L'interruzione del traffico su un server può avere conseguenze importanti. Con un attacco DDoS, i criminali informatici forzano i siti Web offline e li rendono inaccessibili. Inviando traffico gonfiato artificialmente, possono bloccare le app e persino chiudere i principali siti di notizie. Quindi, come funziona un attacco DDoS e come può essere prevenuto?
In un attacco DDoS (Distributed Denial of Service), l'autore tenta di causare così tante interruzioni su un sito o un'app che gli utenti previsti non sono in grado di accedervi. Questo può essere fatto sfruttando i punti deboli del sistema e travolgendo i server con enormi quantità di traffico.
La maggior parte degli attacchi DDoS comporta la creazione di una sorta di ingorgo online invalicabile. Ciò sovraccarica la capacità del sito di gestire richieste nuove e legittime.
Dai criminali informatici che prendono di mira le aziende ai governi che sabotano le app di messaggistica dei manifestanti, ci sono molti modi per lanciare questo tipo di attacco. Ad esempio, possono sfruttare bug di codifica o instradare il traffico attraverso una botnet. Tuttavia, l'obiettivo è sempre quello di interrompere e danneggiare le prestazioni di un server.
Che cos'è una botnet?
Una delle strategie DDoS più facili da comprendere è un attacco volumetrico, un metodo che si basa su una botnet. Si tratta di reti di dispositivi che possono essere utilizzati per inviare decine o addirittura centinaia di migliaia di richieste a un server.
Per creare una botnet, il malintenzionato forzerà malware su più dispositivi. Nella maggior parte dei casi, gli utenti non si renderanno nemmeno conto che i loro telefoni e laptop sono stati infettati. Questo può essere fatto attraverso il malvertising, email di phishing e altri metodi illeciti.
Una volta che qualcuno ha scaricato il malware dell'aggressore, il suo dispositivo è pronto per diventare parte di una botnet. L'hacker può lasciare questo software dannoso inosservato sul dispositivo fino all'eventuale attacco DDoS.
Quando è il momento giusto e un numero sufficiente di dispositivi è infetto dal malware, il malintenzionato può lanciare il proprio assalto a un server.
Per evitare che il tuo telefono o il laptop diventino parte di una botnet, ecco alcuni principi di base da seguire:
Vigila su email sospette che contengono link.
Evita di cliccare sugli annunci internet, anche se pubblicati su siti affidabili.
Utilizza un servizio come CyberSec per cercare contenuti ad alto rischio.
Aggiorna il tuo software ogni volta che puoi.
Diversi tipi di attacchi DDoS
Sebbene il risultato finale sia di solito lo stesso, ci sono molti modi diversi per mettere in scena un attacco DDoS.
SYN flood o attacco alla connessione TCP
Questa forma di attacco sfrutta la connessione handshake TCP. In un normale "handshake", il dispositivo di un utente invia una richiesta a un server che risponde preparando gli elementi della pagina richiesti. Successivamente, il server invia un messaggio al dispositivo dell'utente, confermando che è tutto pronto. Fondamentalmente, una terza comunicazione deve quindi viaggiare verso il server per completare il processo e caricare la pagina.
In un attacco DDoS, tuttavia, questo terzo passaggio viene omesso. Il server utilizza le sue risorse per preparare gli elementi della pagina, ma il messaggio finale essenziale non arriva mai per completare il processo. Viene invece avviato un altro handshake TCP, poi un altro e un altro ancora. Alla fine, il server spende tutte le sue risorse per preparare elementi della pagina che non vengono mai presentati all'utente. E poi si ferma.
Attacco a livello di applicazione
Gli attacchi a livello di applicazione, noti anche come attacchi di livello 7, non colpiscono un'intera rete o server, ma prendono di mira funzioni o elementi di pagina specifici di un sito. Sovraccaricando alcune funzionalità di una pagina, l'utente malintenzionato può causare l'arresto anomalo o il malfunzionamento di parti di un'applicazione.
Oltre ad avere un impatto dannoso sulle prestazioni di un sito, questo metodo è stato utilizzato in passato come tecnica di distrazione. Costringe i proprietari e i tecnici del sito a concentrarsi sulla funzione presa di mira, mentre si sta verificando un'altra violazione più grave sul server.
Attacco volumetrico
È qui che entra in gioco una botnet. L'utente malintenzionato attiverà il malware che ha diffuso su più dispositivi e indirizzerà un flusso di traffico attraverso ciascuno di essi. Questi attaccheranno il bersaglio con ondate di richieste simultanee.
Come suggerisce il nome, questo attacco riguarda l'enorme volume di utenti artificiali che cercano di accedere a un sito. Occupando tutta la larghezza di banda disponibile del server, l'utente malintenzionato può impedire a qualsiasi utente legittimo di raggiungere il sito, rendendolo inutilizzabile.
Attacco di frammentazione (o teardrop)
Quando le informazioni viaggiano tra siti Web e server, di solito vengono suddivise in pezzi più piccoli, inviate in "pacchetti" e quindi riassemblate dal destinatario. Questo può creare un'opportunità per un attacco di frammentazione, chiamato anche teardrop.
Gli aggressori inviano deliberatamente pacchetti di dati sovraccarichi, troppo grandi per essere riassemblati correttamente. Ciò sfrutta un bug nel codice di riassemblaggio IP in determinati sistemi e può rapidamente causare uno stato di negazione del servizio.
Come prevenire gli attacchi DDoS
Come spesso accade nella sicurezza informatica, sebbene non esista una bacchetta magica per fermare del tutto questi attacchi, c'è ancora molto che puoi fare. Seguendo le buone norme, un'attenta preparazione e una solida strategia di sicurezza, è possibile ridurre i rischi e mitigare i danni.
Creare canali di overflow
Inizia con la prevenzione. Assicurati di avere server alternativi in standby per gestire l'overflow, riducendo il rischio che uno di essi si arresti in modo anomalo. Costruire questi canali extra significa che, se livelli innaturalmente elevati di traffico inondano i server, il flusso può essere reindirizzato. Ciò consentirà di continuare le operazioni sul server principale in modo che gli utenti autentici possano ancora accedere al servizio.
Rimani aggiornato con gli aggiornamenti e le patch di sicurezza
Gli attacchi DDoS spesso sfruttano sistemi obsoleti e la mancanza di patch di sicurezza coerenti. A livello individuale, più persone aggiornano i propri dispositivi, meno probabilità ci saranno che vengano utilizzati in una botnet. Questo perché il malware utilizzato per queste operazioni spesso si basa su software obsoleti come punto di ingresso.
Metti un limite ai numeri di richiesta
Limita il numero di richieste accettate da un server alla volta. Con un limite rigido al numero di richieste che un server può elaborare, potrà bloccare l'attacco prima che diventi non operativo. Sebbene questo si tradurrà ancora in un denial of service temporaneo, sarà molto più facile riportare il tuo sito o la tua applicazione online.