Che cos’è un attacco DDoS?
Un attacco DDoS (Distributed Denial of Service) è una forma di attacco informatico che mira a sovraccaricare un sito web, un server o una rete con un volume eccessivo di traffico proveniente da una rete di computer compromessi. Questo attacco ha l’obiettivo di rendere il servizio inaccessibile agli utenti legittimi, interrompendo la disponibilità del sistema target. Durante un attacco DDoS, il traffico è così massiccio che il server o la rete non riesce a gestirlo, provocando rallentamenti o interruzioni del servizio. Gli attacchi DDoS possono essere realizzati attraverso botnet, reti di computer infetti che inviano richieste simultanee e abbondanti, amplificando così l’impatto dell’attacco.
Per lanciare un attacco DDoS, quindi, vengono sfruttate delle vulnerabilità presenti nei computer o in altri dispositivi online. In tempi recenti, gli hacker più abili si sono infatti rivelati in grado di sfruttare anche dispositivi IoT (Internet delle Cose) come termostati, telecamere, ecc. Questi dispositivi sono spesso poco sicuri e gli utenti che li possiedono non si preoccupano di proteggersi da un loro uso non appropriato.
A differenza degli attacchi DoS (Denial of Service), condotti da un singolo computer o fonte di traffico, quelli DDoS sono di gran lunga più complessi e potenti, poiché coinvolgono una rete distribuita di computer compromessi per generare un volume di traffico elevato.
Qual è l’obiettivo di un attacco DDoS?
L’obiettivo principale di un attacco DDoS è quello di interrompere la disponibilità di un servizio online, come un sito web, un server o una rete, rendendolo inaccessibile agli utenti legittimi. Gli attaccanti sovraccaricano il sistema target con una quantità enorme di richieste di traffico provenienti da una rete distribuita di computer compromessi (botnet). Questo sovraccarico mette sotto pressione le risorse del sistema, come la larghezza di banda, la potenza di calcolo o la memoria, fino a causare rallentamenti significativi o, nei casi peggiori, un blocco completo del servizio. Gli attacchi DDoS possono avere diversi motivi, tra cui sabotaggio aziendale, estorsione, protesta politica o semplice vandalismo informatico. In ogni caso, l’intento è quello di paralizzare temporaneamente o permanentemente l’operatività del sistema colpito.
Come funzionano gli attacchi DDoS?
Gli attacchi DDoS, lo abbiamo detto, sono particolarmente potenti perché sfruttano una vasta rete di computer o dispositivi compromessi. Un hacker, tramite malware, trasforma questi dispositivi in bot (noti anche come zombie), che possono essere controllati da remoto. L’attaccante coordina tutti i bot per inondare un indirizzo IP specifico con traffico simultaneo, sovraccaricando il sistema e, potenzialmente, facendolo crashare.
Gli attacchi DDoS possono durare più di 24 ore e sono estremamente difficili da tracciare. Il tuo dispositivo potrebbe far parte di una botnet (nota anche come rete zombie) senza che tu lo sappia. Gli unici segnali di compromissione potrebbero essere lievi rallentamenti nelle prestazioni o surriscaldamento. Il traffico che colpisce il bersaglio proviene da dispositivi legittimi, anche se infetti, rendendo complesso distinguere il traffico genuino da quello malevolo. A differenza degli attacchi DDoS, gli attacchi PDoS (Permanent Denial of Service) colpiscono direttamente l’hardware, rendendo i danni immediatamente evidenti.
Gli attacchi DDoS possono mirare a diversi componenti della connessione di rete o una combinazione di essi. Ogni connessione Internet attraversa vari livelli del modello OSI (Open Systems Interconnection) e la maggior parte degli attacchi DDoS si concentra su tre livelli chiave:
- Livello di rete (Livello 3): Include attacchi come Smurf, ICMP/Ping Flood e frammentazione IP/ICMP.
- Livello di trasporto (Livello 4): Comprende attacchi come SYN Flood, UDP Flood e l’esaurimento delle connessioni TCP.
- Livello applicativo (Livello 7): Principalmente attacchi criptati attraverso HTTP, spesso mirati ai server web per sopraffare le risorse applicative.
Tipi di attacchi DDoS
Attacchi alla connessione TCP
Gli attacchi alla connessione TCP, noti come SYN flood, sfruttano una vulnerabilità nel processo di handshake del protocollo TCP, utilizzato per stabilire connessioni affidabili tra client e server. Durante l’handshake TCP, il client invia un pacchetto SYN (Synchronize) al server, che risponde con un pacchetto SYN-ACK (Acknowledge). Il client dovrebbe poi inviare un ultimo pacchetto ACK per completare la connessione. In un attacco SYN flood, però, la botnet invia un gran numero di richieste SYN al server ma non invia mai il pacchetto finale ACK, lasciando la connessione aperta. Questo blocca le risorse del server, che rimane in attesa di completare la connessione, impedendogli di gestire nuove richieste legittime. Ripetendo questa operazione in modo massiccio e rapido, il server viene rapidamente sovraccaricato, portando a un’interruzione del servizio.
Un altro tipo di attacco basato su un uso improprio di un protocollo è l’attacco Smurf, una forma di attacco DDoS che sfrutta il protocollo ICMP (Internet Control Message Protocol), utilizzato per il ping. In un attacco Smurf, l’attaccante invia pacchetti ICMP spoofati, facendoli apparire come provenienti dall’indirizzo IP della vittima, a un broadcast address di una rete. Questo causa la risposta di tutti i dispositivi presenti sulla rete, che inviano un’eco di risposta ICMP all’indirizzo IP della vittima. Il risultato è un’inondazione di traffico verso il sistema target, che viene rapidamente sopraffatto da queste risposte, portando a un sovraccarico e al conseguente blocco o rallentamento del servizio.
A differenza degli attacchi SYN flood, che agiscono a livello di trasporto (Livello 4 del modello OSI), gli attacchi Smurf colpiscono il Livello di rete (Livello 3), sfruttando la natura del traffico broadcast e amplificando così l’impatto dell’attacco. Gli attacchi Smurf, pur meno comuni oggi grazie alle contromisure moderne, possono essere devastanti su reti mal configurate e prive di adeguate protezioni.
Attacchi volumetrici
Gli attacchi volumetrici sono tipi di attacchi che puntano a sovraccaricare un server o una rete con un’enorme quantità di traffico. In questi attacchi, una botnet – una rete di dispositivi compromessi, spesso infettati da malware come un trojan – viene utilizzata per generare innumerevoli richieste di accesso a vari contenuti. Il traffico generato raggiunge volumi così elevati da saturare la banda disponibile del server, rendendolo incapace di gestire altre richieste legittime. Di conseguenza, il sistema diventa inaccessibile agli utenti autentici, che si trovano bloccati fuori dal servizio.
Un altro metodo ampiamente utilizzato negli attacchi volumetrici è l' IP spoofing, una delle molteplice cose che i criminali possono fare con un indirizzo IP e che consiste nel falsificare l' indirizzo IP di un utente inconsapevole. L’hacker, sfruttando tecniche di spoofing, si impossessa dell’IP di un utente e lo utilizza per inviare richieste a un server DNS. Il server risponde all’indirizzo IP reale dell’utente ignaro, sovraccaricando la sua connessione e consumando tutta la sua banda. Nel caso di dispositivi infettati da trojan, gli utenti possono non accorgersi di essere coinvolti nell’attacco, poiché il trojan agisce in modo silenzioso, trasformando il dispositivo in un "bot" utilizzato per lanciare richieste massicce senza il controllo o la consapevolezza del proprietario.
Attacchi di frammentazione
Nel caso di attacchi di frammentazione i dati vengono inviati tramite internet, divisi in pacchetti gestiti dai protocolli TCP e UDP. Gli attacchi di frammentazione, più complessi dei precedenti, sfruttano proprio questi protocolli per interrompere un servizio. Vengono infatti creati dei pacchetti di dati fittizi, inviati poi con l’unico scopo di distorcere il flusso di traffico e sovraccaricare il server di destinazione.
Attacchi a livello di applicativi (L7)
Gli attacchi a livello applicativo, spesso indicati come attacchi DDoS al livello 7 del modello OSI, mirano a colpire direttamente le applicazioni web, il livello in cui il server genera pagine e risponde a richieste HTTP. A differenza degli attacchi volumetrici che saturano la banda di rete, questi attacchi sfruttano le risorse del server, sovraccaricandolo con richieste apparentemente legittime, come ripetuti refresh di una pagina. Il server interpreta questo traffico come normale attività utente, finché non viene completamente intasato e incapace di rispondere a ulteriori richieste. Poiché il traffico simulato sembra autentico, gli attacchi DDoS al livello 7 sono più difficili da rilevare rispetto agli attacchi a livello di rete, come quelli ai livelli 3 e 4 del modello OSI, che puntano sulla saturazione della larghezza di banda.
Questi attacchi sono anche meno costosi per gli attaccanti, poiché richiedono meno risorse per essere eseguiti. Tuttavia, il loro impatto può essere devastante: esauriscono rapidamente le risorse del server, causando un’interruzione dei servizi e rendendo il sito o l’applicazione inaccessibili agli utenti legittimi.
Come identificare un attacco DDoS?
Prima si identifica un attacco DDoS, maggiori sono le possibilità di mitigarne l’impatto. Ecco alcuni segnali chiave che potrebbero indicare un attacco DDoS in corso:
- Servizio lento o non disponibile: È spesso il primo sintomo di un attacco DDoS. Un errore come il "502 Bad Gateway" potrebbe essere un indicatore di sovraccarico del server dovuto a un attacco. Tuttavia, anche altri problemi tecnici possono causare rallentamenti, quindi questo segnale da solo non è sufficiente per confermare un attacco.
- Elevato traffico da un singolo indirizzo IP: Monitorando il traffico con strumenti di analisi, puoi individuare anomalie come un volume insolitamente alto di richieste provenienti da un solo IP, suggerendo che potrebbe trattarsi di un attacco orchestrato.
- Picchi di traffico anomali in momenti inusuali: Se si osservano aumenti improvvisi di traffico in orari casuali, è possibile che il sistema stia subendo un attacco DDoS.
- Crescita repentina e immotivata di richieste verso una pagina o endpoint specifico: Un numero esagerato di richieste su una determinata pagina, senza una ragione apparente, può essere un chiaro indicatore di un attacco DDoS mirato a quel particolare servizio.
Esempi di attacchi DDoS
Negli ultimi anni, si sono verificati innumerevoli attacchi DDoS alle aziende, di diversa gravità. Supportati da tecniche avanzate e amplificazioni su larga scala, questi attacchi sono stati in grado di compromettere anche le più potenti infrastrutture online.
- L’attacco a Dyn del 2016: L’azienda di DNS Dyn fu bersaglio di un attacco DDoS che influenzò gravemente la disponibilità di molti servizi online, tra cui Twitter, Reddit e Netflix. L’attacco sfruttò una botnet di dispositivi IoT compromessi.
- L’attacco DDoS a Google del 2017: Uno degli attacchi DDoS più grandi mai registrati è avvenuto nel 2017, quando i servizi Google furono presi di mira. Gli aggressori, probabilmente sostenuti da uno stato-nazione, hanno orchestrato un’inondazione di traffico proveniente da 180.000 server web compromessi. Questo immenso cyberattacco ha raggiunto un volume di 2,54 terabit al secondo (Tbps), una scala di traffico impressionante, considerando che la maggior parte degli attacchi DDoS viene misurata in gigabit al secondo (Gbps). Con una portata mille volte superiore agli attacchi tipici, questo episodio ha dimostrato la vulnerabilità anche dei servizi online più sofisticati e robusti. Si presume che l’attacco abbia avuto origine dalla Cina, mettendo in evidenza la capacità di attori statali di sfruttare infrastrutture globali per colpire colossi come Google.
- L’attacco a GitHub del 2018: GitHub, una delle piattaforme di hosting di codice sorgente più grandi, subì un attacco DDoS massiccio che raggiunse un picco di 1,35 terabit al secondo. Questo attacco utilizzò una tecnica di amplificazione Memcached.
- L’attacco DDoS ad AWS del 2020: Nel 2020, Amazon Web Services (AWS) ha affrontato un massiccio attacco DDoS, che ha preso di mira un cliente non identificato. Questo attacco, considerato uno dei più devastanti della storia, ha sfruttato server di terze parti per amplificare il volume del traffico fino a 70 volte. Raggiungendo una dimensione di 2,3 terabit al secondo (Tbps), il traffico ha messo a dura prova l’infrastruttura di AWS, dimostrando come anche i provider cloud più grandi possano essere vulnerabili ad attacchi DDoS su scala globale.
- L’attacco DDoS a Cloudflare del 2022: Nel 2022, Cloudflare ha mitigato uno degli attacchi DDoS più significativi dell’anno, che ha raggiunto 15,3 milioni di richieste al secondo (RPS). L’attacco ha colpito un cliente che gestisce un launchpad di criptovalute, utilizzando una botnet composta da circa 6.000 dispositivi unici provenienti da 112 Paesi. Gli aggressori hanno sfruttato connessioni HTTPS crittografate per rendere più difficile il rilevamento e la mitigazione dell’attacco, confermando una crescente tendenza verso attacchi sempre più sofisticati e persistenti.
Come difendersi da un attacco DDoS
Quando si verifica un attacco DDoS, difendersi può essere estremamente difficile, ma ci sono delle strategie efficaci per prevenire e mitigare tali attacchi. Ecco alcuni suggerimenti:
- 1.Monitoraggio degli IP compromessi: Le botnet spesso utilizzano gli stessi IP per diversi attacchi nel tempo. Identificando e bloccando questi indirizzi IP con un firewall configurato, è possibile bloccare le richieste provenienti da fonti note come pericolose.
- 2.Risoluzione delle vulnerabilità di sicurezza: Per proteggere i sistemi dagli attacchi applicativi, è fondamentale risolvere le vulnerabilità esistenti. Ciò implica l’installazione regolare di aggiornamenti e patch di sicurezza per mantenere i sistemi protetti.
- 3.Implementazione di risorse scalabili: Poiché gli attacchi DDoS mirano a sovraccaricare i server, dotarsi di un’infrastruttura scalabile può aiutare a gestire l’aumento del volume di traffico, aumentando le risorse disponibili quando necessario.
- 4.Filtraggio dei pacchetti: Una soluzione è quella di implementare meccanismi di filtraggio per limitare la trasmissione di pacchetti sospetti. Tuttavia, questa misura può anche influire sul traffico legittimo, quindi deve essere gestita con attenzione.
Gli utenti privati non sono immuni dagli attacchi DDoS, soprattutto nel contesto del gaming online. Un attacco può disconnettere un giocatore dal server sfruttando il proprio indirizzo IP pubblico. Per proteggersi, è consigliabile utilizzare una VPN, che cambia l’IP dell’utente.
NordVPN offre una protezione efficace in questo ambito. Installando l’app NordVPN, è possibile cambiare il proprio indirizzo IP e difendersi da attacchi DDoS. Inoltre, la funzionalità Threat Protection Pro™ di NordVPN rileva e blocca file dannosi prima che vengano scaricati o eseguiti, proteggendo i dispositivi da botnet e potenziali attacchi DDoS. Essere al sicuro con NordVPN è facile.
La sicurezza online inizia con un semplice clic.
Resta al sicuro con la VPN leader a livello mondiale