di errore dovuti a sovraccarico o manutenzione
- Incrementi improvvisi nell’utilizzo della banda di rete e particolari, oltre che inattesi, picchi di traffico, soprattutto se indirizzati verso un’unica risorsa attiva su un server specifico, come nel caso di un sito web.
Attraverso l’analisi comportamentale, un sistema di monitoraggio è capace di identificare un sospetto attacco nella sua tipologia, e attivare automaticamente le procedure necessarie per garantire la sicurezza dei sistemi oggetto dell’attacco.
In altri termini, si tratta di operazioni che ormai è impossibile pensare di svolgere manualmente. La prevenzione di un attacco DDoS richiede sistemi specifici, in grado di analizzare log e automatizzare task in numeriche elevate, con una visibilità in tempo reale su quanto accade sui sistemi IT. Si tratta inoltre di operazioni che andrebbero sempre associate alla regolare supervisione da parte di esperti in materia di cybersicurezza, la cui esperienza è fondamentale nella scelta e nella configurazione delle tecnologie utilizzate.
Come difendersi da un attacco DDOS
La difesa nei confronti di un attacco DDoS si basa in gran parte sulla sua prevenzione, proprio per il fatto che la sua natura silente lo rende molto complesso da rilevare nelle sue prime fasi, quando è ancora possibile attivare con successo una misura di contenimento. È il caso del reindirizzo delle richieste verso IP di server virtuali, differenti da quello dell’effettivo bersaglio, evitando il sovraccarico che l’attaccante intende portare a segno per rendere inutilizzabili le risorse disponibili.
La varietà tecnica e la continua evoluzione del comportamento dei cybercriminali rende la difesa nei confronti degli attacchi DDoS una sfida decisamente avvincente per i professionisti della cybersecurity aziendale, chiamati ad assicurare la sopravvivenza stessa delle organizzazioni.
Tra le best practice per difendersi dagli attacchi DDoS è opportuno considerare la valutazione dei rischi, la differenziazione del traffico, il black hole routing, la limitazione della banda e, più in generale, l’utilizzo di tecnologie firewall in grado di analizzare i pacchetti di dati, considerando tutti i 7 livelli del modello ISO/OSI.
Tale aspetto appare di vitale importanza, in quanto ormai moltissimi attacchi alla sicurezza informatica, non soltanto quelli Denial-of-Service, vengono condotti a livello delle applicazioni (livello 7 ISO/OSI), mentre i firewall tradizionali, garantiscono una protezione efficace soltanto nei confronti dei primi 4 livelli ISO/OSI, in quanto si occupano prevalentemente di chiudere porte e bloccare IP, senza interpretare in tempo reale il contenuto del traffico di rete.
Tra le tecnologie di firewall più indicate contro gli attacchi DDoS ritroviamo i NGFW (Next Generation FireWall) e i WAF (Web Application Firewall). I WAF agiscono come reverse proxy tra la rete internet e i server da proteggere e sono dotati di tecnologie intelligenti per monitorare il traffico in tempo reale, identificandone la possibile natura sospetta.
Per quanto riguarda la mitigazione, come già precisato, uno dei metodi più efficaci consiste nel dirottare le richieste verso più server virtuali, in modo da preservare il vero bersaglio dall’azione di sovraccarico che risulterebbe altrimenti letale.
Se vuoi farti guidare da noi, scopri i nostri servizi