Che cos’è un attacco DDoS

Cos’è un attacco DoS e qual è il suo obiettivo?

Prima di parlare di attacchi DDoS, è necessario capire cosa si intende con attacchi DoS. Questa sigla significa sostanzialmente negazione del servizio abbreviato in DoS, o “Denial of Service” in inglese. Questo particolare tipo di attacco consiste nel sovraccaricare un sistema informatico a tal punto da renderlo inutilizzabile. In particolare, a essere colpiti da questi attacchi sono i sistemi informatici che vendono servizi, i quali risultano inutilizzabili quando l’attacco va a buon fine.

Un attacco DDoS (o “DDoS attack” in inglese) consiste in un’interruzione distribuita del servizio. Questo significa che una risorsa di rete viene inondata di richieste in uno stesso momento, in modo da sovraccaricarla e renderla irraggiungibile. Si tratta di uno degli attacchi più utilizzati dagli hacker, soprattutto a livello aziendale.

Per poter eseguire un attacco DDoS, quindi per poter inviare migliaia di richieste contemporaneamente, è necessario avere a disposizione una rete di computer. Ciò non significa che un hacker debba effettivamente avere accesso fisico a ciascuno dei computer presenti nella rete: solitamente è sufficiente che l’accesso sia remoto. In questo caso si parla di botnet, reti composte da migliaia di computer infettati da malware che permettono agli hacker di inviare richieste all’insaputa degli utenti.

Per lanciare un attacco DDoS, quindi, vengono sfruttate delle vulnerabilità presenti nei computer o in altri dispositivi online. In tempi recenti, gli hacker più abili si sono infatti rivelati in grado di sfruttare anche dispositivi IoT (Internet of Things) come termostati, telecamere, ecc. Questi dispositivi sono spesso poco sicuri e gli utenti che li possiedono non si preoccupano di proteggersi da un loro uso non appropriato.

Gli obiettivi degli attacchi DDoS possono essere diversi. A volte si tratta di attacchi volti a interrompere un servizio di un’azienda concorrente, in modo da rovinarne la reputazione; altre volte potrebbe trattarsi di una semplice distrazione, per potersi infiltrare nei sistemi interni di un’azienda e rubare informazioni. Ci sono anche casi di attacchi DDoS lanciati a livello governativo, per destabilizzare le strutture statali di un paese.

Gli attacchi alla connessione TCP, conosciuti anche come attacchi SYN flood, sfruttano il protocollo TCP per inviare un numero molto alto di richieste. Il protocollo TCP verifica sempre l’integrità dei pacchetti inviati e in caso di errore o mancata consegna esegue nuovamente l’invio: durante un attacco DDoS, quindi, la botnet dà inizio alla connessione ma non termina mai l’invio di pacchetti. In questo modo il server non può chiudere la connessione e allo stesso tempo non può accettare altre richieste. Ripetendo questa operazione altre volte e in tempi molto brevi, il server viene sovraccaricato e il sistema finisce con l’interrompersi.

Gli attacchi volumetrici sono i tipi di attacchi DDoS più diffusi e semplici da implementare. La botnet viene utilizzata per inviare innumerevoli richieste di accesso a contenuti vari, in modo che il traffico così creato abbia un volume così alto da diventare ingestibile. Una volta saturata la banda del server, questo non potrà più accettare altre richieste, impedendo così l’accesso a chiunque tenti di collegarsi per motivi legittimi.

Un altro metodo molto utilizzato per lanciare questo tipo di attacchi è quello di sfruttare l’IP spoofing. In questo caso, l’hacker entra in possesso dell’indirizzo IP di un utente inconsapevole, e lo utilizza poi per impersonarne l’identità in rete e lanciare richieste a un server. Il server invia così le risposte all’effettivo indirizzo IP dell’utente ignaro di tutto, il quale si ritroverà quindi con tutta la banda occupata.

I dati vengono inviati tramite Internet, divisi in pacchetti gestiti dai protocolli TCP e UDP. Gli attacchi di frammentazione, più complessi dei precedenti, sfruttano proprio questi protocolli per interrompere un servizio. Vengono infatti creati dei pacchetti di dati fittizi, inviati poi con l’unico scopo di distorcere il flusso di traffico e sovraccaricare il server di destinazione.

Gli attacchi DDoS visti finora possono essere considerati di “forza bruta”. Si tratta semplicemente di sovraccaricare un server per impedirne il funzionamento. In certi casi si possono però eseguire degli attacchi più mirati per ottenere lo stesso risultato.

Questo è il caso degli attacchi applicativi, che sfruttano una vulnerabilità o un malfunzionamento di un applicativo del server per renderlo non utilizzabile. Questo tipo di attacco richiede molte meno risorse rispetto agli altri, ma è anche quello più facilmente riconoscibile e da cui ci si può proteggere con un po’ di accortezza.

Poiché all’origine di un attacco DDoS c’è una enorme rete di dispositivi, è praticamente impossibile risalire ai colpevoli. A volte è possibile individuare l’area geografica da cui è partito l’attacco, ma difficilmente si potrà ottenere un colpevole specifico, almeno quando l’attacco è stato lanciato da esperti in grado di coprire le proprie tracce.

Tuttavia, considerando che non è necessario avere particolari conoscenze informatiche per eseguirne uno, grazie alla disponibilità di semplici programmi che sfruttano automaticamente botnet già esistenti, è ragionevole pensare che spesso i colpevoli siano persone inesperte. In questi casi, risalire all’origine dell’attacco potrebbe essere possibile.

In molti paesi gli attacchi DDoS sono considerati illegali. Tuttavia, poiché individuare l’origine precisa di un attacco è molto difficile, questi attacchi rimangono spesso impuniti.

Quando un attacco DDoS è in atto, è praticamente impossibile difendersi. Quello che si può fare è cercare di prevenire gli attacchi di questo tipo.

• Individuare IP compromessi: spesso botnet già esistenti vengono utilizzate per molti attacchi diversi, a distanza anche di tempo l’uno dall’altro. Conoscendo gli indirizzi IP contenuti in queste botnet, è possibile stilare un elenco da “blacklistare”, in modo che le richieste provenienti da questi IP vengano ignorate. Per bloccare gli indirizzi IP potenzialmente pericolosi si può usare un firewall appositamente configurato.
• Risolvere le falle di sicurezza: per proteggersi dagli attacchi applicativi, l’unica soluzione è quella di risolvere le vulnerabilità che caratterizzano i propri sistemi. Bisogna quindi eseguire sempre gli aggiornamenti e installare le patch di sicurezza, in modo da essere protetti contro questo tipo di attacchi.
• Implementare risorse scalabili: poiché gli attacchi DDoS mirano a sovraccaricare i server, una soluzione molto semplice ma anche molto efficace è quella di dotarsi di un’infrastruttura scalabile, in grado di aumentare le risorse disponibili in caso di un aumento eccessivo delle richieste.
• Filtraggio pacchetti: è possibile fare in modo che, in caso di ricezione di pacchetti insoliti, la rete ponga dei limiti alla trasmissione dei dati. Questa è una soluzione efficace, ma che può potenzialmente bloccare anche il traffico legittimo.

Anche gli utenti privati possono però essere vittima di attacchi DDoS. Questo capita soprattutto nell’ambito dei videogiochi online: a volte un attacco DDoS può far cadere la connessione, estromettendo l’utente dal gioco. Questo è reso possibile dal fatto che gli indirizzi IP sono pubblici, e quindi un hacker può utilizzare l’IP di un utente per inviare le richieste.

Per difendersi da questo tipo di operazione è una buona idea usare una VPN, in modo da mascherare il proprio indirizzo IP. Per essere al sicuro con NordVPN basta poco: è sufficiente installare l’apposita app e proteggersi anche dagli attacchi DDoS. Con NordVPN si ha a disposizione anche Threat Protection, una funzionalità appositamente pensata per riconoscere i file malevoli prima ancora che vengano scaricati o avviati. Grazie a Threat Protection, NordVPN è quindi in grado di individuare file che nascondono botnet e che potrebbero essere utilizzati per lanciare attacchi DDoS: impendendo di scaricarli e di avviarli, i propri dispositivi rimangono al sicuro.