Attacchi DoS e DDoS: schemi e contromisure

Un servizio non disponibile viene indicato in informatica con l’avviso “Denial of Service” (DoS). Simili interruzioni di servizio si verificano solitamente in concomitanza di un sovraccarico di un componente dell’infrastruttura IT. Se questa situazione viene provocata volontariamente da agenti esterni, si parla di attacchi DoS, con cui gli hacker inviano intenzionalmente a un sistema target più richieste di quante ne possa rispondere. Dunque è possibile tempestare dispositivi di rete, sistemi operativi o singoli servizi in modo che non siano più in grado di rispondere alle richieste normali, o che lo facciano solo con grande ritardo.

Un simile procedimento risulta particolarmente efficace, quando un sistema deve gestire delle richieste provenienti da diversi computer. Diversamente dagli attacchi DoS, quelli DDoS si appoggiano su un’estesa rete di botnet.

Attacchi DDoS: attacchi DoS in grande

Con “Distributed Denial of Service” (DDoS) si indica una forma comune di attacco DoS, in cui i cybercriminali non sferrano i propri attacchi da un unico computer, ma sovraccaricano i sistemi target con più richieste provenienti da computer diversi e appartenenti ad una botnet più ampia. Con un’interconnessione di questo tipo, tra i computer si genera molto più traffico rispetto ai semplici attacchi DoS, che vengono invece eseguiti da un unico sistema.

Le conseguenze degli attacchi DDoS sui computer coinvolti sono perciò notevoli e ci sono poche probabilità di scovare il punto di origine reale degli attacchi. Infatti gli hacker che creano botnet di questo tipo si servono di software specifici, che sono collocati in rete su computer poco protetti, ad insaputa degli amministratori, e gestiti centralmente. Spesso “un’infezione” di questo tipo avviene già mesi prima che si verifichi l’attacco DDoS vero e proprio.

Definizione

Nell’Information Technology il termine DDoS (Distributed Denial of Service) indica la non disponibilità di un servizio in seguito a un elevato numero di richieste. Solitamente l’irraggiungibilità di un servizio di questo tipo è riconducibile a un attacco mirato che prende anche il nome di attacco DDoS. In linea di principio DDoS può anche risultare da un sovraccarico temporaneo e non intenzionale di risorse.

Come si presenta un attacco DDoS?

Alla base di ogni attacco DDoS si trova una grande rete di computer, che in linea teorica può anche essere di possesso dell’hacker. Nella prassi tuttavia si tratta quasi sempre delle già nominate botnet, composte da migliaia di computer. Questi computer sono infettati con malware che consentono ai cybercriminali di accedere da remoto senza farsi notare. Recentemente giocano un ruolo importante anche i dispositivi IoT (Internet of Things), come router, videocamere di sorveglianza o videoregistratori digitali, usati indebitamente come bot.

Servendosi della giusta rete di computer, l’hacker riesce a realizzare l’attacco DDoS pianificato con facilità. Infatti per raggiungere il suo scopo, ovvero rendere irraggiungibile il servizio preso di mira, ha bisogno solo di un adeguato punto di attacco all’interno del sistema o della rete della vittima. Non appena trova una simile backdoor, può inviare i comandi necessari ai bot per avviare gli attacchi DDoS a un determinato orario. Nei paragrafi seguenti scoprite quali diversi tipi di azioni e di schemi di attacco vengono utilizzati tramite bot controllati a distanza.

Quali tipi di attacchi DDoS esistono?

A differenza di altre azioni nocive compiute dai cyber criminali, lo scopo principale degli attacchi DDoS non è quello di infiltrarsi nel sistema. Tuttavia possono far parte un simile attacco  hacker ad esempio quando viene bloccato un sistema, per distogliere l’attenzione dall’attacco su un altro sistema. Se la capacità di reazione di un server viene rallentata da attacchi DoS e DDoS, gli hacker hanno la possibilità di manipolare le richieste inviate al sistema sovraccarico. Le strategie alla base di attacchi simili si dividono in tre categorie:

  • sovraccarico della banda larga;
  • sovraccarico delle risorse del sistema;
  •  sfruttamento di errori nei software e delle falle di sicurezza.

Sovraccarico della banda larga

Il sovraccarico della banda larga ha come obiettivo quello di rendere un computer non raggiungibile. In questo caso gli attacchi DoS e DDoS si indirizzano direttamente alla rete e ai relativi dispositivi connessi, così un router può ad esempio elaborare contemporaneamente solo una certa quantità di dati e se questa capacità viene sfruttata completamente con un attacco, i servizi che offre non sono più disponibili per gli altri utenti. Un attacco DDoS classico che haon l’obiettivo di sovraccaricare la banda larga del sistema è l’attacco Smurf.

  • L’attacco Smurf: questi attacchi DDoS sfruttano “l’Internet Control Message Protocol” (ICMP), che serve per allo scambio di informazioni e messaggi di errore nelle reti server. In questo caso un hacker invia un pacchetto ICMP falso di un’echo request (ping) all’indirizzo di broadcast di una rete di computer e utilizza l’IP del target come mittente. Partendo dal router della rete, la richiesta di broadcast viene inoltrata a tutti i dispositivi collegati, per spingere ognuno di questi a inviare una risposta all’indirizzo del mittente (pong). Una rete vasta con molti dispositivi collegati può danneggiare notevolmente la banda larga del computer preso di mira.

Sovraccarico delle risorse del sistema

Se un attacco DDoS mira alle risorse del sistema, gli hacker sfruttano il fatto che un server web server può instaurare solo un numero limitato di connessioni. Se questo numero viene raggiunto con l’invio di richieste insensate o invalide, i servizi messi a disposizione dal server risulteranno bloccati per gli utenti normali: in questo caso si parla di flooding (inondazione). Classici schemi di attacco DDoS a livello delle risorse di sistema sono HTTP flood, ping flood, SYN flood e UDP flood.

  • HTTP flood: in questa semplice variante di attacco DDoS che mira a sovraccaricare le risorse di sistema, l’hacker inonda il server web target con molte richieste HTTP. Per raggiungere questo obiettivo deve solo aprire le pagine del sito target fino a quando il server non risulterà più raggiungibile a causa del sovraccarico generato dalle numerose richieste.
     
  • Ping flood: anche in questo schema di attacco i cyber criminali si servono dei pacchetti ICMP dell’echo request, che vengono solitamente inviati in massa agli obiettivi di attacco usando le botnet. Il ping flood rallenta in particolar modo i sistemi lenti perché le richieste (ping) generate dal sistema target devono essere risposte con un pacchetto (pong), processo che quindi consuma le risorse disponibili.
     
  • SYN flood: questo schema di attacco rappresenta un abuso della procedura TCP Threeway Handshake. Il protocollo di rete TCP (“Transmission Control Protocol”) si occupa di garantire insieme all’IP un traffico dati di rete senza perdite, che si verifica instaurando una connessione TCP costituita da un’autenticazione in tre passaggi. In questo caso specifico, un client invia un pacchetto di sincronizzazione (SYN) a un server, che lo accetta e che reinvia a sua volta un altro messaggio SYN e uno di risposta (ACK). La connessione viene chiusa da una conferma lato client (ACK). Se la risposta non arriva a destinazione, i sistemi si possono paralizzare, visto che il server conserva connessioni non concluse nella RAM. Se arrivano molte di queste connessioni semiaperte provocate da un attacco SYN flood, le risorse del server risulteranno completamente occupate.
     
  • UDP flood: per questo attacco i cyber criminali si basano sul protocollo connectionless “User Datagram Protocol ” (UDP). Al contrario di una trasmissione via TCP, i dati possono anche essere trasmessi tramite UDP senza che si instauri una connessione. Nell’ambito degli attacchi DoS e DDoS, i pacchetti UDP vengono quindi inviati in grandie quantità a porte scelte casualmente del sistema target, che cerca invano di individuare quale applicazione è in attesa dei dati trasmessi e reinvia perciò al mittente un pacchetto ICMP con il messaggio “Indirizzo di destinazione non raggiungibileto”. Se un sistema viene sovraccaricato con molte richieste di questo tipo ne deriva uno sfruttamento delle risorse, che comporta una disponibilità limitata per gli utenti normali.

Sfruttamento di errori nei software e delle falle di sicurezza

Se un hacker è a conoscenza di determinate falle di sicurezza di un sistema operativo o di un programma, si possono sferrare attacchi DoS e DDoS, per fare in modo che le richieste provochino errori nei software o crash di sistema. Alcuni esempi di schemi di attacco simili sono gli attacchi Ping of Death e Land.

  • Ping of Death: questo schema di attacco ha l’obiettivo di portare il sistema colpito a un crash. Gli hacker traggono quindi vantaggio da un errore di implementazione dell’IP (Internet Protocol), dove i pacchetti IP vengono generalmente inviati sotto forma di frammenti. Se vengono anche inviate informazioni errate per la ricostruzione dei pacchetti, alcuni sistemi operativi vengono ingannati e generanor pacchetti IP che più grandi delle dimensioni massime consentite di 64 KB. Questo può portare ad un “buffer overflow” perché è stata creata una quantità di dati troppo grande, che supera le dimensioni consentite dallo spazio messo a disposizione dal sistema vittima dell’attacco.
     
  • Attacchi Land: in un attacco Land un hacker invia un pacchetto SYN nell’ambito di un TCP Threeway Handshake (vedi sopra), dove gli indirizzi del mittente e del destinatario corrispondono al server che deve essere attaccato. Ne consegue che il server spedisce a se stesso la risposta ad una richiesta sotto forma di un pacchetto SYN/ACK, procedura che può essere interpretata come una nuova richiesta di connessione, a cui va di nuovo risposto con un pacchetto SYN/ACK. Così si verifica una situazione in cui il sistema risponde continuamente alle sue stesse richieste, sfruttando enormemente il sistema fino ad arrivare a provocarne un crash.

Come si possono respingere e ridurre gli attacchi DDoS?

Per contrastare un sovraccarico dei sistemi informatici causati da attacchi DoS e DDoS, sono state sviluppate diverse misure di sicurezza. Tra le soluzioni da impiegare rientrano l’identificazione di indirizzi IP critici e la risoluzione di falle di sicurezza conosciute. Inoltre, di regola sarebbe meglio mettere a disposizione delle risorse hardware e software con cui sia possibile compensare gli attacchi di portata minore.

  • Blacklist degli IP: le blacklist permettono di identificare gli indirizzi IP critici e di rifiutare direttamente i pacchetti. Questa misura di sicurezza si può realizzare manualmente o automaticamente, impostando la generazione dinamica di blacklist attraverso il firewall.
     
  • Filtraggio: per filtrare pacchetti insoliti è possibile stabilire dei limiti per la trasmissione di dati in un determinato intervallo di tempo. Bisogna però fare attenzione che i proxy non portino a far registrare molti client su un server con lo stesso indirizzo IP e vengano perciò bloccati senza motivo.
     
  • SYN cookie: i SYN cookie si occupano di individuare le falle di sicurezza nell’instaurazione di una connessione TCP. Se viene utilizzata questa misura di sicurezza, le informazioni inviate dai pacchetti SYN non vengono più salvate sul server, ma inviate al client come crypto-cookie. Infatti gli attacchi SYN flood richiedono l’utilizzo delle risorse del computer ma non sovraccaricano la memoria del sistema target.
     
  • Load Balancer: una contromisura efficace contro il sovraccarico è la distribuzione del carico su diversi sistemi, come avviene grazie al Load Balancing, dove le richieste vengono distribuite su più macchine fisiche per evitare lo sfruttamento dell’hardware dei servizi messi a disposizione. Così è possibile compensare in parte gli attacchi DoS e DDoS.

Volete disporre del massimo della sicurezza per il vostro sito? Trovate maggiori informazioni sulla pagina dedicata ai certificati SSL di 1&1, che vi permetteranno anche di aumentare la fiducia degli utenti nei confronti della vostra pagina.