Cos'è un attacco distributed denial-of-service (DDoS)?

Gli attacchi distributed denial-of-service (DDoS) sono una tipologia di attacco denial-of-service (DoS attack), ovvero una categoria che include tutti gli attacchi informatici che rallentano o interrompono le applicazioni o i servizi. Gli attacchi DDoS inviano il traffico di attacco da più fonti allo stesso tempo, il che li rende potenzialmente più difficili da riconoscere e dai quali è più difficile difendersi (ecco perché viene aggiunta la parola "distributed" a "distributed denial-of-service").

Secondo l'IBM® X-Force Threat Intelligence Index, gli attacchi DDoS rappresentano il 2% degli attacchi a cui X-Force risponde. Tuttavia, le interruzioni che ne derivano possono essere costose. I tempi di inattività del sistema possono causare interruzioni del servizio, perdita di fatturato e danni alla reputazione. Secondo il report Cost of a Data Breach di IBM, il costo della perdita di vendite a causa di un attacco informatico ammonta in media a 1,47 milioni di dollari.  

A differenza di altri attacchi informatici, gli attacchi DDoS non utilizzano a proprio vantaggio le vulnerabilità nelle risorse di rete per violare i sistemi informatici. Utilizzano invece protocolli di connessione di rete standard come Hypertext Transfer Protocol (HTTP) e Transmission Control Protocol (TCP) per inondare endpoint, app e altri asset con più traffico di quanto possano gestire.

I server web, i router e altre infrastrutture di rete possono gestire solo un numero limitato di richieste e sostenere un numero limitato di connessioni in un dato momento. Utilizzando la larghezza di banda disponibile di una risorsa, gli attacchi DDoS impediscono a queste risorse di rispondere a pacchetti e richieste di connessione legittimi.

In termini generali, un attacco DDoS ha due fasi principali: la creazione di una botnet e l'esecuzione dell'attacco. 

Un attacco DDoS richiede solitamente un botnet, ovvero una rete di dispositivi connessi a Internet infettati da malware che consente agli hacker di controllare i dispositivi da remoto.

Le botnet possono includere laptop e desktop, telefoni cellulari, dispositivi Internet of Things (IoT) e altri endpoint consumer o commerciali. I proprietari di questi dispositivi compromessi di solito non sono a conoscenza del fatto di essere stati infettati o di essere utilizzati per un attacco DDoS.

Alcuni criminali informatici creano le proprie botnet, diffondendo attivamente malware e assumendo il controllo dei dispositivi. Altri acquistano o noleggiano botnet preimpostate da altri criminali informatici sul dark web, secondo un modello definito "denial-of-service as a service".

Non tutti gli attacchi DDoS utilizzano botnet. Alcuni utilizzano le normali operazioni di dispositivi non infetti per finalità criminali. (Per ulteriori informazioni, vedi "Attacchi Smurf".) 

Gli hacker ordinano ai dispositivi nella botnet di inviare richieste di connessione o altri pacchetti all'indirizzo IP del server, del dispositivo o del servizio che hanno preso di mira.

La maggior parte degli attacchi DDoS si basa sulla forza bruta, inviando un gran numero di richieste per consumare tutta la larghezza di banda della vittima. Alcuni attacchi DDoS inviano un numero minore di richieste più complicate che richiedono al destinatario di utilizzare una grande quantità di risorse per rispondere. In entrambi i casi, il risultato è lo stesso, ovvero che il traffico di attacco travolge il sistema di destinazione e provoca un vero e proprio denial-of-service, impedendo quindi l'accesso legittimo al sistema.

Gli hacker spesso oscurano la fonte dei loro attacchi tramite lo spoofing IP, una tecnica con cui i criminali informatici creano indirizzi IP fasulli per i pacchetti inviati dalla botnet. In un tipo di spoofing IP chiamato "reflection", gli hacker fanno in modo che il traffico dannoso appaia come se fosse inviato dall'indirizzo IP della vittima.

Gli attacchi DDoS non sono sempre l'attacco principale. A volte gli hacker li usano per distrarre la vittima da un altro crimine informatico. Ad esempio, gli aggressori potrebbero esfiltrare dati o implementare ransomware su una rete mentre il team di cybersecurity è occupato a respingere l'attacco DDoS.

Gli hacker utilizzano gli attacchi DDoS (Distributed Denial-of-Service) per diversi motivi: estorsione, chiusura di organizzazioni e istituzioni con cui non sono d'accordo, soffocamento delle aziende concorrenti e persino guerra informatica.

Alcuni degli obiettivi di attacco DDoS più comuni includono:

• Rivenditori online
• Provider di servizi internet (ISP)
• Provider di servizi cloud
• Istituzioni finanziarie
• Provider di software as a service (SaaS)
• Società di gaming
• Enti pubblici

Gli attacchi DDoS sono classificati in base alle tattiche che utilizzano e all'architettura di rete che prendono di mira. I tipi comuni di attacchi DDoS includono:

• Attacchi a livello di applicazione
• Attacchi di frammentazione
• Attacchi volumetrici
• Attacchi multivettori

Come suggerisce il nome, gli attacchi a livello di applicazione prendono di mira le applicazioni di una rete. Nel framework del modello di interconnessione dei sistemi aperti (modello OSI), questo livello è quello in cui gli utenti interagiscono con le pagine web e le app. Gli attacchi a livello di applicazione interrompono le applicazioni web inondandole di richieste dannose.

Uno degli attacchi a livello di applicazione più comuni è l’attacco HTTP flood, in cui un utente malintenzionato invia continuamente un gran numero di richieste HTTP da più dispositivi allo stesso sito web. Il sito web non riesce a gestire tutte le richieste e rallenta o va in crash. Gli attacchi HTTP flood sono simili a centinaia o migliaia di browser web che aggiornano ripetutamente la stessa pagina web.

Gli attacchi al protocollo prendono di mira il livello di rete (livello 3) e il livello di trasporto (livello 4) del modello OSI. Puntano a sopraffare le risorse di rete critiche, quali firewall, bilanciamento del carico e server web, con richieste di connessione dannose.

Due dei tipi più comuni di attacchi al protocollo includono gli attacchi SYN flood e gli attacchi smurf. 

Un attacco SYN flood utilizza l'handshake TCP, un processo con cui due dispositivi stabiliscono una connessione l'uno con l'altro. Un tipico TCP handshake si compone di tre fasi:

1. Un dispositivo invia un pacchetto di sincronizzazione (SYN) per avviare la connessione.
2. L'altro dispositivo risponde con un pacchetto di sincronizzazione/riconoscimento (SYN/ACK) per confermare la richiesta.
3. Il dispositivo originale invia un pacchetto ACK per finalizzare la connessione.

In un attacco SYN flood, l'autore dell'attacco invia al server di destinazione un numero elevato di pacchetti SYN con indirizzi IP di origine contraffatta. Il server risponde agli indirizzi IP contraffatti e attende gli ultimi pacchetti ACK. Poiché gli indirizzi IP di origine sono stati falsificati, questi pacchetti non arrivano mai. Il server è impegnato in un gran numero di connessioni non completate, che lo rendono non disponibile per gli handshake TCP legittimi.

Un attacco smurf utilizza l'Internet Control Message Protocol (ICMP), un protocollo di comunicazione utilizzato per valutare lo stato di una connessione tra due dispositivi.

In uno scambio ICMP tipico, un dispositivo invia una richiesta di echo ICMP a un altro dispositivo e quest'ultimo risponde con una risposta echo ICMP.

In un attacco smurf, l'autore dell'attacco invia una richiesta di echo ICMP da un indirizzo IP contraffatto che corrisponde all'indirizzo IP della vittima. Questa richiesta di eco ICMP viene inviata a una rete di trasmissione IP che inoltra la richiesta a tutti i dispositivi su una rete.

Ogni dispositivo che riceve la richiesta echo ICMP, potenzialmente centinaia o migliaia di dispositivi, risponde inviando una risposta echo ICMP all'indirizzo IP della vittima. L'enorme volume di risposte è superiore a quello che il dispositivo della vittima è in grado di gestire. A differenza di molti altri tipi di attacchi DDoS, gli attacchi smurf non richiedono necessariamente una botnet.

Gli attacchi DDoS volumetrici consumano tutta la larghezza di banda disponibile all'interno di una rete di destinazione o tra un servizio di destinazione e il resto di Internet, impedendo agli utenti legittimi di connettersi alle risorse di rete.

Gli attacchi volumetrici inondano spesso le reti e le risorse con grandi quantità di traffico, anche rispetto ad altri tipi di attacchi DDoS. Gli attacchi volumetrici sono noti per sovraccaricare le misure di protezione DDoS come gli scrubbing center, progettati per filtrare il traffico dannoso da quello legittimo.

I tipi comuni di attacchi volumetrici includono UDP flood, ICMP flood e attacchi di amplificazione DNS.

Gli UDP flood inviano pacchetti UDP (User Datagram Protocol) finti alle porte di un host target e chiedono all'host di cercare un'applicazione per ricevere questi pacchetti. Poiché i pacchetti UDP sono falsi, non esiste alcuna applicazione per riceverli e l'host deve inviare un messaggio ICMP di "destinazione non raggiungibile" al mittente.

Le risorse dell'host sono impegnate nella risposta al flusso costante di pacchetti UDP falsi, rendendo l'host non disponibile a rispondere ai pacchetti legittimi.

Gli ICMP flood, chiamati anche “attacchi ping ping flood”, bombardano gli obiettivi con richieste echo ICMP provenienti da più indirizzi IP falsi. Il server oggetto dell'attacco deve rispondere a tutte queste richieste, si sovraccarica e non è in grado di elaborare le richieste echo ICMP valide.

Gli attacchi ICMP flood si differenziano dagli attacchi smurf in quanto gli aggressori inviano un gran numero di richieste ICMP dalle loro botnet. In un attacco smurf, gli hacker inducono i dispositivi di rete a inviare risposte ICMP all'indirizzo IP della vittima.

Nell'attacco di amplificazione DNS, il criminale invia diverse richieste Domain Name System (DNS) a uno o più server DNS pubblici. Queste richieste di lookup utilizzano un indirizzo IP contraffatto, appartenente alla vittima, e chiedono ai server DNS di restituire una grande quantità di informazioni per ogni richiesta. Il server DNS risponde alle richieste inondando l'indirizzo IP della vittima con grandi quantità di dati.

Come suggerisce il nome, gli attacchi multivettoriali utilizzano più vettori di attacco, anziché una singola fonte, per aumentare al massimo i danni e vanificare gli sforzi di mitigazione DDoS.

Gli autori dell'attacco potrebbero utilizzare più vettori contemporaneamente o passare da un vettore all'altro durante l'attacco, quando un vettore viene contrastato. Ad esempio, gli hacker potrebbero iniziare con un attacco smurf ma, quando il traffico dai dispositivi di rete viene interrotto, lanciare un UDP flood dalla loro botnet.

Gli attacchi DDoS potrebbero essere utilizzati anche in combinazione con altre minacce informatiche. Ad esempio, gli autori di attacchi ransomware possono fare pressione sulle vittime minacciando di sferrare un attacco DDoS se il riscatto non viene pagato.

Gli attacchi DDoS rimangono una tattica comune dei criminali informatici per molteplici ragioni.

Un criminale informatico non deve più essere in grado di scrivere codice informatico per lanciare un attacco DDoS. I marketplace della criminalità informatica prosperano nel dark web, dove i criminali possono acquistare e vendere botnet, malware e altri strumenti per condurre attacchi DDoS.

I criminali informatici possono noleggiare botnet pronte all'uso da altri hacker e sferrare attacchi DDoS in modo autonomo e senza alcuna particolare preparazione o pianificazione.

Poiché le botnet sono costituite in gran parte da dispositivi consumer e commerciali, può essere difficile per le organizzazioni separare il traffico dannoso dagli utenti reali.

Inoltre, i sintomi degli attacchi DDoS (servizio lento e siti e app temporaneamente non disponibili) possono essere causati da picchi improvvisi di traffico legittimo, il che rende difficile l'individuazione degli attacchi DDoS nelle prime fasi.

Quando viene identificato un attacco DDoS (Distributed Denial-of-Service), la natura distribuita dell'attacco informatico impedisce alle organizzazioni di bloccarlo semplicemente chiudendo una singola fonte di traffico. I controlli standard di sicurezza della rete intesi a contrastare gli attacchi DDoS, come la limitazione della velocità, possono anche rallentare le operazioni degli utenti legittimi.

L'ascesa dell'internet of Things (IoT) ha offerto agli hacker una ricca fonte di dispositivi da convertire in bot.

Dispositivi abilitati a Internet, inclusa la tecnologia operativa (OT), tra cui dispositivi sanitari e sistemi di produzione, sono venduti e gestiti con impostazioni predefinite universali e controlli di sicurezza deboli o inesistenti, che li rendono vulnerabili alle infezioni da malware.

Può essere difficile per i proprietari di questi dispositivi accorgersi che sono stati compromessi, poiché i dispositivi IoT vengono spesso utilizzati passivamente o raramente.

Gli attacchi DDoS stanno diventando sempre più sofisticati, in quanto gli hacker adottano strumenti di intelligenza artificiale (AI) e machine learning (ML) per indirizzare i loro attacchi. Gli attacchi DDoS adattivi utilizzano AI e ML per individuare gli aspetti più vulnerabili dei sistemi e spostare automaticamente i vettori di attacco e le strategie in risposta agli sforzi di mitigazione dei DDoS da parte di un team di cybersecurity.

Tanto prima viene identificato un attacco DDoS, quanto prima possono iniziare la difesa e la risoluzione del problema. I segnali che indicano che è in corso un attacco includono:

• Un sito o un servizio iniziano inaspettatamente a rallentare o sono completamente non disponibili.
  
  
• Un volume di traffico insolitamente elevato arriva da un singolo indirizzo IP o da un intervallo di indirizzi IP.
  
  
• Il traffico proveniente da molti profili simili, ad esempio da un tipo specifico di dispositivo o di geolocalizzazione, aumenta improvvisamente.
  
  
•  Un improvviso aumento delle richieste per una singola azione, endpoint o pagina.
  
  
• Picchi di traffico in un momento insolito della giornata, in un giorno della settimana o con un pattern regolare, ad esempio ogni cinque minuti.
  
  
• Errori o timeout inspiegabili.
  
  
•  Servizi che condividono contemporaneamente la stessa rete iniziano a rallentare.

Molti di questi comportamenti potrebbero essere causati da altri fattori. Tuttavia, verificare per prima cosa la presenza di un DDoS può far risparmiare tempo e mitigare i danni se è in corso un attacco.

Le soluzioni di protezione dai DDoS aiutano a rilevare le anomalie del traffico e a determinare se sono innocue o dannose. Dopotutto, un'improvvisa ondata di richieste potrebbe essere il risultato di una campagna di marketing di successo e bloccarle potrebbe rappresentare un disastro per l'azienda.

Le iniziative di mitigazione dei DDoS tentano solitamente di deviare il flusso di traffico dannoso il più rapidamente possibile. 

Le attività comuni di prevenzione e mitigazione dei DDoS includono:

Mentre i firewall standard proteggono le reti a livello di porta, i WAF contribuiscono a garantire che le richieste siano sicure prima di inoltrarle ai server web. Un WAF può determinare quali tipi di richieste sono legittime e quali no, consentendogli di eliminare il traffico dannoso e prevenire attacchi a livello di applicazione.

Una CDN è una rete di server distribuiti che può aiutare gli utenti ad accedere ai servizi online in modo più rapido e affidabile. Con una CDN attiva, le richieste degli utenti non tornano fino al server di origine del servizio, bensì vengono indirizzate a un server CDN geograficamente più vicino che fornisce il contenuto.

Le CDN possono aiutare a proteggersi dagli attacchi DDoS grazie all'aumento della capacità complessiva di traffico di un servizio. Quando un server CDN viene rimosso da un attacco DDoS, il traffico degli utenti può essere indirizzato ad altre risorse server disponibili sulla rete.

Gli strumenti di rilevamento e risposta degli endpoint (EDR), rilevamento e risposta della rete (NDR) e altri strumenti possono monitorare l'infrastruttura di rete alla ricerca di indicatori di compromissione. Quando questi sistemi rilevano possibili segni di un DDoS, come i modelli di traffico anomali, possono attivare risposte agli incidenti in tempo reale, come la chiusura di connessioni di rete sospette.

Un “buco nero” è una parte di rete in cui il traffico in entrata viene eliminato senza essere elaborato o memorizzato. Blackhole routing significa deviare il traffico in entrata verso un buco nero quando si sospetta un attacco DDoS (Distributed Denial-of-Service).

Lo svantaggio del blackhole routing è che questa tecnica può scartare sia il buono che il cattivo. Anche il traffico valido e forse prezioso potrebbe essere scartato, il che rende il blackhole routing uno strumento semplice ma eccessivamente diretto di fronte a un attacco.

Il rate limiting pone dei limiti al numero di richieste in entrata che un server è autorizzato ad accettare durante un determinato periodo di tempo. Il servizio potrebbe rallentare anche per gli utenti legittimi, tuttavia il server non è sovraccarico. 

Il bilanciamento del carico è il processo di distribuzione del traffico di rete tra più server per ottimizzare la disponibilità delle applicazioni. Il bilanciamento del carico può aiutare a difendersi dagli attacchi DDoS indirizzando automaticamente il traffico lontano dai server sovraccarichi.

Le organizzazioni possono installare sistemi di bilanciamento del carico basati su hardware o software per elaborare il traffico. Possono anche utilizzare la rete anycast, che consente di assegnare un singolo indirizzo IP a più server o nodi in più località affinché il traffico possa essere condiviso tra quei server. Normalmente viene inviata una richiesta al server ottimale. Con l'aumentare del traffico, il carico si distribuisce, il che significa che i server sono meno inclini a essere sopraffatti.

Gli scrubbing center sono reti o servizi specializzati in grado di filtrare il traffico dannoso dal traffico legittimo, utilizzando tecniche come l'autenticazione del traffico e il rilevamento delle anomalie. Gli scrubbing center bloccano il traffico dannoso consentendo al traffico legittimo di raggiungere la destinazione.