Cos'è un attacco distributed denial-of-service (DDoS)?

Un attacco DDoS ingolfa i siti Web di traffico nocivo e rende le applicazioni e altri servizi non disponibili agli utenti legittimi. Incapace di gestire il volume di traffico illegittimo, il sistema colpito subisce un rallentamento o un crash totale e non risulta più disponibile per gli utenti legittimi.

Gli attacchi DDoS fanno parte di una categoria più ampia, quella degli attacchi denial-of-service (attacchi DoS), che includono tutti gli attacchi informatici che rallentano o interrompono le applicazioni o i servizi di rete. Gli attacchi DDoS inviano il traffico di attacco da più fonti contemporaneamente ed è per questo che in inglese vengono chiamati "distributed denial-of-service".

Anche se è da più di 20 anni che i criminali informatici si servono degli attacchi DdoS per disturbare le operazioni di rete, solo di recente è stato registrato un aumento in termini di frequenza e potenza. Secondo un report, gli attacchi DDoS sono aumentati del 203% nella prima metà del 2022, rispetto allo stesso periodo del 2021.

A differenza di altri attacchi informatici, gli attacchi DDoS non sfruttano le vulnerabilità nelle risorse di rete per violare i sistemi informatici, bensì utilizzano protocolli di connessione di rete standard come Hypertext Transfer Protocol (HTTP) e Transmission Control Protocol (TCP) per inondare endpoint, app e altre risorse con più traffico di quanto possano gestire. Server Web, router e altre infrastrutture di rete possono elaborare solo un numero limitato di richieste e sostenere un numero limitato di connessioni in qualsiasi momento. Utilizzando la larghezza di banda disponibile di una risorsa, gli attacchi DDoS impediscono a queste risorse di rispondere a pacchetti e richieste di connessione legittime.

In generale, un attacco DDoS si compone di tre fasi.

La scelta del bersaglio dell'attacco DDoS dipende dalla motivazione dell'autore dell'attacco, che può essere di varia natura. Gli hacker utilizzano attacchi DDoS per estorcere denaro alle organizzazioni e chiedere un riscatto per porre fine all'attacco. Altri hacker utilizzano i DDoS per attivismo, prendendo di mira organizzazioni e istituzioni con ideali diversi dai loro. Attori senza scrupoli hanno utilizzato attacchi DDoS per determinare la chiusura di attività concorrenti, mentre alcuni stati hanno adottato tattiche DDoS nell'ambito di guerre informatiche.

Alcuni degli obiettivi di attacco DDoS più comuni includono:

• Rivenditori online. Gli attacchi DdoS possono causare danni finanziari significativi ai rivenditori e determinare la chiusura dei loro negozi digitali, rendendo impossibile per i clienti fare acquisti per un periodo di tempo.
  
  

• Provider di cloud service. I provider di cloud service come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform sono obiettivi frequenti degli attacchi DDoS. Poiché questi servizi ospitano dati e app per altre aziende, gli hacker possono causare interruzioni diffuse con un unico attacco. Nel 2020, AWS è stata colpita da un grave attacco DDoS. Nel momento di massima intensità, il traffico dannoso ammontava a 2,3 terabit al secondo.
  
  

• Istituti finanziari. Gli attacchi DDoS possono colpire i servizi bancari offline e impedire ai clienti di accedere ai propri account. Nel 2012 sei importanti banche statunitensi sono state colpite da attacchi DDoS coordinati, in quello che potrebbe essere stato un atto politicamente motivato.
  
  

• Provider di Software-as-a-Service (SaaS). Come con i provider di cloud service, i provider SaaS come Salesforce, GitHub e Oracle sono obiettivi attraenti perché consentono agli hacker di disturbare più organizzazioni contemporaneamente. Nel 2018, GitHub ha subito quello che, all'epoca, era il più grande attacco DDoS ufficiale.
  
  

• Aziende di gaming. Gli attacchi DDoS sono in grado di interrompere i giochi online inondandone i server di traffico. Questi attacchi vengono spesso lanciati da giocatori scontenti che cercano una vendetta personale, come nel caso della botnet Mirai, originariamente creata per colpire i server di Minecraft.

Solitamente un attacco DdoS richiede una botnet, ovvero una rete di dispositivi connessi a Internet infettati da malware che consente agli hacker di controllare i dispositivi da remoto. Le botnet possono includere laptop e desktop, telefoni cellulari, dispositivi IoT e altri endpoint consumer o commerciali. I proprietari di questi dispositivi compromessi di solito non sanno di essere stati infettati o di essere oggetto di un attacco DDoS.

Alcuni criminali informatici costruiscono da zero le proprie botnet, mentre altri acquistano o noleggiano botnet preimpostate sotto un modello denominato "denial-of-service as a service".

(NOTA: non tutti gli attacchi DdoS utilizzano le botnet; alcuni sfruttano le normali operazioni di dispositivi non infettati per fini dannosi. Vedere "Attacchi Smurf" di seguito.)

Gli hacker comandano i dispositivi nella botnet per inviare richieste di connessione o altri pacchetti all'indirizzo IP del server, del dispositivo o del servizio preso di mira. La maggior parte degli attacchi DdoS si basa sulla forza bruta e sull'invio di un elevato numero di richieste per consumare tutta la larghezza di banda dell'obiettivo. Alcuni attacchi DdoS, invece, inviano un numero minore di richieste più complicate che richiedono all'obiettivo dell'attacco di consumare molte risorse per rispondere. In entrambi i casi, il risultato è lo stesso: il traffico di attacco travolge il sistema di destinazione e provoca una vera e propria negazione del servizio, impedendo così l'accesso legittimo al sito web, all'applicazione web, all'API o alla rete.

Gli hacker spesso oscurano la fonte dei loro attacchi tramite lo spoofing IP, una tecnica con cui i criminali informatici forgiano indirizzi IP fasulli per i pacchetti inviati dalla botnet. In un tipo di spoofing IP chiamato "reflection", gli hacker fanno apparire che il traffico dannoso sia stato inviato dall'indirizzo IP della vittima.

I tipi di attacchi DdoS sono spesso denominati o descritti in base alla terminologia del modello di riferimento Open Systems Interconnection (OSI), un framework concettuale che definisce sette "livelli" di rete (talvolta chiamato Modello OSI a 7 livelli).

Come suggerisce il nome, gli attacchi a livello di applicazione prendono di mira il livello di applicazione (livello 7) del modello OSI, ovvero il livello in cui vengono generate le pagine Web in risposta alle richieste degli utenti. Gli attacchi a livello di applicazione interrompono le applicazioni Web inondandole di richieste nocive.

Uno degli attacchi a livello di applicazione più comuni è l’attacco HTTP Flood, in cui un utente malintenzionato invia continuamente un gran numero di richieste HTTP da più dispositivi allo stesso sito web. Il sito web non riesce a gestire tutte le richieste HTTP e rallenta notevolmente oppure va in crash. Gli attacchi HTTP Flood sono simili a centinaia o migliaia di browser web che aggiornano ripetutamente la stessa pagina web.

Gli attacchi a livello di applicazione sono relativamente facili da lanciare, ma possono essere difficili da prevenire e mitigare. Man mano che sempre più aziende passano all’utilizzo di microservizi e applicazioni basate su container, aumenta il rischio di attacchi a livello applicativo che disabilitino servizi Web e cloud critici.

Gli attacchi di frammentazione (Protocol attacks) prendono di mira il livello di rete (livello 3) e il livello di trasporto (livello 4) del modello OSI. Puntano a sopraffare le risorse di rete critiche, quali firewall, bilanciamento del carico e server Web, con richieste di connessione nocive.

Gli attacchi di frammentazione più comuni includono:

Attacchi SYN flood. Un attacco SYN flood sfrutta l'handshake TCP, il processo con cui due dispositivi stabiliscono una connessione l'uno con l'altro.

In un tipico handshake TCP, un dispositivo invia un pacchetto SYN per avviare la connessione, l'altro risponde con un pacchetto SYN/ACK per confermare la richiesta e il dispositivo originale invia un pacchetto ACK per finalizzare la connessione.

In un attacco SYN flood, l'autore dell'attacco invia al server di destinazione un numero elevato di pacchetti SYN con indirizzi IP di origine contraffatta. Il server invia la risposta all'indirizzo IP contraffatto e attende l'ultimo pacchetto ACK. Poiché l'indirizzo IP di origine è stato falsificato, questi pacchetti non arrivano mai. Il server è impegnato in un gran numero di connessioni non completate, che lo rendono non disponibile per gli handshake TCP legittimi.

Attacchi smurf. Un attacco smurf sfrutta l'ICMP (Internet Control Message Protocol), un protocollo di comunicazione utilizzato per valutare lo stato di una connessione tra due dispositivi. In uno scambio ICMP tipico, un dispositivo invia una richiesta di echo ICMP a un altro dispositivo e quest'ultimo risponde con una risposta echo ICMP.

In un attacco smurf, l'autore dell'attacco invia una richiesta di echo ICMP da un indirizzo IP contraffatto che corrisponde all'indirizzo IP della vittima. Questa richiesta di eco ICMP viene inviata a una rete di trasmissione IP che inoltra la richiesta a tutti i dispositivi su una determinata rete. Ogni dispositivo che riceve la richiesta echo ICMP, potenzialmente centinaia o migliaia di dispositivi, risponde inviando una risposta echo ICMP all'indirizzo IP della vittima, inondando il dispositivo con più informazioni di quante ne possa gestire. A differenza di molti altri tipi di attacchi DDoS, gli attacchi smurf non richiedono necessariamente una botnet.

Gli attacchi DDoS volumetrici consumano tutta la larghezza di banda disponibile all'interno di una rete di destinazione o tra un servizio di destinazione e il resto di Internet, impedendo così agli utenti legittimi di connettersi alle risorse di rete. Gli attacchi volumetrici spesso inondano le reti e le risorse con quantità molto elevate di traffico, anche rispetto ad altri tipi di attacchi DDoS. È noto che gli attacchi volumetrici travolgono le misure di protezione DDoS come gli scrubbing center, progettati per filtrare il traffico dannoso da quello legittimo.

I tipi di attacchi volumetrici includono:

UDP flood. Questi attacchi inviano pacchetti UDP (User Datagram Protocol) fasulli alle porte di un host target e richiedono all'host di cercare un'applicazione per ricevere questi pacchetti. Poiché i pacchetti UDP sono falsi, non esiste alcuna applicazione per riceverli e l'host deve inviare un messaggio ICMP "Destinazione non raggiungibile" al mittente. Le risorse degli host sono impegnate nella risposta al flusso costante di pacchetti UDP falsi, lasciando l'host non disponibile per rispondere ai pacchetti legittimi.

ICMP flood. Chiamati anche “ping flood attack”, questi attacchi bombardano i loro obiettivi con richieste echo ICMP provenienti da più indirizzi IP falsi. Il server oggetto dell'attacco deve rispondere a tutte queste richieste, si sovraccarica e non è in grado di elaborare richieste echo ICMP valide. Gli attacchi ICMP flood si differenziano dagli attacchi smurf in quanto gli aggressori inviano un gran numero di richieste ICMP dalle loro botnet, anziché ingannare i dispositivi di rete affinché inviino risposte ICMP all'indirizzo IP della vittima.

Attacchi di amplificazione DNS. In questo caso, l'autore dell'attacco invia diverse richieste di ricerca Domain Name System (DNS) a uno o più server DNS pubblici. Queste richieste di ricerca utilizzano un indirizzo IP contraffatto appartenente alla vittima e chiedono ai server DNS di restituire una grande quantità di informazioni per ogni richiesta. Il server DNS risponde quindi alle richieste inondando l'indirizzo IP della vittima con grandi quantità di dati.

Come suggerisce il nome, gli attacchi multivettori sfruttano più vettori di attacco per massimizzare i danni e vanificare gli sforzi di mitigazione DDoS. Gli autori dell'attacco possono utilizzare più vettori contemporaneamente o passare da un vettore all'altro durante l'attacco, quando un vettore viene contrastato. Ad esempio, gli hacker potrebbero iniziare con un attacco smurf e, una volta interrotto il traffico proveniente dai dispositivi di rete, potrebbero lanciare un flusso UDP dalla loro botnet.

Le minacce DDoS possono essere utilizzate anche insieme ad altri attacchi informatici. Ad esempio, gli autori di attacchi ransomware possono fare pressione sulle vittime minacciando di sferrare un attacco DDoS se il riscatto non viene pagato.

Gli attacchi DDoS esistono da decenni e sono diventati sempre più diffusi tra i criminali informatici per varie ragioni, tra cui:

• Non richiedono capacità specifiche per essere eseguiti. I criminali informatici possono assumere botnet già pronte da altri hacker e sferrare attacchi DdoS in modo autonomo e senza alcuna particolare preparazione o pianificazione.
  
  
• Sono difficili da rilevare. Poiché le botnet sono costituite in gran parte da dispositivi consumer e commerciali, può essere difficile per le organizzazioni separare il traffico dannoso dagli utenti reali. Inoltre, i sintomi degli attacchi DdoS (servizio lento e siti e app temporaneamente non disponibili) possono essere causati anche da picchi improvvisi di traffico legittimo, e ciò rende non aiuta l'identificazione degli attacchi DdoS nelle fasi iniziali.
  
  
• Sono difficili da mitigare. Una volta identificato un attacco DDoS, data la natura distribuita dell'attacco informatico, le organizzazioni non possono semplicemente bloccare l'attacco disattivando un'unica fonte di traffico. I controlli standard di sicurezza della rete intesi a contrastare gli attacchi DdoS, come la limitazione della velocità, possono anche rallentare le operazioni degli utenti legittimi.
  
  
• Esistono più potenziali dispositivi botnet che mai. L'ascesa dell'Internet of Things (IoT) ha dato agli hacker una ricca fonte di dispositivi da trasformare in bot. Apparecchi, strumenti e gadget abilitati a Internet, inclusa la tecnologia operativa (OT) come dispositivi sanitari e sistemi di produzione, sono spesso venduti e gestiti con impostazioni predefinite universali e controlli di sicurezza deboli o inesistenti, che li rendono particolarmente vulnerabili alle infezioni da malware. Può essere difficile per i proprietari di questi dispositivi accorgersi che sono stati compromessi, poiché i dispositivi IoT e OT vengono spesso utilizzati passivamente o raramente.

Gli attacchi DDoS stanno diventando sempre più sofisticati, in quanto gli hacker adottano strumenti di intelligenza artificiale (AI) e machine learning (ML) per indirizzare i loro attacchi. Ciò ha causato un aumento degli attacchi DDoS adattivi, che utilizzano AI e ML per individuare gli aspetti più vulnerabili dei sistemi e spostare automaticamente i vettori e le strategie di attacco in risposta agli sforzi di mitigazione dei DDoS da parte di un team di cybersecurity.

Lo scopo di un attacco DDoS è quello di interrompere le operazioni del sistema, il che può comportare costi elevati per le organizzazioni. Secondo il report Cost of a Data Breach 2022 di IBM, le interruzioni del servizio, i tempi di inattività del sistema e altre interruzioni aziendali causate da un attacco informatico costano alle organizzazioni in media 1,42 milioni di dollari. Nel 2021, un attacco DDoS è costato a un provider VoIP quasi 12 milioni di dollari.

Il più grande attacco DDoS mai registrato, che ha generato 3,47 terabit di traffico dannoso al secondo, ha preso di mira un cliente Microsoft Azure nel novembre 2021. Gli autori dell'attacco hanno utilizzato un botnet di 10.000 dispositivi da tutto il mondo per bombardare la vittima con 340 milioni di pacchetti al secondo.

Gli attacchi DDoS sono stati utilizzati anche contro i governi, incluso un attacco al Belgio nel 2021. Gli hacker hanno preso di mira un Internet Service Provider (ISP) gestito dal governo per interrompere le connessioni Internet di oltre 200 agenzie governative, università e istituti di ricerca.

Sempre più spesso gli hacker utilizzano i DDoS non come attacco principale, ma per distrarre la vittima da un crimine informatico più grave, ad esempio l'estrapolazione di dati o la distribuzione di ransomware in una rete mentre il gruppo di cybersecurity è impegnato a respingere l'attacco DDoS.

Gli sforzi di mitigazione e protezione dagli attacchi DDoS si basano in genere sulla deviazione del flusso di traffico dannoso il più rapidamente possibile, ad esempio instradando il traffico di rete verso centri di scrubbing o utilizzando bilanciamenti del carico per ridistribuire il traffico degli attacchi. A tal fine, le aziende che mirano a rafforzare le loro difese contro gli attacchi DDoS possono adottare tecnologie in grado di identificare e intercettare il traffico dannoso, tra cui:

• Firewall per applicazioni web. La maggior parte delle organizzazioni utilizza attualmente firewall perimetrali e per applicazioni web (WAF) per proteggere le proprie reti e applicazioni dalle attività nocive. Mentre i firewall standard proteggono a livello di porta, i WAF garantiscono la sicurezza delle richieste prima di inoltrarle ai server web. Il WAF sa quali tipi di richieste sono legittime e quali no e consente di eliminare il traffico dannoso e prevenire gli attacchi a livello di applicazione.
  

• Reti di distribuzione dei contenuti (CDN). Una CDN è una rete di server distribuiti che può aiutare gli utenti ad accedere ai servizi online in modo più rapido e affidabile. Con una CDN attiva, le richieste degli utenti non tornano fino al server di origine del servizio, ma vengono invece indirizzate a un server CDN geograficamente più vicino che fornisce il contenuto. Le CDN possono aiutare a proteggersi dagli attacchi DDoS grazie all'aumento della capacità complessiva di traffico di un servizio. Nel caso in cui un server CDN venga rimosso da un attacco DDoS, il traffico degli utenti può essere indirizzato ad altre risorse server disponibili all'interno della rete.

• SIEM (gestione degli eventi e delle informazioni sulla sicurezza). I sistemi SIEM offrono una gamma di funzioni per rilevare gli attacchi DDoS e altri attacchi informatici nelle prime fasi del loro ciclo di vita, tra cui la gestione dei log e gli insight sulla rete. Le soluzioni SIEM offrono una gestione centralizzata dei dati di sicurezza generati da strumenti di sicurezza on-premise e basati sul cloud. I SIEM possono monitorare i dispositivi e le applicazioni connessi per rilevare incidenti di sicurezza e comportamenti anomali, come ping eccessivi o richieste di connessione illegittime. Il SIEM segnala quindi queste anomalie affinché il team di cybersecurity intraprenda le azioni necessarie.
  
• Tecnologie di rilevamento e risposta. Le soluzioni di rilevamento e risposta degli endpoint (EDR), rilevamento e risposta della rete (NDR) e rilevamento e risposta estesi (XDR) utilizzano tutte analytics avanzata e AI per monitorare l'infrastruttura di rete alla ricerca di indicatori di compromissione, come pattern di traffico anomali che potrebbero indicare attacchi DdoS, e funzionalità di automazione per rispondere agli attacchi in tempo reale (ad esempio, terminando le connessioni di rete sospette).