Cos'è un attacco DDoS?

Esistono molti tipi diversi di attacchi DDoS e i malintenzionati spesso ne utilizzano vari quando creano scompiglio negli ambienti colpiti. I tre tipi principali sono attacchi volumetrici, attacchi di protocolli e attacchi a livello di applicazione. Lo scopo di tutti gli attacchi è rallentare gravemente o impedire del tutto al traffico legittimo di raggiungere la sua destinazione. Degli esempi potrebbero essere il fatto di negare a un utente di accedere a un sito web, acquistare un prodotto o servizio, guardare un video o interagire sui social media. Inoltre, non rendendo più disponibili le risorse o riducendone le performance, un attacco DDoS può causare l'arresto completo di un'azienda. Ne conseguirebbe l'impossibilità dei dipendenti di accedere alle e-mail o ad applicazioni web o, semplicemente, di lavorare come al solito.

Per meglio comprendere il funzionamento di un attacco DDoS, analizziamo le varie strade che possono intraprendere i malintenzionati. Il modello di interconnessione a sistema aperto (OSI) è un modello multilivello per vari standard di rete e contiene sette livelli diversi. Ogni livello del modello OSI ha uno scopo univoco, come i piani di un edificio in cui ogni ufficio svolge la propria funzione individuale. I malintenzionati prendono di mira i vari livelli, a seconda del tipo di risorsa web o su Internet che desiderano intralciare.

L'intento di un attacco DDoS volumetrico è quello di sopraffare una rete con enormi quantità di traffico, congestionando la larghezza di banda della risorsa della vittima prescelta. Le grandi quantità di traffico di attacco impediscono agli utenti legittimi di accedere a un'applicazione o servizio, arrestando, al contempo, il flusso in entrata o in uscita del traffico. A seconda di quale sia la vittima di un attacco, l'arresto del traffico legittimo può significare ad esempio che il cliente di una banca non ha modo di pagare una bolletta per tempo, i clienti di un e-commerce non possono completare le transazioni online, la cartella clinica del paziente di un ospedale può essere esclusa o un cittadino può non riuscire più a visualizzare le tasse pagate a un ente governativo. A prescindere dall'organizzazione vittima, impedire alle persone di utilizzare un servizio online che si aspettano funzioni ha un impatto negativo.

Gli attacchi volumetrici utilizzano botnet create a partire da eserciti di singoli sistemi e dispositivi infettati da malware. Controllati da un malintenzionato, i bot vengono utilizzati per congestionare una vittima precisa e Internet in generale con del traffico dannoso che occupa tutta la larghezza di banda disponibile.

Una quantità imprevista di traffico di bot può ridurre notevolmente o impedire l'accesso a una risorsa web o servizio su Internet. Poiché i bot assumono il controllo di dispositivi legittimi per amplificare gli attacchi DDoS che fanno un uso intensivo della larghezza di banda, spesso a insaputa degli utenti, il traffico dannoso è difficile da individuare da parte dell'organizzazione vittima.

Esistono vari tipi di vettori di attacco DDoS volumetrici utilizzati dai criminali. Molti sfruttano tecniche di attacchi di riflessione e amplificazione per sopraffare una rete o un servizio preso di mira.

Gli UDP flood vengono spesso scelti per gli attacchi DDoS su una larghezza di banda più ampia. I malintenzionati tentano di sopraffare le porte dell'host target con pacchetti IP contenenti protocolli UDP stateless. L'host vittima, quindi, cerca applicazioni associate ai pacchetti UDP e, quando non ne trova, restituisce al destinatario il messaggio "Destinazione non raggiungibile". Gli indirizzi IP vengono spesso contraffatti per rendere anonimo un malintenzionato e, una volta inondato l'host target di traffico di attacco, il sistema non risponde più e non è più disponibile agli utenti legittimi.

Che cos'è un attacco di riflessione/amplificazione DDoS al DNS (Domain Name System)?

Gli attacchi di riflessione al DNS (Domain Name System) sono un tipo comune di vettore di attacco in cui criminali informatici o hacker eseguono lo spoofing dell'indirizzo IP della vittima per inviare grandi quantità di richieste ai server DNS aperti. A loro volta, questi server DNS rispondono alle richieste dannose fatte dall'indirizzo IP contraffatto, creando, così, un attacco al target prescelto attraverso un afflusso di risposte DNS. Il grande volume di traffico creato dalle risposte DNS sovraccarica molto rapidamente i servizi dell'organizzazione vittima, rendendoli non più disponibili e impedendo al traffico legittimo di raggiungere la destinazione prevista.

Il protocollo ICMP (Internet Control Message Protocol) viene usato principalmente per la messaggistica di errore e, in genere, non consente uno scambio di dati tra sistemi diversi. I pacchetti ICMP possono accompagnare i pacchetti TCP (Transmission Control Protocol) che consentono ai programmi applicativi e ai dispositivi di elaborazione di scambiarsi messaggi tramite una rete durante la connessione a un server. Un ICMP flood è un metodo di attacco DDoS per infrastrutture a 3 livelli che utilizza messaggi ICMP per sovraccaricare la larghezza di banda della rete presa di mira.

Gli attacchi ai protocolli tentano di consumare ed esaurire la capacità di elaborazione di varie risorse dell'infrastruttura di una rete, come server o firewall, attraverso richieste di connessione dannosa che sfruttano le comunicazioni con i protocolli. I SYN flood e lo Smurf DDoS sono due tipi comuni di attacchi DDoS basati su protocolli. È possibile misurare gli attacchi ai protocolli in pacchetti al secondo (pps) e bit al secondo (bps).

Uno dei principali metodi che hanno le persone per connettersi alle applicazioni Internet è tramite il protocollo TCP (Transmission Control Protocol). Questa connessione richiede un handshake a tre vie da un servizio TCP, come un server web, e comprende l'invio del cosiddetto pacchetto SYN (sincronizzazione), dal quale l'utente si connette al server. Quest'ultimo restituisce un pacchetto SYN-ACK (riconoscimento sincronizzazione), al quale infine si risponde con una comunicazione ACK (riconoscimento) finale per completare l'handshake del TCP.

Durante un attacco SYN flood, un client dannoso invia una grande quantità di pacchetti SYN (parte del solito handshake), ma non invia mai il riconoscimento per il completamento dell'handshake. Ciò fa restare il server in attesa di una risposta per queste connessioni TCP semiaperte, che finiscono con l'esaurire la capacità di accettare nuovi collegamenti per i servizi che monitorano gli stati di connessione. 

Un attacco SYN flood è come un terribile scherzo fatto dall'intera classe di maturandi di un liceo molto grande, in cui ogni studente chiama la stessa pizzeria e ordina una pizza in quello stesso lasso di tempo. Perciò, quando la persona che consegna va a organizzare il tutto, si accorge che ci sono troppe pizze da mettere in macchina e che sull'ordine non è indicato alcun indirizzo: tutta la consegna è in sospeso.

Il nome di questo attacco DDoS si basa sul concetto che tanti piccoli malintenzionati possono sopraffare un nemico molto più potente grazie al volume di traffico, proprio come la colonia fittizia di piccoli umanoidi blu che danno il nome all'attacco, i Puffi (Smurf).

In un attacco Smurf DDoS (Distributed Denial-of-Service), grandi quantità di pacchetti ICMP (Internet Control Message Protocol) con l'IDP di origine contraffatto dell'obiettivo preso di mira vengono trasmesse a una rete informatica tramite un indirizzo broadcast IP. Per impostazione predefinita, la maggior parte dei dispositivi di una rete risponderà all'indirizzo IP sorgente. A seconda del numero di macchine sulla rete, il computer della vittima potrebbe subire rallentamenti fino a soccombere sotto il peso del traffico.

Sferrati sobbarcando le applicazioni di richieste dannose, gli attacchi a livello di applicazione vengono misurati in richieste al secondo (RPS). Anche detti attacchi DDoS di livello 7, questi attacchi prendono di mira e distruggono applicazioni web specifiche e non intere reti. Seppure siano difficili da prevenire e mitigare, sono tra gli attacchi DDoS più semplici da sferrare.

Per contro, è facile spaventare una mandria di cavalli e farla correre via, ma quasi impossibile poi ripristinare l'ordine. Gli attacchi a livello di applicazione sono proprio così: facili da implementare, difficili da rallentare o arrestare e specifici per il target.

Con un runbook e una solida strategia contro gli attacchi DDoS, le organizzazioni possono proteggersi e limitare le interruzioni da essi derivanti. La protezione delle soluzioni basate su cloud contro gli attacchi DDoS ad alta capacità, elevate performance e always-on può impedire che il traffico dannoso raggiunga un sito web o interferisca con la comunicazione tramite un'API web. Un servizio di scrubbing basato sul cloud può mitigare rapidamente gli attacchi che mirano alle risorse non web, come l'infrastruttura di rete, su vasta scala.

Nell'ambito di un panorama di attacchi in costante evoluzione, la protezione dagli attacchi DDoS attraverso un provider per la mitigazione che adotti un approccio di difesa approfondita, può tenere al sicuro organizzazioni e utenti finali. Un servizio di mitigazione degli attacchi DDoS individuerà e bloccherà gli attacchi DDoS il prima possibile, in teoria, in zero secondi o poco più a partire dal momento in cui il traffico di attacco raggiunge i centri di scrubbing del provider di mitigazione. Poiché i vettori di attacco continuano a cambiare con una portata sempre maggiore, per ottenere il miglior livello di protezione dagli attacchi DDoS, un provider deve continuamente investire nelle capacità di difesa. Per tenere il passo con gli attacchi più ampi e complessi, sono necessarie le tecnologie giuste a rilevare traffico dannoso e intraprendere solide contromisure di difesa per mitigare rapidamente gli attacchi.

I provider di mitigazione degli attacchi DDoS filtrano il traffico dannoso per evitare che raggiunga la risorsa presa di mira. Il traffico di attacco viene bloccato da un servizio di scrubbing DDoS, un servizio DNS basato sul cloud oppure un servizio di protezione del web basato su CDN. La mitigazione basata sul cloud rimuove il traffico di attacco ancora prima che raggiunga la destinazione.

Lo scrubbing DDoS può mantenere operative le attività o i servizi online anche durante un attacco. Al contrario di una mitigazione basata su CDN, un servizio di scrubbing DDoS è in grado di offrire protezione su tutte le porte, i protocolli e le applicazioni di un data center, compresi i servizi web e basati su IP. 

Le organizzazioni indirizzano il traffico di rete in uno di questi due modi: tramite la modifica delle informazioni di routing del protocollo BGP (Border Gateway Protocol) oppure un reindirizzamento del DNS (un record o CNAME) all'infrastruttura di scrubbing del provider di mitigazione. Il traffico viene monitorato e analizzato, per ricercare attività dannose e la mitigazione si applica al rilevamento degli attacchi DDoS. In genere, questo servizio può essere reso disponibile sia in configurazioni On Demand che sempre attive, a seconda della strategia di sicurezza preferita di un'organizzazione, anche se un numero più alto che mai di organizzazioni sta passando a un modello di implementazione continuo, data la sua risposta difensiva più rapida.

Una rete per la distribuzione dei contenuti (CDN) avanzata adeguatamente configurata può aiutare a difendersi dagli attacchi DDoS. Quando un provider di servizi di protezione per i siti web utilizza la sua CDN per accelerare in maniera specifica il traffico tramite protocolli HTTP e HTTPS, tutti gli attacchi DDoS mirati a quel dato URL possono poi essere interrotti sull'edge della rete. 

Ciò significa che gli attacchi DDoS di livello 3 e 4 vengono mitigati in maniera istantanea, poiché questo tipo di traffico non è destinato alle porte web 80 e 443. Come un proxy basato su cloud, la rete è posta prima dell'infrastruttura IT del cliente e distribuisce il traffico dagli utenti finali ai siti e alle applicazioni web aziendali. Poiché queste soluzioni funzionano in linea, le risorse esposte al web sono protette sempre, senza alcun intervento umano da parte degli attacchi DDoS a livello di rete. 

Per una difesa specifica a livello di applicazione, le organizzazioni dovrebbero cercare di implementare un Web Application Firewall per risolvere i problemi causati dagli attacchi avanzati, compresi alcuni tipi di attacchi DDoS come richieste http, HTTP GET e HTTP POST flood, mirati a interrompere i processi del livello 7, quello delle applicazioni, del modello OSI.

Le organizzazioni possono ridurre la propria superficie di attacco, diminuendo, al tempo stesso, il rischio di downtime e interruzioni che influenzano le attività aziendali, grazie a controlli di cybersicurezza specifici per attacchi DDoS. Questo tipo di difesa può contrastare un attacco consentendo, al contempo, ai visitatori legittimi di accedere alla propria organizzazione online, come farebbe di solito. La protezione dagli attacchi DDoS impedisce al traffico dannoso di giungere a destinazione, limitando l'impatto dell'attacco e consentendo al traffico normale di passare, per lavorare come di consueto.

Durante la mitigazione, il vostro provider di protezione dagli attacchi DDoS implementerà una sequenza di contromisure atte ad arrestare e ridurre l'impatto di un attacco DDoS (Distributed Denial-of-Service). Con i moderni attacchi che diventano più avanzati, la protezione offerta dalla mitigazione degli attacchi DDoS basata sul cloud aiuta a fornire un grado di sicurezza basato su una difesa approfondita su vasta scala, mantenendo disponibili i servizi dell'infrastruttura di back-end e su Internet e garantendo prestazioni ottimali.

Con i servizi di protezione contro gli attacchi DDoS le organizzazioni sono in grado di:

• Ridurre la superficie di attacco e i rischi aziendali associati agli attacchi DDoS
• Impedire downtime che influenzano le attività aziendali
• Difendersi dall'interruzione delle pagine web
• Aumentare la velocità di risposta a un evento DDoS e ottimizzare le risorse di risposta a un incidente
• Abbreviare il tempo richiesto per la comprensione e l'analisi dell'interruzione di un servizio
• Evitare la perdita di produttività dei dipendenti
• Implementare più rapidamente contromisure per difendersi da un attacco DDoS
• Evitare danni alla reputazione del brand e alla redditività
• Mantenere costanti le performance e i tempi di attività delle applicazioni in tutto il patrimonio digitale
• Ridurre al minimo i costi associati alla sicurezza web
• Proteggersi dalle nuove minacce in continua evoluzione, dagli attacchi a scopo di estorsione e dai ransomware

Akamai fornisce un'approfondita protezione dagli attacchi DDoS attraverso una mesh trasparente di sistemi di difesa dedicati dell'edge, del DNS distribuito e dello scrubbing su cloud. Questi servizi sul cloud appositamente studiati sono concepiti per rafforzare le strategie di sicurezza DDoS, riducendo, al contempo, le superfici di attacco, migliorando la qualità della mitigazione e riducendo i falsi positivi, aumentando, così, la resilienza rispetto agli attacchi più vasti e complessi.

Inoltre, è possibile ottimizzare le soluzioni in base ai requisiti specifici delle applicazioni web e dei servizi basati su Internet.

Akamai ha progettato la piattaforma edge e cloud più distribuita al mondo come un proxy inverso che accetta il traffico solo tramite le porte 80 e 443. Tutti gli attacchi DDoS a livello di rete vengono subito interrotti sull'edge grazie ad uno SLA (accordo sul livello di servizio) immediato. Ciò significa che gli autori degli attacchi DDoS a livello di rete non hanno alcuna possibilità di successo.

Per gli attacchi DDoS a livello delle applicazioni, compresi quelli sferrati tramite le API, Kona Site Defender rileva e mitiga gli attacchi, garantendo, al tempo stesso, l'accesso agli utenti legittimi.

Il servizio DNS autoritativo di Akamai, Edge DNS, filtra anche il traffico sull'edge. A differenza di altre soluzioni DNS, Akamai ha progettato Edge DNS specificamente per offrire caratteristiche di disponibilità e resilienza contro gli attacchi DDoS. Edge DNS assicura, inoltre, performance superiori con ridondanze delle architetture a più livelli, inclusi server dei nomi, punti di presenza, reti e persino cloud IP anycast segmentati.