La criminalità informatica minaccia costantemente la tecnologia. Gli hacker sfruttano le informazioni personali degli utenti di Internet a proprio vantaggio e trovano la propria collocazione ideale nel dark web, che consente di acquistare e vendere prodotti e servizi illegali e avere accesso a informazioni riservate.

Attacchi DDos: il crimine informatico

La cybercriminalità designa l’utilizzo del computer come strumento per commettere un reato. Il criminale informatico utilizza, in sostanza, un dispositivo per accedere a informazioni personali, aziendali o governative o per disabilitare un dispositivo.

I crimini informatici si dividono in due categorie:

reati contro reti o dispositivi (virus, malware, attacchi DDos)

reati che utilizzano dispositivi per partecipare ad attività criminali (phishing, cyber-stalking, furto di identità, etc)

Cos’è un attacco Ddos?

In un attacco DDOS (Distributed Denial of Service), un hacker travolge il proprio obiettivo creando traffico Internet indesiderato, in modo che il traffico normale non possa raggiungere la sua destinazione. Ma cosa significa in realtà?

Creare un attacco DDoS vuol dire, in sostanza, inondare una rete o un server (ovvero la vittima) con un’impennata di traffico Internet di dimensioni talmente grandi da sopraffare la sua struttura con un numero di richieste di accesso enorme. Il risultato è un rallentamento dei servizi o la loro completa disattivazione.
Questo impedisce anche agli utenti legittimi di accedere.

Sebbene l’attacco DDoS sia uno degli attacchi informatici meno sofisticati, è uno dei più dirompenti e in grado di mettere KO (quindi offline) siti Web e servizi digitali per periodi di tempo significativi, da pochi secondi a diverse settimane.

Un attacco DDoS è un’apocalisse di computer infetti che puntano un sito Web e lo attaccano.

Come funziona un attacco informatico Ddos

Gli attacchi DDoS utilizzano una rete di macchine connesse a Internet (Pc, laptop, server, dispositivi) tutte controllate da un unico attaccante (l’hacker). Queste reti vengono dette botnet. I dispositivi utilizzati per gli attacchi DDoS possono essere ovunque (da cui il termine distributed) ed è improbabile che i loro proprietari siano a conoscenza del loro utilizzo, poiché sono stati dirottati in modo molto discreto dagli hacker.

I cybercriminali spesso acquisiscono il controllo delle macchine attraverso attacchi malware , utilizzando il nome utente e la password predefiniti del prodotto.

Una volta penetrato dall’hacker, un dispositivo diventa parte della botnet. Le botnet possono essere utilizzate per tutti i tipi di attività dannose, inclusa la distribuzione di e-mail di phishing, malware o ransomware. Nel caso di un attacco DDoS, i dispositivi vengono utilizzati per generare traffico Internet.

Le dimensioni di una botnet possono variare da un numero relativamente piccolo di dispositivi a milioni. In entrambi i casi, coloro che controllano la botnet indirizzano il traffico web verso un obiettivo per pilotare un attacco DDoS.

Server, reti e servizi online sono progettati per gestire una certa quantità di traffico Internet. Ma se sono inondati di traffico extra durante un attacco DDoS, vengono sopraffatti. L’elevato volume di traffico inviato dall’attacco DDoS blocca o riduce le capacità dei sistemi, impedendo agli utenti legittimi di accedere ai servizi.

Questa situazione è detta denial of service.

Attacchi DDos: i 7 livelli

Livello 1: fisico. I bit di dati vengono trasmessi tramite un datalink fisico che collega i nodi di rete

Livello 2: datalink. Trasferisce i dati tra entità di rete. È anche un mezzo per rilevare e correggere errori nel livello fisico

Livello 3: rete. Stabilisce il percorso che intraprenderanno i dati per giungere a destinazione

Livello 4: trasporto. I dati vengono inoltrati tramite protocollo TCP (Transmission Control Protocol) che si basa sul protocollo Internet (IP), anche noto come TCP/IP

Livello 5: sessione. Consente a dispositivi, computer o server di comunicare tra loro e controllare porte e sessioni

Livello 6: presentazione. Crittografia e decrittografia dei dati consentono una trasmissione sicura

Livello 7: applicazione. È il livello più alto e pericoloso. Le persone si interfacciano con computer e dispositivi e le reti si connettono ad applicazioni

Attacchi DDoS: le tipologie

Esistono 3 tipi principali di attacchi DDoS e gli hacker spesso li usano anche contemporaneamente:

  • Attacchi volumetrici. Lo scopo, come abbiamo visto, è rendere strutture e reti denial-of-service, ovvero indisponibili, saturandole con un numero enorme di richieste di accesso.
    Uno dei sistemi più utilizzati dagli hacker consiste nell’inviare grandi quantità di pacchetti di piccole dimensioni alle botnet da un IP spoofing (ovvero un indirizzo Ip falsificato). Le botnet, a loro volta, inviano pacchetti più grandi all’indirizzo Ip della vittima. I bersagli registrano una congestione della rete
  • Attacchi ai protocolli. Si tratta di denial of service distribuiti a livello di rete. Lo smurf DDoS, per esempio, consiste nell’inviare un pacchetto a un indirizzo di rete broadcast. Questo invio genera una risposta automatica da parte di ogni host. Con la giusta quantità di risposte ICMP, un bersaglio può essere tenuto offline per diverso tempo
  • Attacchi L7. Colpiscono a livello di applicazioni, che sono gli elementi che posseggono più risorse e sono meno testate.

Altri tipi di attacchi DDoS

Esaurimento delle tavole statali. Apparecchiature come firewall, sistemi di bilanciamento del carico o sistemi di rilevamento delle intrusioni utilizzano principalmente il tracciamento della connessione. Nel caso dei firewall, il monitoraggio della connessione consente, ad esempio, di rifiutare i pacchetti non appartenenti a una connessione esistente avviata da un host autorizzato. Il rilevamento delle connessioni richiede il mantenimento di una tabella di stato delle connessioni esistenti. Per ogni pacchetto in arrivo, questi dispositivi eseguono una ricerca nella loro tabella per determinare se il pacchetto corrisponda a una connessione esistente. In caso contrario, viene quindi aggiunta in memoria una nuova connessione. Questa modalità di funzionamento è talvolta necessaria ma rende l’apparecchiatura vulnerabile ad attacchi volti a saturare la tabella di stato.

Attacchi che utilizzano la frammentazione IP. Un pacchetto IP può attraversare reti eterogenee in cui la dimensione massima del pacchetto varia. In particolare, quando un pacchetto arriva su una rete con MTU 1 inferiore, è necessario frammentare questo pacchetto in modo che possa raggiungere la sua destinazione: il pacchetto iniziale viene quindi suddiviso in più pacchetti la cui dimensione non supera quella dell’MTU. I pacchetti così generati vengono riassemblati una volta giunti a destinazione. Alcuni attacchi sfruttano il meccanismo di frammentazione per indurre una carica aggiuntiva sull’obiettivo.

Attacchi DDoS: i vettori

Gli strumenti utilizzati per perpetrare gli attacchi DDoS sono:

Botnet

Una rete botnet è formata da una serie di dispositivi infetti (bot o zombie) ai quali l’hacker invia istruzioni remote.
L’hacker ordina a ciascun bot di inviare richieste all’indirizzo IP della vittima. Ne consegue un volume di traffico enorme che produce la disattivazione del servizio.

Le botnet possono essere create dagli hacker ma anche noleggiate: in questo caso si parla di DDoS-for-hire (attacchi a noleggio). I DDoS-for-hire consentono anche ad hacker senza troppa esperienza di lanciare facilmente attacchi DDoS.
Negli ultimi anni, in rete sono stati lanciati una serie di servizi DDoS online (booter o stresser). Il loro utilizzo (le tariffe sono molto economiche) consente agli hacker di lanciare attacchi contro il bersaglio scelto. Alcuni booter, per di più, consentono di testare il servizio gratis per pochi minuti. La diversità di strumenti e servizi deputato a lanciare attacchi denial of service distribuited contribuisce all’aumento di molti di questi attacchi.

Attacchi basati sulla riflessione

Alcuni attacchi utilizzano riflettori, ovvero macchine accessibili su Internet e che rispondono a richieste provenienti da qualsiasi fonte. Gli attacchi di riflessione spesso coinvolgono protocolli UDP, perché non richiedono la creazione di una sessione (a differenza del protocollo TCP) prima dell’invio di dati.
Gli attacchi di riflessione inviano anche pacchetti TCP SYN da IP spoofing per generare pacchetti SYN-ACK in risposta verso il bersaglio.
Infine, va notato che gli attacchi di riflessione possono essere avviati da botnet.

Attacchi basati sull’amplificazione

Sono di tipo volumetrico e mirano a esaurire la larghezza di banda di rete disponibile per rendere inaccessibile uno o più servizi. Sfruttano le proprietà di determinati protocolli al fine di massimizzare la quantità di traffico generato. Inoltre, gli attacchi di amplificazione coincidono con quelli volumetrici e mirano a generare un numero molto elevato di pacchetti al secondo per saturare le risorse di elaborazione di un bersaglio.
Il numero di pacchetti indotti dalla risposta può essere maggiore rispetto al numero di pacchetti necessari per inviare la richiesta.
Ci sono una serie di protocolli che possono essere sfruttati per condurre questi tipi di attacchi. Tra questi si possono citare:

  • Attacchi di amplificazione DNS.
    Il protocollo DNS permette di associare un nome facile da ricordare a un indirizzo IP. Per effettuare attacchi DNS, l’attaccante può interrogare server che generano registrazioni in grandi quantità oppure server che rispondono a richieste da Internet
  • Attacchi di amplificazione NTP.
    NTP è un protocollo che consente la sincronizzazione dell’ora di macchine reali su una rete IP. L’attacco di amplificazione NTP consiste nell’invio di un messaggio di controllo che consente di recuperare le informazioni del server e cambiarle. L’hacker può generare traffico verso un target il cui volume è 30 volte più grande di quello necessario per interrogare i server vulnerabili. Inoltre, una query implementata in ntpd e destinata a scopi di monitoraggio, consente di recuperare l’elenco degli indirizzi IP che hanno interrogato il server. Questa lista include anche diverse informazioni relative alle richieste, come le date di interrogazione o il numero di pacchetti ricevuti. Implementazioni con questa caratteristica consentono di mantenere in memoria i dati delle ultime 600 richieste che il server ha ricevuto. Sfruttando questa caratteristica, i test dimostrano che è possibile ottenere un fattore di amplificazione (in termini di larghezza di banda) di circa 1290 e un fattore di amplificazione (in termini di numero di pacchetti) pari a 99
  • Attacchi mirati alle applicazioni. In questo caso, l’hacker invia permanentemente un gran numero di richieste HTTP GET o POST al server di destinazione. È anche possibile possibile inviare richieste parziali, quindi trasmettere il resto di tali richieste a intervalli regolari, con l’obiettivo di mantenere i collegamenti aperti più a lungo possibile ed evitare la chiusura dei collegamenti oltre un tempo prefissato.
    Altri tipi di attacchi alle applicazioni cercano di esaurire le risorse di elaborazione di un server avviando un numero elevato di sessioni TLS o sfruttando i punti deboli nella progettazione di un’applicazione web.

Obiettivi degli attacchi Ddos

Gli attacchi Distributed Denial of Service (DDoS) mirano a bloccare servizi online, siti Web e applicazioni inondandoli di traffico dannoso. L’obiettivo è rendere il bersaglio non disponibile agli utenti legittimi e, dunque, interrompere il servizio. Gli attacchi DDoS mirano a grandi gamme di risorse da cui le persone dipendono ogni giorno (servizi finanziari, informazioni mediche, media, sistemi educativi e acquisti online).

Ma perché gli hacker sferrano attacchi DDoS?. Le motivazioni più comuni sono:

  • Hacktivismo politico o sociale. Gli hacker puntano a causare disagi economici o sociali
  • Conquista di quote di mercato. Puntano a mettere fuori gioco i concorrenti
  • Estorsioni a fini di lucro e profitto . Questo tipo di attacco è conosciuti anche come RDDoS (attacco DDoS con riscatto): gruppi di criminali minacciano le aziende con un evento DDoS per ottenere un pagamento in danaro. Spesso, questi cybercriminali lanciano un attacco brute force per dimostrare la capacità di causare interruzioni e aumentare la probabilità di un pagamento estorsivo. Il pagamento avviene generalmente in criptovalute

Attacchi DDoS come difendersi

Esistono diverse soluzioni di protezione che possono essere implementate al fine di bloccare un attacco DDoS.

L’implementazione di apparecchiature deputate al filtraggio del sistema informatico di un’entità fornisce protezione verso gli attacchi il cui volume non supera la capacità dei collegamenti di rete.
Quando, invece, i collegamenti di rete di un’entità sono saturi, spesso si rende necessario fare richiesta al provider per filtrare il traffico a monte. I fornitori di servizi, in genere, offrono soluzioni di protezione dedicate in cloud. La migliore soluzione è costituita dall’ibrido (apparecchiature interne e soluzioni in cloud, perché consente di proteggere un sito da attacchi volumetrici.

Come bloccare un attacco Ddos: le soluzioni più semplici

Protezioni di base. Si tratta di limitare, per esempio, il throughput del router, aggiungere filtri per eliminare i pacchetti falsificati impostare soglie inferiori per ICMP, SYN e UDP. Tutto questo farà risparmiare tempo, mentre si cerca una soluzione

Pianificazione delle risposte DDoS . Predisporre un piano di intervento vuol dire bloccare sul nascere (nella maggior parte dei casi) un attacco DDoS. Impostare il contatto immediato dell’Isp in caso di sospetto attacco, a volte vuol dire vedersi bloccato il traffico ma, subito dopo, poterlo deviare attraverso una rete di lavaggio di terze parti. È indispensabile, inoltre, assicurarsi che le risorse di rete disponibili abbiano la priorità. A tal fine, è preferibile sacrificare il traffico di basso valore per mantenere in vita applicazioni e servizi di alto valore. Tutte queste decisioni dovranno essere stabilite in anticipo per poter agire velocemente in caso di bisogno

Ampliamento della superficie di attacco. Ciò che rende efficaci gli attacchi DDoS è la capacità di indirizzare una grande quantità di traffico verso un determinato obiettivo. Se tutte le risorse online di un’organizzazione sono in un unico posto, gli aggressori devono attaccare solo un singolo obiettivo per interrompere il traffico significativo. Se possibile, è quindi utile distribuire i sistemi, in modo che sia più difficile – ma non impossibile – per gli hacker prendere di mira tutte le risorse.

Sistemi di rilevazione delle intrusioni. Tramite appositi software è possibile individuare e segnalare tempestivamente un uso illegittimo dei protocolli.

Monitoraggio del traffico web e capacità di distinguere tra traffico regolare e anomalo possono svolgere un ruolo fondamentale al fine di individuare degli attacchi DDoS. Gli esperti di sicurezza informatica consigliano di impostare avvisi che comunicano quando o se il numero di richieste supera una determinata soglia.

Sinkholing. In caso di aumento esponenziale del traffico, questo viene dirottato verso un altro indirizzo, un vicolo cieco, così da tutelare e garantire la funzionalità delle risorse informatiche. Di contro, anche il traffico “pulito” viene dirottato al fine di preservare l’infrastruttura.

Firewall e router possono svolgere un ruolo importante nella mitigazione dei potenziali danni causati da un attacco DDoS. Se configurati correttamente, sono in grado di deviare il traffico fasullo scansionandolo come potenzialmente dannoso e bloccandolo prima che giunga a destinazione. Ovviamente, firewall e software di sicurezza dovranno essere aggiornati regolarmente per rimanere il più efficaci possibile.

L’utilizzo di un servizio di stress IP può essere un modo efficace per testare la propria capacità di larghezza di banda. Esistono anche fornitori di servizi specializzati nella mitigazione degli attacchi DDoS che possono aiutare le aziende a far fronte a un improvviso aumento del traffico web, aiutando a prevenire i danni causati dagli attacchi

Attacchi DDoS: i servizi di mitigazione

I servizi di mitigazione degli attacchi DDoS proteggono la rete dagli attacchi reindirizzando il traffico dannoso lontano dalla rete della vittima.

Il primo compito di un servizio di mitigazione è essere in grado di rilevare un attacco DDoS e distinguere ciò che è effettivamente un evento dannoso da quello che è solo un volume di traffico regolare, anche se straordinariamente elevato.

Per riuscire in questo intento, i servizi di mitigazione DDoS utilizzano, nella stragrande maggioranza dei casi, la valutazione della reputazione dell’IP da cui proviene la maggior parte del traffico. Se proviene da un luogo insolito o noto per essere dannoso, ciò potrebbe indicare un attacco.

Un altro sistema di riconoscimento consiste nel cercare schemi comuni associati al traffico dannoso, spesso in base a ciò che è stato appreso durante incidenti precedenti.

Una volta che un attacco è stato identificato come legittimo, un servizio di protezione DDoS funzionerà per rispondere assorbendo e deviando quanto più traffico dannoso possibile. Ciò è reso più semplice dall’instradamento del traffico in blocchi gestibili che facilitano il processo di mitigazione e aiutano a prevenire la negazione del servizio.

Difendere un’azienda da un attacco Ddos

Abbiamo visto come, seppur non attraverso implementazioni complesse, un attacco Ddos possa essere estremamente nocivo nei confronti di una vittima. Nel contesto aziendale e del business, il danno, seppur della durata di pochi minuti, può avere conseguenze letali dal punto di vista economico.

Prevenire e proteggersi da un attacco Ddos è l’unico modo per evitare conseguenze dannose.

Se vuoi conoscere meglio gli strumenti che possiamo mettere a tua disposizione per proteggere la tua azienda, contattaci, i nostri tecnici specialisti sono a tua disposizione per fornirti maggiori indicazioni e individuare insieme a te la soluzione più consona al tuo caso.

Scarica l’ebook “Lavorare in smart working: modelli e tecnologie”

Compara le migliori soluzioni per lo smart working, impara come strutturare il lavoro e i team e migliorare la produttività della tua azienda nella sua prossima trasformazione digitale

    Dichiaro di aver letto l’INFORMATIVA PRIVACY ed esprimo il mio consenso al trattamento dei dati per le finalità indicate