Gli attacchi DDoS
Gli attacchi DDoS sono una minaccia informatica tanto semplice da mettere in pratica, quanto efficace: capace di mandare in tilt un’azienda, o infrastrutture critiche come ospedali e aeroporti, in pochi secondi.
Cosa sono gli attacchi DDoS?
Acronimo di Distributed Denial of Service (trad. interruzione distribuita del servizio), l’attacco DDoS è un caso particolare di attacco DoS (semplicemente, denial-of-service).
Lo scopo di un attacco DoS è quello di saturare le risorse informatiche e di rete di un sistema informatico che distribuisce diverse tipologie di servizio.
Nell’ambito del networking, dunque, un attacco DoS punta a rendere irraggiungibile un sito o un server saturandone la banda di comunicazione.
Il suo obiettivo è rendere irraggiungibili e inutilizzabili interi datacenter, reti di distribuzione dei contenuti o servizi DNS.
Per far questo, gli hacker sfruttano un maggior numero di direttrici e impiegano un quantitativo di risorse superiore rispetto a un “normale” attacco DoS.
In questo modo si riesce a “neutralizzare” l’obiettivo nel giro di pochi secondi, causando danni che persistono nel tempo — da qualche ora ad alcuni giorni, a seconda della prontezza con cui si risponde all’offensiva.
Che cosa sono le botnet
La colonna portante di ogni attacco DDoS che si rispetti è una fitta rete di dispositivi infettati da malware e trojan horse controllati a distanza da un singolo hacker o da un gruppo di pirati informatici.
Si tratta della botnet, una sottoporzione dei nodi di Internet composta da device compromessi e utilizzabili per gli scopi più disparati, inclusi gli attacchi DDoS.
Un tempo questi dispositivi erano chiamati anche computer zombie: nella gran parte dei casi, infatti, si trattava di sistemi informatici infettati da una particolare tipologia di virus capace di trasformarli in una sorta di marionetta.
Oggi, invece, lo spettro dei dispositivi che possono entrare a far parte dei ranghi di una botnet si è allargato in maniera esponenziale.
Al fianco di computer desktop e laptop troviamo smartphone, tablet, telecamere IP di sicurezza, router, stampanti di rete, smartTV e anche termostati intelligenti.
Potenzialmente ogni dispositivo dotato di connettività alla Rete può far parte di una botnet: tutti gli elettrodomestici smart, le automobili e i vari sensori intelligenti sparsi agli angoli delle strade possono potenzialmente essere cooptati e utilizzati per lanciare offensive contro server e fornitori di servizi web.
Insomma, se non adeguatamente protetto, l’Internet of Things può rappresentare la più grande minaccia informatica del nostro tempo.
Tipologie di attacchi DDoS
A seconda dei metodi utilizzati e degli obiettivi che si propongono, gli attacchi DDoS possono essere raggruppati in quattro principali categorie.
Ci sono quelli che prendono di mira la connessione TCP, puntando tutto sulla velocità.
In questo caso, la botnet inonda il server di richieste di connessione, senza mai arrivare alla fine: così la banda di comunicazione del sistema informatico viene saturata in fretta, rendendo impossibile l’accesso ai contenuti da parte di qualunque utente.
Un’altra tipologia di DDoS sono gli attacchi volumetrici in cui il volume di traffico creato è enorme e ingestibile.
Discorso diverso, invece, per gli attacchi di frammentazione che ambiscono a consumare le risorse di calcolo del sistema informatico inviando richieste d’accesso incomplete.
Come conseguenza l’oggetto dell’attacco usa gran parte delle proprie risorse per tentare di ricostruire l’informazione digitale ricevuta.
A volte, però, per rendere inutilizzabile un server non è necessario attaccare l’intera infrastruttura. È sufficiente sfruttare una falla o un particolare malfunzionamento di uno degli applicativi che ne consentono il funzionamento per renderlo instabile e, di conseguenza, inutilizzabile.
È il caso degli attacchi applicativi: questi non puntano all’intera infrastruttura, ma ne bersagliano un programma indispensabile, rendendolo instabile e quindi inutilizzabile.
Come difendersi da attacchi DDoS
Gli attacchi DDoS sono rivolti, nella stragrande maggioranza dei casi, a fornitori di servizi web e non contro singoli utenti.
Ciò vuol dire che i “semplici” internauti non hanno mezzi di difesa adeguati: nel caso un servizio web di cui usufruiscono resti vittima di un’offensiva hacker, la loro unica speranza è che gli esperti di sicurezza informatica riescano a mitigare in fretta l’attacco e limitare la portata del disservizio.
Grazie alla tecnica del Sinkholing, è possibile deviare il traffico creato dalla botnet per bloccare le attività di un server o una rete di distribuzione verso un vicolo cieco.
In questo modo sarà possibile evitare che l’attacco DDoS provochi dei danni a livello hardware e software, anche se non è detto che permetta di limitarne completamente la portata: può accadere, infatti, che la risorsa di rete colpita risulti ugualmente inaccessibile, anche se per un lasso di tempo minore.
Oppure, sfruttando particolari software, i team di sicurezza informatica possono individuare i tentativi di accesso alla rete locale e neutralizzare i tentativi di attacco prima che questi si trasformino in delle piccole catastrofi digitali.
I sistemi di rilevamento delle intrusioni, infatti, scansionano costantemente il traffico dati in ingresso e in uscita e sono in grado di individuare quando dei protocolli “legittimi” sono utilizzati per scopi illeciti.
Molte aziende, infine, hanno pensato di difendersi dagli attacchi DDoS puntando con forza sulla ridondanza: anziché creare datacenter e reti di distribuzione appena sufficienti a fornire i servizi richiesti, realizzano infrastrutture “doppioni”.
In questo modo, anche se un nodo della rete non dovesse essere più disponibile, sarà comunque possibile continuare a erogare il servizio: sarà sufficiente deviare il traffico verso un nodo “gemello”, così da poter mitigare l’attacco e ripristinare la situazione.
Scopri di più sulle nostre soluzioni di Application & Cloud Security.