Cos'è un attacco DDoS? - TechRobot

Cos’è un attacco DDoS?

Ci sono più probabilità che tu abbia sentito parlare di un sito web messo fuori uso da hacker o che un sito popolare sia andato in crash. La maggior parte di questi periodi di inattività su siti web popolari e ad alto traffico sono causati da attacchi Distributed Denial of Service (DDoS).

Ci sono dei limiti alla larghezza di banda del traffico che un dispositivo di rete può gestire. Il suddetto limite dipende da fattori come la potenza di elaborazione del dispositivo, il limite di dati del nodo di connessione (switch o router) e la velocità massima di connessione e larghezza di banda consentite dal Fornitore di Servizi Internet (ISP).

Come tutto ciò culmina nel causare inattività su un sito web? Come avvengono questi attacchi? Questo articolo sarà un’esposizione sugli attacchi DDoS e su come evitarli o prevenirli.

Analisi di un tipico attacco DDoS

Gli hacker avviano attacchi DDoS reclutando prima un esercito di computer vulnerabili, comunemente definito come un Botnet. I Botnet sono una serie di computer e dispositivi interconnessi che sono stati compromessi da malware. I Botnet vengono poi utilizzati dagli hacker per inviare simultaneamente richieste di risorse che consumano la larghezza di banda della connessione della vittima, impedendo così agli utenti remoti legittimi dei servizi sul dispositivo di accedervi.

I pacchetti di dati utilizzati nell’esecuzione degli attacchi DDoS sono gli stessi o simili a quelli usati per la comunicazione quotidiana su internet, eccetto che sono coordinati in un blocco estremamente grande per volta. I server online che gestiscono il traffico di streaming video possono permettere un limite massimo di 20 Gigabyte al secondo di larghezza di banda. In confronto, gli attacchi DDoS potrebbero caricare un singolo server o dispositivo di rete con fino a 1 Terabyte al secondo di dati. Un tale volume di traffico riuscirebbe a rendere un servizio grande quanto Google non reattivo.

Chi sono i potenziali bersagli degli attacchi DDoS?

Gli attacchi DDoS sono estremamente facilitati a causa della vulnerabilità di diversi dispositivi connessi a internet e della disponibilità di botnet sul dark web per l’uso da parte di hacker principianti. Molti utenti internet, e sorprendentemente alcune organizzazioni, implementano tecnologie abilitate a internet senza cambiare i dettagli di login predefiniti del produttore che accompagnano il dispositivo. Gli hacker setacciano internet alla ricerca di tali dispositivi, ne ottengono l’accesso e installano malware che consente loro di controllare tali dispositivi da remoto, senza che i veri proprietari sappiano che il loro dispositivo fa parte di una botnet.

I botnet, che consistono in una rete di dispositivi vulnerabili, non sono le principali vittime in questo caso, ma sono utilizzati per portare avanti un attacco coordinato contro un singolo sito web o servizio online – questi sono stati le principali vittime degli attacchi DDoS.

Gli attacchi DDoS contro siti web e piattaforme di servizi online possono assumere la forma di pacchetti falsi, messaggi in entrata o richieste di avvio di una connessione. Sono per lo più eseguiti come un attacco vendicativo sia per danneggiare la reputazione dei concorrenti e di conseguenza causare una diminuzione della quota di mercato, un attacco contro avversari politici, o a volte come stratagemma di demoralizzazione contro movimenti e entità per i diritti umani.

Amazon Web Services (AWS) ha subito uno degli attacchi DDoS più recenti nel febbraio 2020. Un importante cliente anonimo di AWS è stato il bersaglio dell’attacco, influenzando i suoi servizi online per tre giorni. Una larghezza di banda del traffico che ha raggiunto un picco di 2,3 Terabyte al secondo ha fatto sembrare la vasta banda larga di AWS un gioco da ragazzi.

Il botnet più popolare finora – Mirai, è stato al centro di una serie di attacchi DDoS nel 2016. Nel settembre 2016, internet ha ospitato il botnet Mirai nel più massiccio attacco DDoS del periodo, con traffico che ha raggiunto una larghezza di banda di 620 Gbps colpendo il blog di un analista di cybersecurity. Dopo che un frammento del codice di Mirai è stato reso pubblico durante un raduno DEFCON più avanti nello stesso mese, una scala molto più ampia di attacco ha colpito un importante fornitore di servizi di Domain Name Service – Dyn.

Dyn era il fornitore DNS per siti web come Netflix, GitHub, PayPal, Reddit, Airbnb e HBO al momento dell’attacco Mirai. L’attacco DDoS da 1,5 Gigabit al secondo alla rete di siti web di Dyn ha reso i loro servizi non responsivi per tutta la durata dell’attacco. Ci sono stati diversi altri attacchi Mirai successivamente nel 2024, alcuni dei quali includevano dispositivi IoT dirottati come telecamere CCTV, macchine per il caffè e persino monitor per bambini.

Tipi di attacchi DDoS

Ci sono diversi tipi di attacchi DDoS. Vediamone alcuni di seguito:

Zero-Day DDoS: Zero-Day DDoS è il termine usato dagli hacker sui loro siti clandestini ospitati sul dark web. Il termine si riferisce a una serie di codici sorgente e armate di botnet reclutate che sono in vendita; tuttavia, ciò comporta livelli di vulnerabilità per i quali non sono ancora stati rilasciati aggiornamenti di sicurezza.

Ping of Death: Questo comporta che gli aggressori inviino multipli di pacchetti ping alterati a un nodo di rete. I dispositivi che gestiscono i dispositivi locali (switch e router) hanno limiti di lunghezza dei pacchetti consentiti attraverso di essi per secondo. Di conseguenza, i pacchetti lunghi sono spesso frammentati, per essere riassemblati dall’host destinatario. La lunghezza media dei dati di un pacchetto IP è di circa 1700 byte; tuttavia, gli hacker cercano di perpetrare un Ping of Death inoltrando ping con dimensioni dei dati fino a 71,423 byte quando riassemblati all’estremità ricevente. Questo tipo di attacco DDoS esaurisce efficacemente la memoria del server e lo rende impossibile rispondere a query legittime mentre dura l’incantesimo.

Attacco UDP Flood; Si tratta di un tipo di attacco DDoS che comporta l’inondazione della vittima con flussi costanti di dati della classe User Datagram Protocol (UDP). In questo tipo di attacco, un host remoto ha porte casuali che vengono inondate ripetutamente con richieste di connessione. Simile all’inondazione UDP è l’inondazione ICMP (ping), che invia pacchetti ping veloci e casuali senza attendere un feedback per la connessione. L’inondazione di pacchetti esaurisce le risorse e la larghezza di banda dell’host e, a volte, rende impossibile stabilire un handshake quando vengono effettuate richieste di connessione legittime.

Attacco SYN Flood: Questo tipo di attacco sfrutta una vulnerabilità nelle connessioni TCP – Il three-way handshake. Il three-way handshake prevede che un computer remoto invii una richiesta di connessione a un server; il server risponde riconoscendo la richiesta. Anche il computer remoto deve rispondere al riconoscimento inviando un pacchetto che inizia la connessione. Quello che fanno gli hacker per eseguire un attacco DDoS attraverso questo canale è inviare diverse richieste di connessione SYN a un singolo host utilizzando una botnet. I server rispondono a ogni nodo con un messaggio ACK, ma gli hacker impediscono alle botnet di rispondere. La mancanza di risposta al messaggio ACK lascia il server attaccato in sospeso, e vengono inviate ulteriori richieste di handshake fino all’esaurimento di tutte le risorse della vittima.

Attacchi HTTP Flood: Questi comportano lo sfruttamento di richieste legittime destinate alle attività GET e POST dei pacchetti in entrata e in uscita da un sito web o server. L’attacco inganna solitamente il server remoto facendogli allocare risorse massime alle richieste fittizie.

Misure preventive contro gli attacchi DDoS

Come è stato evidenziato in precedenza, gli attacchi DDoS vengono eseguiti in due fasi: reclutando i nodi che costituiscono il botnet e inondando la rete della vittima con traffico esorbitante. Gli utenti quotidiani delle reti Internet domestiche possono proteggersi dal partecipare a un attacco botnet eliminando ogni fonte di vulnerabilità sui dispositivi personali seguendo i passaggi qui sotto:

1. Cambia le password sui nuovi dispositivi:

L’hardware di rete come router, switch, hub Wi-Fi e dispositivi IoT viene fornito con password predefinite. Cambiare le password predefinite è ragionevole, poiché questo passaggio allontana il dispositivo e tutti gli altri collegati alla sua rete da possibili compromissioni. Uno sguardo al manuale di istruzioni dell’utente o al sito web del produttore dovrebbe rivelare semplici passaggi per cambiare la password del dispositivo.

2. Utilizza risorse di sicurezza aggiornate e affidabili:

Aggiornare il firmware dei dispositivi front-end, dei firewall e del sistema operativo sarà la prima schermata di protezione contro l’infiltrazione di malware sui dispositivi di rete.

Per le organizzazioni che scoprono che la loro infrastruttura di rete è sotto un attacco DDoS, il seguente corso d’azione dovrebbe garantire che il tempo di inattività e la perdita risultante siano minimi.

3. Utilizza tecnologie gateway che identificano improvvisi picchi di traffico

Un attacco DDoS può essere facilmente contenuto se notato abbastanza presto; ciò consentirà abbastanza tempo per contattare l’ISP dell’azienda, che poi implementerà la loro migliore tecnica di dispersione DDoS. Un ISP potrebbe fermare o ridurre l’impatto di un attacco DDoS disperdendo il traffico verso server con larghezze di banda disponibili o instradando il traffico verso un Sink Hole o un Black Hole. I Black Hole sono, tuttavia, più efficaci poiché tutto il traffico, sia legittimo che illegittimo, diretto a un indirizzo IP attaccato viene inviato a un buco dell’interfaccia ‘nulla’. I Sinkhole, al contrario, cercano di filtrare i pacchetti di dati.

4. Riconfigurazione del backend delle risorse di rete

È possibile limitare il volume di banda consentito dall’hardware come switch e router, il che si applica anche ai firewall. Con la limitazione del traffico, l’enorme larghezza di banda del traffico peculiare agli attacchi DDoS viene filtrata, mentre i pacchetti con caratteristiche regolari sono ammessi nella rete locale.

5. Mantieni i dispositivi IoT protetti

Si dice che una vulnerabilità in una macchina per il caffè sia stata sfruttata per hackerare l’infrastruttura di rete di un casinò. Il consiglio dato in precedenza riguardo ai dispositivi IoT merita di essere enfatizzato: cambiate le password predefinite non appena i vostri dispositivi IoT escono dalla scatola e cercate di aggiornare regolarmente il firmware del dispositivo.

Conclusione

Gli attacchi DDoS possono sembrare scoraggianti e piuttosto complicati, ma non più. Con la tua nuova conoscenza o conoscenza aggiornata sugli attacchi DDoS tramite questo articolo, conoscere la capacità di un ISP nel proteggere il tuo sito web contro uno dovrebbe essere incluso nella lista delle cose da controllare quando si decide l’ISP a cui abbonarsi.