DDoS, acronimo di Distributed Denial of Service. Una guida per capire cosa sono questi attacchi, cosa provocano e come si può difendere
Denial of Service (DoS) e Distributed Denial of Service (DDoS), quante volte ne avrete sentito palrare…
Avete presente quando si è imbottigliati in una coda chilometrica in autostrada che non ci permette di arrivare a destinazione? Ecco, se vogliamo, un attacco DDoS – Distributed Denial of Service possiamo immaginarlo così: un traffico enorme e spropositato di richieste attraverso il Web che funzionano proprio come un ingorgo autostradale inaspettato, che blocca la normale circolazione.
Solo che nel caso della cyber minaccia, il ritardo si quantifica in un danno economico pesante: se consideriamo che i tempi di inattività dei servizi IT costano alle aziende da 300mila a oltre un milione di dollari all’ora, si può immaginare quanto sia grave un attacco DDoS – Distributed Denial of Service a un’azienda.
Non passa giorno che non ce ne sia almeno uno, il picco lo si è raggiunto lo scorso 31 dicembre ne sono stati registrati 1.349.
Solo in Italia il fenomeno è in costante crescita: l’ultimo rapporto CLUSIT registra un notevole l’incremento percentuale dei Distributed denial-of-service (+47,8%) nel 2020. Il volume degli attacchi, infatti, ha toccato i 7 Tbps, in fortissima crescita anche rispetto al mese peggiore del 2019 dove si attestava al massimo a 1.8 Tbps.
Nel 1996 si attesta il primo attacco Distributed Denial of Service che colpì Panix, storico provider di servizi internet: all’epoca fu messo offline per diversi giorni da un SYN flood (più avanti spiegheremo cos’è).
Qualcuno avrà sentito parlare di Mafiaboy: era il nickname di un ragazzo di 15 anni che nel 2000 lanciò un Distributed Denial of Service attack violando le reti di computer di un certo numero di università e usando i loro server per operare una cyber aggressine che ha bloccato siti del calibro di CNN, eBay e Yahoo.
Il più funesto risponde al nome di Mirai, nome della botnet che nel 2016 era riuscito a espandersi su 600mila dispositivi Internet of Things compromessi, come telecamere IP, router domestici e lettori video. Il 19 settembre prese di mira uno dei più grandi fornitori di hosting europei, OVH, che ospita circa 18 milioni di applicazioni per oltre un milione di clienti. L’attacco generò un carico di traffico fino a 1,1 terabit al secondo ed è durato circa sette giorni. Ma furono molti a subire gli effetti dell’aggressione.
Ma cos’è un attacco Distributed Denial of Service (DDoS)? Quali sono i sintomi? Come difendersi? Ora andiamo a illustrare caratteristiche, tipi e possibili rimedi, in un percorso che ci vedrà parlare di cybercrime e persino di zombie…
Cos’è un attacco Distributed Denial of Service – DDoS?
“Interruzione distribuita del servizio”. È questo il significato di Distributed Denial of Service, un tentativo malevolo di interrompere il normale traffico di un server, un servizio o una rete mirata travolgendo il bersaglio o la sua infrastruttura circostante con un flusso Internet.
Gli attacchi DDoS sono efficaci in quanto utilizzano più sistemi informatici compromessi come fonti di traffico. Le macchine sfruttate possono includere computer e altre risorse di rete come i dispositivi IoT infettati con malware, permettendo loro di essere controllati a distanza da un aggressore. Questi dispositivi individuali sono chiamati bot (o zombie), e un gruppo di bot è chiamato botnet.
Una volta che una botnet è stata stabilita, l’aggressore è in grado di dirigere un attacco inviando istruzioni remote a ciascun bot. Quando il server o la rete di una vittima viene preso di mira dalla botnet, ogni bot invia richieste all’indirizzo IP dell’obiettivo, causando il sovraccarico del server o della rete, con conseguente negazione del servizio al traffico normale. Poiché ogni bot è un dispositivo Internet legittimo, diventa assai complicato separare il traffico dell’attacco dal traffico normale.
È bene distinguere tra DoS – Denial of Service e DDoS – Distributed Denial of Service. Entrambi sono cyber minacce, ma il primo è un attacco sistema-su-sistema, mentre il secondo coinvolge diversi sistemi che ne assaltano un singolo. Provenendo da una singola posizione è più facile da rilevare l’origine del DoS e interrompere la connessione e il conseguente tentativo malevolo. Il Distributed Denial of Service proviene da più luoghi e può essere distribuito molto più rapidamente di un attacco DoS, e consegue danni molto più gravi.
Come ricorda la Cybersecurity & Infrastructure Security Agency (CISA), in una guida dedicata, i concetti fondamentali della sicurezza informatica sono disponibilità, integrità e riservatezza. Sia gli attacchi Denial of Service che, soprattutto quelli Distributed mettono in crisi questi tre pilastri.
Come viene condotto un attacco DDoS
Innanzitutto, quando si parla di attacco DDoS, è bene dire che ve ne sono di diversi tipi. Le quattro più ricorrenti sono:
Attacchi IP Fragmentation
Sfrutta il principio di frammentazione del protocollo IP. L’autore dell’attacco supera una rete sfruttando i meccanismi di frammentazione dei datagrammi.
Per comprendere il tipo di minaccia occorre partire dal processo di frammentazione IP, una procedura di comunicazione in cui i datagrammi IP sono suddivisi in piccoli pacchetti, trasmessi attraverso una rete e poi riassemblati nel datagramma originale. La frammentazione è necessaria per la trasmissione dei dati, poiché ogni rete ha un limite unico per la dimensione dei datagrammi che può elaborare. Questo limite è noto come unità massima di trasmissione (MTU). Se viene inviato un datagramma che è più grande della MTU del server ricevente, deve essere frammentato per essere trasmesso completamente.
Attacchi volumetrici
Puntano a saturare la larghezza di banda del sito aggredito, inviando un’elevata quantità di traffico, o pacchetti di richiesta, a una rete mirata nel tentativo di sopraffare le sue capacità di larghezza di banda. Questi attacchi lavorano per inondare l’obiettivo nella speranza di rallentare o fermare i suoi servizi. In genere, le dimensioni delle richieste sono nell’ordine dei 100 Gbps; tuttavia, gli attacchi recenti hanno superato 1Tbps.
Attacchi Denial of Service amplificati
Questo tipo di minaccia sfrutta una tecnica che permette di fare “rimbalzare” il traffico su server DNS o NTP impropriamente configurati. Grazie a questo “rimbalzo” e alle caratteristiche dei servizi DNS e NTP, l’aggressore ottiene il doppio scopo di nascondere i propri indirizzi IP (e quindi la propria identità e collocazione geografica) e di moltiplicare la portata dell’attacco: per ogni megabit di banda immesso dall’assaltatore, la vittima riceve da 30 a 50 megabit di traffico indesiderato nel caso della DNS amplification e ben 500 megabit nel caso della NTP amplification. L’amplificazione del traffico è ciò che consente all’attaccante di rendere irraggiungibile il sito (o servizio) della vittima, saturandone la banda disponibile.
Attacchi di protocollo
Prendono di mira il livello di rete dei sistemi bersaglio. Il loro obiettivo è sovraccaricare i tablespace (luogo d’archiviazione dove vengono tenuti gli oggetti di una base di dati correlati ai dati fisici) dei servizi di rete di base, il firewall o il device che inoltra le richieste al bersaglio.
Questo tipo di attacco consuma le risorse effettive del server, o quelle delle apparecchiature di comunicazione intermedie, come i firewall e i bilanciamenti di carico, e si misura in pacchetti al secondo. Include SYN flood, una forma di attacco in cui l’aggressore inizia rapidamente una connessione a un server senza finalizzare la connessione. Il server deve spendere risorse in attesa di connessioni semiaperte, che possono consumare abbastanza risorse da rendere il sistema non reattivo al traffico legittimo.
Attacchi applicativi
sono quelli che tentano di mandare in crash il server web. È composto da richieste apparentemente legittime e innocenti, e include forme di aggressione che prendono di mira le vulnerabilità di Apache, Windows o altri.
Come identificare gli attacchi
Illustrati i principali tipi di attacco va detto come identificarli. Proprio come una “malattia”, è bene leggere i sintomi: il più ovvio è un sito o un servizio che diventa improvvisamente lento o non disponibile. Ma poiché un certo numero di cause – come un legittimo picco di traffico – può creare simili problemi di prestazioni, di solito sono necessarie ulteriori indagini. Gli strumenti di analisi del traffico possono aiutare a individuare alcuni di questi segni rivelatori di un attacco DDoS.
Un altro sintomo è la quantità sospetta di traffico proveniente da un singolo indirizzo IP oppure un aumento inspiegabile di richieste a una singola pagina. Possono comparire anche anomali flussi di traffico in ore insolite del giorno o modelli che sembrano essere innaturali (ad esempio un picco ogni 10 minuti). Ci sono poi altri segni più specifici di un attacco DDoS che possono variare a seconda del tipo di attacco.
Diversi tipi prendono di mira diversi componenti di una connessione di rete. Per capire come funzionano, è necessario sapere come è fatta una connessione di rete. Essa composta da molti componenti diversi o “strati”, ognuno dei quali ha uno scopo diverso.
Da qui discende, per esempio, che gli attacchi DDoS ai livelli 3 e 4 di solito sono di tipo volumetrico su un’infrastruttura di rete. Si basano su volumi estremamente elevati di dati per rallentare le prestazioni dei server web, consumare la larghezza di banda e infine degradare l’accesso degli utenti legittimi.
Un attacco di livello 7 è strutturato per sovraccaricare elementi specifici di un server di applicazioni di un’infrastruttura. Sono particolarmente complessi, furtivi e difficili da rilevare perché assomigliano a traffico web legittimo. Anche quelli più semplici, per esempio quelli che prendono di mira le pagine di login con ID utente e password, o ricerche casuali ripetitive su siti web dinamici, possono sovraccaricare criticamente le CPU e i database.
Come detto, gli effetti di un attacco DDoS possono essere devastanti. Questo lo si deve, a causa della potenza che possono esprimere, ma anche per le difficoltà insite nel poterli mitigare in tempi rapidi (se non attraverso la sottoscrizione di uno specifico servizio di mitigation).
Lo stesso CLUSIT segnala che il mercato dei DDoSaaS (DDoS as a service) è cresciuto e il costo del servizio si aggira sui 5-10 dollari mese per botnet in grado di erogare un attacco di 5-10 minuti ad oltre 100Gbps.
L’Associazione italiana per la sicurezza informatica evidenzia nel suo rapporto che in merito all’analisi della distribuzione dei target degli assalti DDoS sono stati individuati i settori merceologici maggiormente colpiti da questo tipo di attacchi. Seppure siano molti, quello più esposto al rischio è quello finance/insurance e il mondo dei servizi: essi sono il bersaglio nel 54% dei casi.
In merito alla durata di un attacco, è mediamente diminuita, anche grazie a una crescente consapevolezza da parte delle vittime e agli investimenti in strumenti in grado di proteggerli. Così si è arrivati, nel 93% dei casi, che l’attacco è durato meno di 3 ore.
Proteggersi dagli attacchi Denial of Service
Definiti gli attacchi, resta da comprendere quali azioni concrete si possano mettere in atto per rafforzare la sicurezza aziendale e mettersi quanto più al riparo dai DDoS.
Possiamo illustrare alcune azioni utili, anche se la premessa è: fate attenzione ai sintomi. La prevenzione passa dall’attenzione alle anomalie sopra illustrate.
Il primo consiglio è: implementate solide pratiche di monitoraggio della rete. Per mitigare le minacce DDoS è bene sapere quando si sta per esserne colpiti. Questo significa implementare una tecnologia che vi permette di monitorare la vostra rete visivamente e in tempo reale. Conoscere la quantità di larghezza di banda che il vostro sito utilizza in media in modo da poter tracciare quando ci sono anormalità.
Gli attacchi DDoS offrono indizi visivi, e se avete familiarità con il comportamento normale della vostra rete, sarete più facilmente in grado di scorgerli in tempo reale.
Secondo: garantite un livello base di sicurezza contro le minacce DDoS. Queste comprendono: l’uso di password complesse, l’obbligo di reimpostare le password periodicamente (una volta ogni due mesi almeno); evitare di memorizzare o scrivere le password negli appunti. Potrebbero sembrare banali, ma è allarmante quante aziende vengono compromesse trascurando l’igiene di sicurezza di base.
Terzo: è importante impostare soglie e limiti di traffico come il rate limiting sul vostro router e i filtri sui pacchetti provenienti da fonti sospette.
Quarto: mantenete aggiornata la vostra infrastruttura di sicurezza. Data la velocità e l’evoluzione tecnologica e delle relative insidie, è un passo fondamentale mantenete aggiornati il data center e i vostri sistemi e applicate le patch ai firewall delle applicazioni web e ad altri programmi di sicurezza della rete.
Quinto: anticipate le mosse. Avere un piano di risposta preparato in tempo utile in modo che l’impatto possa essere ridotto al minimo. Esso dovrebbe includere una check list degli strumenti, un team pronto, con ruoli e responsabilità chiaramente definiti da svolgere una volta rilevato l’attacco; regole chiare su chi avvisare e coinvolgere in caso di pericolo; un piano di comunicazione per avvisare rapidamente tutti in caso di attacco.
Sesto: assicurate una sufficiente capacità del server. Dato che gli attacchi DDoS volumetrici funzionano sovraccaricando la larghezza di banda della rete, un modo per contrastarli è assicurarsi che la capacità del server possa gestire i picchi di traffico pesante aggiungendo larghezza di banda, così si può essere pronti ad affrontare la minaccia.
Settimo: esplorate soluzioni di protezione DDoS basate sul cloud. Il cloud fornisce più larghezza di banda e risorse rispetto alle reti private. I data center del cloud possono assorbire il traffico dannoso e disperderlo in altre aree, impedendo loro di raggiungere gli obiettivi previsti.
Ottavo: chiamate un professionista per qualsiasi necessità. L’improvvisazione può costare molto cara.
