Un attacco DdoS ha come obiettivo disattivare o eliminare un sito o un'applicazione Web, un servizio cloud o altre risorse online mediante il sovraccarico di richieste di connessione inutili, pacchetti falsi o altro traffico dannoso. Incapace di gestire il volume di traffico illegittimo, il sistema colpito subisce un rallentamento o un crash totale e non risulta più disponibile per gli utenti legittimi.
Gli attacchi DDoS fanno parte di una categoria più ampia, quella degli attacchi denial-of-service (attacchi DoS), che includono tutti gli attacchi informatici che rallentano o interrompono le applicazioni o i servizi di rete. Gli attacchi DdoS inviano il traffico di attacco da più fonti contemporaneamente: per questo in inglese vengono definiti "distributed denial-of-service".
Anche se è da più di 20 anni che i criminali informatici si servono degli attacchi Ddos per interrompere le operazioni di rete, solo recentemente la loro frequenza e potenza hanno registrato un aumento. Secondo un report, infatti, gli attacchi DdoS sono aumentati del 203% nella prima metà del 2022, rispetto allo stesso periodo del 2021 (link esterno a ibm.com).
A differenza di altri attacchi informatici, gli attacchi DdoS non sfruttano le vulnerabilità nelle risorse di rete per violare i sistemi informatici, bensì utilizzano protocolli di connessione di rete standard come Hypertext Transfer Protocol (HTTP) e Transmission Control Protocol (TCP) per inondare endpoint, app e altre risorse con più traffico di quanto possano gestire. Server Web, router e altre infrastrutture di rete possono elaborare solo un numero limitato di richieste e sostenere un numero limitato di connessioni in qualsiasi momento. Utilizzando la larghezza di banda disponibile di una risorsa, gli attacchi DdoS impediscono a queste risorse di rispondere a pacchetti e richieste di connessione legittime.
In generale, un attacco DdoS si compone di tre fasi.
La scelta del bersaglio dell'attacco DdoS dipende dalla motivazione dell'autore dell'attacco, che può essere di varia natura. Gli hacker utilizzano attacchi DdoS per estorcere denaro alle organizzazioni e chiedere un riscatto per porre fine all'attacco. Altri hacker utilizzano i DdoS per attivismo, prendendo di mira organizzazioni e istituzioni con ideali diversi dai loro. Attori senza scrupoli hanno utilizzato attacchi DdoS per determinare la chiusura di attività concorrenti, mentre alcuni stati hanno adottato tattiche DdoS nell'ambito di guerre informatiche.
Alcuni degli obiettivi di attacco DdoS più comuni includono:
Rivenditori online. Gli attacchi DdoS possono causare danni finanziari significativi ai rivenditori e determinare la chiusura dei loro negozi digitali, rendendo impossibile per i clienti fare acquisti per un periodo di tempo.
Provider di servizi cloud. I provider di servizi cloud come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform sono target comuni per gli attacchi DdoS. Poiché questi servizi ospitano dati e app per altre aziende, gli hacker possono causare interruzioni diffuse con un unico attacco. Nel 2020, AWS è stata colpita da un grave attacco DdoS (link esterno a ibm.com). Al suo apice, il traffico dannoso si riversava a 2,3 terabit al secondo.
Istituti finanziari. Gli attacchi DdoS possono colpire i servizi bancari offline e impedire ai clienti di accedere ai propri account. Nel 2012, sei grandi banche statunitensi sono state colpite da attacchi DdoS coordinati in quello che potrebbe essere stato un atto politico (link esterno a ibm.com).
Provider di Software-as-a-Service (SaaS). Come con i provider di servizi cloud, provider SaaS come Salesforce, GitHub e Oracle sono obiettivi attraenti perché consentono agli hacker di interrompere più organizzazioni contemporaneamente. Nel 2018, GitHub ha subito quello che all'epoca è stato il più grande attacco DdoS mai registrato (link esterno a ibm.com).
- Società di gioco. Gli attacchi DdoS sono in grado di interrompere i giochi online inondando i loro server di traffico. Questi attacchi vengono spesso lanciati da giocatori scontenti che nutrono vendette personali, come nel caso della botnet Mirai, originariamente creata per colpire i server Minecraft (link esterno a ibm.com).
Di solito, un attacco DdoS richiede una botnet, ossia una rete di dispositivi connessi a Internet infettati da malware che consente agli hacker di controllare i dispositivi da remoto. Le botnet possono includere laptop e desktop, telefoni cellulari, dispositivi IoT e altri endpoint consumer o commerciali. I proprietari di questi dispositivi compromessi di solito non sanno di essere stati infettati o di essere oggetto di un attacco DdoS.
Alcuni criminali informatici costruiscono da zero le proprie botnet, mentre altri acquistano o noleggiano botnet preimpostate sotto un modello denominato “denial-of-service as a service"."
(NOTA: non tutti gli attacchi DdoS utilizzano le botnet; alcuni sfruttano le normali operazioni di dispositivi non infettati per fini dannosi. Vedere "Attacchi Smurf" di seguito.)
Gli hacker comandano i dispositivi nella botnet per inviare richieste di connessione o altri pacchetti all'indirizzo IP del server, del dispositivo o del servizio preso di mira. La maggior parte degli attacchi DdoS si basa sulla forza bruta e sull'invio di un gran numero di richieste per consumare tutta la larghezza di banda dell'obiettivo. Alcuni attacchi DdoS, invece, inviano un numero minore di richieste più complicate che richiedono all'obiettivo di spendere molte risorse per rispondere. In entrambi i casi, il risultato è lo stesso: il traffico di attacco travolge il sistema di destinazione e provoca una vera e propria negazione del servizio, impedendo così l'accesso legittimo al sito Web, all'applicazione Web, all'API o alla rete.
Gli hacker spesso oscurano la fonte dei loro attacchi tramite lo spoofing IP, una tecnica con cui i criminali informatici forgiano indirizzi IP fasulli per i pacchetti inviati dalla botnet. In un tipo di spoofing IP, chiamato "reflection", gli hacker fanno sembrare che il traffico dannoso sia stato inviato dall'indirizzo IP della vittima.
I tipi di attacchi DdoS sono spesso denominati o descritti in base alla terminologia del modello di riferimento Open Systems Interconnection (OSI), un quadro concettuale che definisce sette "livelli" di rete (talvolta chiamato modello OSI a 7 livelli).
Come suggerisce il nome, gli attacchi a livello di applicazione prendono di mira il livello di applicazione (livello 7) del modello OSI, ovvero il livello in cui vengono generate le pagine Web in risposta alle richieste degli utenti. Gli attacchi a livello di applicazione interrompono le applicazioni Web inondandole di richieste nocive.
Uno degli attacchi a livello di applicazione più comuni è l’attacco HTTP Flood, in cui un utente malintenzionato invia continuamente un gran numero di richieste HTTP da più dispositivi allo stesso sito Web. Il sito Web non riesce a gestire tutte le richieste HTTP e rallenta notevolmente o va in crash. Gli attacchi HTTP Flood sono simili a centinaia o migliaia di browser Web che aggiornano ripetutamente la stessa pagina Web.
Gli attacchi a livello di applicazione sono relativamente facili da lanciare, ma possono essere difficili da prevenire e mitigare. Man mano che sempre più aziende passano all’utilizzo di microservizi e applicazioni basate su container, aumenta il rischio di attacchi a livello applicativo che disabilitino servizi Web e cloud critici.
Gli attacchi di frammentazione (Protocol attacks) prendono di mira il livello di rete (livello 3) e il livello di trasporto (livello 4) del modello OSI. Puntano a sopraffare le risorse di rete critiche, quali firewall, bilanciamento del carico e server Web, con richieste di connessione nocive.
Gli attacchi di frammentazione più comuni includono:
Attacchi SYN flood. Un attacco SYN flood sfrutta l'handshake TCP, il processo con cui due dispositivi stabiliscono una connessione l'uno con l'altro.
In un tipico handshake TCP, un dispositivo invia un pacchetto SYN per avviare la connessione, l'altro risponde con un pacchetto SYN/ACK per confermare la richiesta e il dispositivo originale invia un pacchetto ACK per finalizzare la connessione.
In un attacco SYN flood, l'autore dell'attacco invia al server di destinazione un numero elevato di pacchetti SYN con indirizzi IP di origine contraffatta. Il server invia la risposta all'indirizzo IP contraffatto e attende l'ultimo pacchetto ACK. Poiché l'indirizzo IP di origine è stato falsificato, questi pacchetti non arrivano mai. Il server è impegnato in un gran numero di connessioni non completate, che lo rendono non disponibile per gli handshake TCP legittimi.
Attacchi smurf. Un attacco smurf sfrutta l'ICMP (Internet Control Message Protocol), un protocollo di comunicazione utilizzato per valutare lo stato di una connessione tra due dispositivi. In uno scambio ICMP tipico, un dispositivo invia una richiesta di echo ICMP a un altro dispositivo e quest'ultimo risponde con una risposta echo ICMP.
In un attacco smurf, l'autore dell'attacco invia una richiesta di echo ICMP da un indirizzo IP contraffatto che corrisponde all'indirizzo IP della vittima. Questa richiesta di eco ICMP viene inviata a una rete di trasmissione IP che inoltra la richiesta a tutti i dispositivi su una determinata rete. Ogni dispositivo che riceve la richiesta echo ICMP, potenzialmente centinaia o migliaia di dispositivi, risponde inviando una risposta echo ICMP all'indirizzo IP della vittima, inondando il dispositivo con più informazioni di quante ne possa gestire. A differenza di molti altri tipi di attacchi DdoS, gli attacchi smurf non richiedono necessariamente una botnet.
Gli attacchi DdoS volumetrici consumano tutta la larghezza di banda disponibile all'interno di una rete di destinazione o tra un servizio di destinazione e il resto di Internet, impedendo così agli utenti legittimi di connettersi alle risorse di rete. Gli attacchi volumetrici spesso inondano le reti e le risorse con quantità molto elevate di traffico, anche rispetto ad altri tipi di attacchi DdoS. È noto che gli attacchi volumetrici travolgono le misure di protezione DdoS come gli scrubbing center, progettati per filtrare il traffico dannoso da quello legittimo.
I tipi di attacchi volumetrici includono:
UDP flood. Questi attacchi inviano pacchetti UDP (User Datagram Protocol) fasulli alle porte di un host target e richiedono all'host di cercare un'applicazione per ricevere questi pacchetti. Poiché i pacchetti UDP sono falsi, non esiste alcuna applicazione per riceverli e l'host deve inviare un messaggio ICMP "Destinazione non raggiungibile" al mittente. Le risorse degli host sono impegnate nella risposta al flusso costante di pacchetti UDP falsi, lasciando l'host non disponibile per rispondere ai pacchetti legittimi.
ICMP flood. Chiamati anche “ping float attack”, questi attacchi bombardano obiettivi con richieste echo ICMP provenienti da più indirizzi IP falsificati. Il server oggetto dell'attacco deve rispondere a tutte queste richieste, si sovraccarica e non è in grado di elaborare richieste eco ICMP valide. Gli attacchi ICMP flood si distinguono dagli attacchi smurf in quanto gli aggressori inviano un gran numero di richieste ICMP dalle loro botnet invece di indurre i dispositivi di rete a inviare risposte ICMP all'indirizzo IP della vittima.
Attacchi di amplificazione DNS. In questo caso, l'autore dell'attacco invia diverse richieste di ricerca Domain Name System (DNS) a uno o più server DNS pubblici. Queste richieste di ricerca utilizzano un indirizzo IP contraffatto appartenente alla vittima e chiedono ai server DNS di restituire una grande quantità di informazioni per richiesta. Il server DNS risponde quindi alle richieste inondando l'indirizzo IP della vittima con grandi quantità di dati.
Come suggerisce il nome, gli attacchi multivettori sfruttano più vettori di attacco per massimizzare i danni e vanificare gli sforzi di mitigazione DdoS. Gli autori dell'attacco possono utilizzare più vettori contemporaneamente o passare da un vettore all'altro durante l'attacco, quando un vettore viene contrastato. Ad esempio, gli hacker potrebbero iniziare con un attacco smurf e, una volta interrotto il traffico proveniente dai dispositivi di rete, potrebbero lanciare un flusso UDP dalla loro botnet.
Le minacce DdoS possono essere utilizzate anche insieme ad altri attacchi informatici. Ad esempio, gli autori di attacchi ransomware possono fare pressione sulle loro vittime minacciando di sferrare un attacco DdoS se il riscatto non viene pagato.
Gli attacchi DdoS esistono da decenni e sono diventati sempre più diffusi tra i criminali informatici per varie ragioni, tra cui:
- Non richiedono capacità specifiche per essere eseguiti. I criminali informatici possono assumere botnet già pronte da altri hacker e sferrare attacchi DdoS in modo autonomo e senza alcuna particolare preparazione o pianificazione.
- Sono difficili da rilevare. Poiché le botnet sono costituite in gran parte da dispositivi consumer e commerciali, può essere difficile per le organizzazioni separare il traffico dannoso dagli utenti reali. Inoltre, i sintomi degli attacchi DdoS (servizio lento e siti e app temporaneamente non disponibili) possono essere causati anche da picchi improvvisi di traffico legittimo, e ciò rende non aiuta l'identificazione degli attacchi DdoS nelle fasi iniziali.
- Sono difficili da mitigare. Una volta identificato un attacco DdoS, la natura distribuita dell'attacco informatico significa che le organizzazioni non possono semplicemente bloccare l'attacco disattivando un'unica fonte di traffico. I controlli standard di sicurezza della rete intesi a contrastare gli attacchi DdoS, come la limitazione della velocità, possono anche rallentare le operazioni degli utenti legittimi.
- Esistono più potenziali dispositivi botnet che mai. L'ascesa dell'Internet of Things (IoT) ha dato agli hacker una ricca fonte di dispositivi da trasformare in bot. Apparecchi, strumenti e gadget abilitati a Internet, inclusa la tecnologia operativa (OT) come dispositivi sanitari e sistemi di produzione, sono spesso venduti e gestiti con impostazioni predefinite universali e controlli di sicurezza deboli o inesistenti, che li rendono particolarmente vulnerabili alle infezioni da malware. Può essere difficile per i proprietari di questi dispositivi accorgersi che sono stati compromessi, poiché i dispositivi IoT e OT vengono spesso utilizzati passivamente o raramente.
Gli attacchi DdoS stanno diventando sempre più sofisticati in quanto gli hacker adottano strumenti di intelligenza artificiale (AI) e apprendimento automatico per indirizzare i loro attacchi. Ciò ha portato a un aumento degli attacchi DdoS adattivi, che utilizzano l’intelligenza artificiale e l'apprendimento automatico per individuare gli aspetti più vulnerabili dei sistemi e spostare automaticamente i vettori e le strategie di attacco in risposta agli sforzi di mitigazione dei DdoS da parte di un team di sicurezza informatica.
Lo scopo di un attacco DdoS è interrompere le operazioni del sistema, il che può comportare costi elevati per le organizzazioni. Secondo il report Cost of a Data Breach 2022 di IBM, le interruzioni di servizio, i tempi di inattività del sistema e altre interruzioni aziendali causate da un attacco informatico costano alle organizzazioni in media 1,42 milioni di dollari. Nel 2021, un attacco DdoS è costato a un provider VoIP quasi 12 milioni di dollari (link esterno a ibm.com).
Il più grande attacco DdoS mai registrato, che ha generato 3,47 terabit di traffico dannoso al secondo, ha preso di mira un cliente Microsoft Azure nel novembre 2021 (link esterno a ibm.com). Gli autori dell'attacco hanno utilizzato una botnet di 10.000 dispositivi provenienti da tutto il mondo per bombardare la vittima con 340 milioni di pacchetti al secondo.
Gli attacchi DdoS sono stati utilizzati anche contro i governi, incluso un attacco del 2021 al Belgio (link esterno a ibm.com). Gli hacker hanno preso di mira un Internet Service Provider (ISP) gestito dal governo per interrompere le connessioni Internet di oltre 200 agenzie governative, università e istituti di ricerca.
Sempre più spesso gli hacker utilizzano i DdoS non come attacco principale, ma per distrarre la vittima da un crimine informatico più grave, ad esempio l'estrapolazione di dati o la distribuzione di ransomware in una rete mentre il gruppo di cybersecurity è impegnato a respingere l'attacco DdoS.
Gli sforzi di mitigazione e protezione dagli attacchi DdoS si basano in genere sulla deviazione del flusso di traffico dannoso il più rapidamente possibile, ad esempio instradando il traffico di rete verso centri di scrubbing o utilizzando bilanciamenti del carico per ridistribuire il traffico degli attacchi. A tal fine, le aziende che mirano a rafforzare le loro difese contro gli attacchi DdoS possono adottare tecnologie in grado di identificare e intercettare il traffico dannoso, tra cui:
- Firewall per applicazioni Web. La maggior parte delle organizzazioni oggi utilizza firewall perimetrali e per applicazioni web (WAF) per proteggere le proprie reti e applicazioni da attività nocive. Mentre i firewall standard proteggono a livello di porta, i WAF garantiscono la sicurezza delle richieste prima di inoltrarle ai server Web. Il WAF sa quali tipi di richieste sono legittime e quali no e consente di eliminare il traffico dannoso e prevenire attacchi a livello di applicazione.
Reti di distribuzione dei contenuti (CDN). Una CDN è una rete di server distribuiti che può aiutare gli utenti ad accedere ai servizi online in modo più rapido e affidabile. Con una CDN attiva, le richieste degli utenti non tornano fino al server di origine del servizio, ma vengono invece instradate verso un server CDN geograficamente più vicino che fornisce il contenuto. Le CDN possono aiutare a proteggersi dagli attacchi DdoS grazie all'aumento della capacità complessiva di traffico di un servizio. Nel caso in cui un server CDN venga rimosso da un attacco DdoS, il traffico degli utenti può essere instradato ad altre risorse server disponibili nella rete.
- SIEM (Informazioni sulla sicurezza e gestione degli eventi). I sistemi SIEM offrono una gamma di funzioni per rilevare gli attacchi DdoS e altri attacchi informatici nelle prime fasi del loro ciclo di vita, tra cui la gestione dei registri e le informazioni sulla rete. Le soluzioni SIEM offrono una gestione centralizzata dei dati di sicurezza generati da strumenti di sicurezza on-premise e basati sul cloud. I SIEM possono monitorare i dispositivi e le applicazioni connessi per rilevare incidenti di sicurezza e comportamenti anomali, come ping eccessivi o richieste di connessione illegittime. Il SIEM segnala quindi queste anomalie affinché il gruppo di sicurezza informatica intraprenda le azioni appropriate.
- Tecnologie di rilevamento e risposta. Le soluzioni di rilevamento e risposta degli endpoint (EDR), rilevamento e risposta della rete (NDR) e rilevamento e risposta estesi (XDR) utilizzano tutte analisi avanzate e intelligenza artificiale per monitorare l'infrastruttura di rete alla ricerca di indicatori di compromissione, come modelli di traffico anomali che potrebbero indicare attacchi DdoS, e funzionalità di automazione per rispondere agli attacchi in tempo reale (ad esempio, terminando connessioni di rete sospette).
Rileva le minacce nascoste in agguato nella tua rete, prima che sia troppo tardi. IBM Security® QRadar® Network Detection and Response (NDR) aiuta le squadre di sicurezza ad analizzare le attività di rete in tempo reale. Combina una vasta e approfondita visibilità con informazioni dettagliate e dati di elevato valore per favorire le risposte e la conoscenza attivabile.
Ottieni la protezione della sicurezza di cui la tua organizzazione ha bisogno per migliorare la preparazione alle violazioni con una sottoscrizione al servizio di protezione per la risposta all'incidente di IBM Security. Quando ti rivolgi al nostro team d'élite di consulenti IR, hai a disposizione partner fidati che ti aiutano a ridurre i tempi di risposta a un incidente, a minimizzarne l'impatto e a recuperare più rapidamente prima che si sospetti un incidente di cybersecurity.
Combina le competenze con la threat intelligence per arricchire l'analisi delle minacce e automatizzare la tua piattaforma per le minacce informatiche.
Un attacco informatico tenta di rubare informazioni sensibili o disabilitare i sistemi critici tramite l'accesso non autorizzato a reti o dispositivi informatici.
Il ransomware è un malware che tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento di un riscatto.
Un piano formale di risposta agli incidenti consente ai team di sicurezza informatica di limitare o prevenire i danni derivanti da attacchi informatici o violazioni della sicurezza.