Un attacco DDoS, abbreviazione di attacco distribuito di negazione del servizio, è un tentativo di sovraccaricare un sito web o un servizio con un quantitativo talmente massiccio di traffico da rallentarne o fermarne del tutto il funzionamento. Invece di irrompere in un sistema, chi pianifica l'attacco fa in modo di bloccarlo. Per chiunque gestisca un sito web ciò può significare perdere molte vendite, clienti frustrati, e ore di interruzione, oltre che un danno reputazionale.
Contenuti:
La portata di questi attacchi è in continuo aumento. Nel suo report sulle minacce nel terzo trimestre 2025, Cloudflare ha documentato il blocco di 5,9 milioni di attacchi DDoS, aumentati dell'87% su base trimestrale e del 95% su base annuale. L'AI sta accelerando questo scontro da entrambi i lati. Chi pianifica un attacco utilizza l'automazione per adattarsi rapidamente e chi si difende usa i sistemi machine-driven per rilevare e fermare gli attacchi nel giro di pochi secondi. Per comprenderne l'importanza, è utile considerare come funzionano gli attacchi DDoS e perché rimangono uno dei modi più usati per mettere un servizio fuori uso.
Come funziona un attacco DDoS, e in cosa si differenzia da un attacco DoS?
Un attacco DDoS consiste nello spingere un sistema oltre i suoi limiti operativi. Ogni sito web funziona su server che accettano richieste (carica questa pagina, elabora questo pagamento, recupera questo file, ecc.) e restituiscono una risposta. Ogni richiesta consuma una piccola quantità di banda e di potenza di calcolo. In condizioni normali, questo carico è prevedibile. Un attacco DDoS sconvolge deliberatamente questo equilibrio.
I criminali informatici iniziano componendo una rete di dispositivi violati, chiamata spesso botnet. In una botnet, i malintenzionati sfruttano il malware per infettare normali computer, server in cloud, o dispositivi connessi a internet, in modo da fargli ricevere istruzioni in remoto. In un dato momento, a questi dispositivi viene detto di indirizzare il traffico verso un unico obiettivo. Può trattarsi di semplici richieste di connessione, caricamenti ripetuti di pagine, o pacchetti di dati studiati al fine di esaurire la capacità di rete.
Man mano che le richieste si accumulano, le risorse dell'obiettivo iniziano a esaurirsi. Larghezza di banda esaurita significa che gli utenti autorizzati non possono più scambiare dati al suo interno. I processori dei server girano a mille, nel tentativo di rispondere a ogni richiesta. Le tabelle di connessione, essenzialmente sale d'attesa per le sessioni aperte, raggiungono la massima capacità. Una volta raggiunti questi limiti, il sistema rallenta drammaticamente o smette del tutto di rispondere. Dall'esterno, assomiglia a un crash. Ma in realtà il servizio funziona ancora, solamente è troppo impegnato a gestire un traffico malevolo per servire i suoi veri utenti.
Attacchi DDoS e DoS a confronto: qual è la differenza?
Un attacco di negazione del servizio, o attacco DoS, proviene da un'unica fonte. Una macchina genera sufficiente traffico da mandare in sovraccarico il suo obiettivo. Questa fonte può essere spesso identificata e bloccata.
Un attacco DDoS, come descritto, diffonde la sua carica tra molte fonti contemporaneamente. Il traffico può derivare da migliaia di indirizzi IP in diverse regioni. Il blocco di un singolo IP risulta inefficace, poiché il flusso rimanente continua inalterato. La distribuzione rende più difficile filtrare e aumenta il rischio di bloccare per errore utenti legittimi. Per questo motivo gli attacchi DDoS, rispetto ai semplici attacchi DoS, dominano il l'attuale panorama degli attacchi.
Migliora la tua sicurezza online
Conserva e gestisci in totale sicurezza i tuoi preziosi beni digitali
Scegli NordPassI 3 tipi più comuni di attacchi DDoS
I tipi di attacchi DDoS si distinguono soprattutto per i punti su cui intervengono più massicciamente. Alcuni sovraccaricano di traffico una rete o interferiscono con la capacità dei sistemi di accettare connessioni. Altri si concentrano su specifiche parti di un sito, che richiedono maggiore potenza di calcolo. In molti attacchi DDoS reali, questi metodi si sovrappongono. Comprendere le differenze aiuta a capire perché per una mitigazione occorre di più che bloccare il traffico.
Attacchi DDoS volumetrici
Gli attacchi DDoS volumetrici fanno affidamento sul volume di traffico grezzo. Il criminale informatico invia enormi quantità di dati verso un obiettivo fino a quando la larghezza di banda disponibile non si esaurisce. Una volta raggiunto quel limite, gli utenti legittimi non potranno accedere al sito perché la connessione stessa sarà sovraccarica.
Questi attacchi DDoS sono di norma alimentati dalle botnet. Il volume combinato richiesto può raggiungere livelli ben superiori ai normali picchi. Il risultato è immediato: il sito diventa irraggiungibile perché la rete non può sopportare ulteriori dati.
Attacchi DDoS di protocollo
Gli attacchi DDoS di protocollo sono mirati al modo in cui i sistemi stabiliscono e mantengono le connessioni. Ogni volta che un utente visita un sito, il server accantona un piccolo quantitativo di memoria e di capacità di elaborazione per gestire la sessione. Questo processo garantisce che la connessione sia completata in modo adeguato.
In un attacco DDoS basato su protocollo, il criminale informatico invia numerosissime richieste di connessione incomplete o manipolate. Il server alloca le risorse a ciascuno e attende. Man mano che gli slot riservati si riempiono, rimangono sempre meno risorse disponibili per gli utenti legittimi. Addirittura, nuove connessioni falliscono o scadono.
Attacchi DDoS a livello di applicazione
Gli attacchi DDoS a livello di applicazione si concentrano sulle funzioni di siti web specifici invece che sulla rete nel suo insieme. Elementi quali barre di ricerca, moduli di accesso e pagine di checkout spesso richiedono più lavoro di elaborazione rispetto al caricamento di una pagina statica.
Negli attacchi a livello di applicazione, il criminale informatico prende di mira ripetutamente quegli elementi che richiedono molte risorse. Ogni richiesta forza il server a eseguire interrogazioni sul database, verificare credenziali, o generare contenuto dinamico. I livelli di traffico potrebbero non apparire così intensi, ma il carico affidato al sistema è sproporzionato. Le performance peggiorano e nei casi più gravi, l'applicazione diventa indisponibile.
Gli attacchi a livello di applicazione sono spesso più difficili da rilevare, in quanto il traffico può assomigliare al comportamento degli utenti legittimi. Per questa ragione, sono comuni negli attacchi DDoS più recenti, soprattutto se abbinati a tecniche volumetriche o di protocollo in una campagna coordinata, multivettoriale.
Il ruolo dell'AI negli attacchi DDoS
Gli attacchi DDoS sono sempre stati incentrati sullo sfruttamento, utilizzando uno sforzo minimo per provocare un'interruzione massiccia. L'avvento dell'intelligenza artificiale modifica la portata e la velocità di tale sfruttamento. Consente ai criminali informatici di adeguarsi in tempo reale e costringere chi si difende a rispondere in tempi rapidissimi.
AI offensiva: più veloce e adattiva
L'AI modifica il modo in cui funzionano gli attacchi DDoS. Invece di un semplice attacco di forza bruta, i criminali informatici possono adattare le tattiche, imitare gli utenti legittimi, e prendere di mira le debolezze specifiche.
Tattiche adattive
Gli attacchi DDoS tradizionali spesso fanno affidamento su metodi prestabiliti, inondando la rete o sovraccaricando uno specifico servizio. I sistemi AI-driven possono testare le difese in tempo reale e passare da una tecnica a un'altra in caso di blocco. Se un vettore viene filtrato, il traffico si sposta a un altro. Quello che inizia come un attacco UDP flood (user datagram protocol) può evolvere in un attacco di tipo DNS flood o basato su HTTP nel giro di pochissimi secondi.
Mimica umana
Gli attacchi a livello di applicazione DDoS tentano sempre più di assomigliare ad attività di utenti normali. Gli strumenti AI possono generare modelli di traffico che assomigliano a comportamenti di navigazione reali, variando la tempistica delle richieste, ruotando gli agenti utente, o anche simulando i modelli di spostamento del cursore, in alcuni casi. Quanto più il traffico malevolo assomiglia agli utenti legittimi, tanto più diventa difficile per i tradizionali filtri rule-based distinguere tra i due.
Scansioni chirurgiche
L'AI può essere utilizzata per identificare specifici punti deboli prima del lancio di un attacco DoS. Invece di sovraccaricare un intero sito, i criminali informatici analizzano quali endpoint consumano molte risorse o non sono aggiornati. Un attacco mirato contro un login vulnerabile o una funzione di ricerca possono arrecare danno quanto una "inondazione" (flood) di dimensioni molto maggiori. Ciò riduce il quantitativo di traffico necessario e le possibilità di rilevamento immediato.
AI difensiva: rilevamento a velocità macchina
L'AI sta anche cambiando il modo in cui gli attacchi DDoS vengono rilevati e contenuti. Le moderne difese fanno affidamento sull'analisi automatizzata e su una rapida mitigazione per identificare un traffico anomalo e intervenire prima che la minaccia si diffonda.
Analisi comportamentale
I sistemi avanzati di mitigazione dei DDoS fanno meno affidamento su regole statiche e più sul riconoscimento di pattern. Invece di bloccare unicamente il traffico mediante indirizzo IP o soglie di volume, i modelli di AI stabiliscono un livello basale di comportamento normale: in che modo gli utenti di norma accedono a un sito, con che frequenza si verificano le richieste, e quali pattern si prevedono. Quando il traffico subisce deviazioni in modo subdolo ma consistente, il sistema lo segnala e applica un filtro. Queste anomalie possono essere troppo piccole o troppo veloci per essere intercettate in tempo reale da un controllore umano.
Mitigazione "sub-minute"
Al giorno d'oggi la velocità incide sull'impatto. Molti attacchi DDoS durano solo alcuni minuti, a volte anche solo pochi secondi, eppure l'interruzione può durare molto più a lungo. I sistemi automatici di mitigazione possono reindirizzare il traffico sospetto attraverso "scrubbing center", applicare limitazioni di portata, o distribuire il carico tra reti globali in meno di un minuto. L'intervento umano da solo non è in grado di reagire a quel ritmo. La risposta deve essere continua e autonoma.
Da cosa capire se il proprio sito o servizio online sono sotto attacco
La maggior parte degli attacchi DDoS avviene senza preavviso. Inizialmente appaiono come un guasto ordinario o un rallentamento temporaneo. Gli aspetti caratterizzanti sono il modello e la persistenza. Se per lavoro gestisci o fai affidamento su un sito, alcuni segnali di avviso dovrebbero metterti in guardia.
Tempi di uploading eccezionalmente lenti. Se il tuo sito diventa improvvisamente lento senza un corrispondente aumento della domanda legittima, questo è spesso un primo segnale. Pagine che di solito si caricano in pochi secondi iniziano a bloccarsi. I pannelli di controllo amministratore che paiono non rispondere. Se la performance cala in modo generalizzato, gli attacchi DDoS dovrebbero essere nella tua checklist di possibili cause.
Impossibilità di accedere al sito. Un segnale più visibile è la totale impossibilità di caricare il sito. Gli utenti possono visualizzare errori come “503 servizio non disponibile” o messaggi generici di timeout. Se il provider che ospita il tuo sito riferisce che il server stesso è ancora online ma il traffico non può essere elaborato, un attacco DoS diventa una possibile spiegazione.
Un'impennata improvvisa nel traffico proveniente da una regione. Se hai accesso alle analitiche o ai log di hosting, esamina da dove provengono le richieste. Un brusco aumento del traffico proveniente da una singola località, soprattutto una località che ha poco a che vedere con il tuo pubblico usuale, può indicare un'attività coordinata. In molti attacchi DDoS, il traffico appare concentrato o inusuale in origine.
Una scarsa performance all'interno della tua rete. Gli attacchi DDoS non sempre sono mirati alle grandi aziende. Se la tua rete locale o aziendale improvvisamente rallenta per numerosi servizi, e il tuo internet provider conferma l'assenza di anomalie importanti, un traffico in ingresso eccessivo potrebbe essere uno dei fattori da considerare. I router e l'hardware destinato al consumo faticano a tenere il passo con un carico di dati sostenuto.
Nessun sintomo preso singolarmente dimostra la presenza si attacchi DDoS in corso. Una performance rallentata può avere più cause. Ciò che distingue un attacco denial-of-service è un traffico stranamente intenso associato a un'interruzione di servizio.
Come proteggere te e il tuo business da attacchi DDoS
Ecco alcuni suggerimenti per proteggere te e il tuo business da un attacco DDoS.
Utilizzare una content delivery network (CDN)
Una content delivery network funziona come buffer tra il tuo sito e la rete internet pubblica. Invece di inviare tutto il traffico direttamente al tuo server d'origine, richiede innanzitutto di passare attraverso una rete distribuita di edge server, ovvero computer specializzati posizionati fisicamente vicino agli utenti o alle fonti di dati.
Questa distribuzione è importante. Quando gli attacchi DDoS tentano di sovraccaricare un singolo server, una CDN diffonde il traffico in ingresso tra diverse location. Le grandi reti dispongono anche di una maggiore capacità di banda rispetto a una configurazione di hosting indipendente. Se il traffico aumenta, la rete può assorbirlo e distribuirlo, invece di consentire il crollo in un singolo punto.
Le CDN memorizzano anche i contenuti statici, riducendo la frequenza con cui il server d'origine deve rispondere direttamente. Durante gli attacchi DDoS volumetrici, tale riduzione nel carico di lavoro può mantenere online i servizi essenziali.
Sfruttare un web application firewall (WAF)
Un web application firewall, ovvero un firewall per applicazioni web, è posto davanti al tuo sito per filtrare le richieste in ingresso. Pensalo come un custode che valuta il traffico prima che raggiunga la tua applicazione.
I sistemi WAF odierni esaminano i pattern di richiesta, le intestazioni e i comportamenti. Possono applicare limitazioni di portata per diminuire il numero di richieste che una singola fonte può porre in un determinato periodo di tempo. Possono bloccare firme malevole note e sfidare sessioni sospette con passaggi di verifica.
Per gli attacchi a livello di applicazione in particolare, la prima linea di difesa è spesso costituita da un firewall in forma di applicazione web, che aiuta a distinguere tra utenti legittimi e abuso automatizzato, anche quando il traffico appare a prima vista normale.
Coordinazione con il proprio fornitore di servizi internet (ISP)
Gli ISP spesso offrono servizi di mitigazione dei DDoS, compreso il "traffic scrubbing" una tecnica di selezione del traffico. In un contesto di scrubbing, il traffico sospetto viene reindirizzato attraverso un'infrastruttura specializzata che filtra i pacchetti malevoli prima di inoltrare il traffico legittimo pulito alla tua rete.
Nei casi più gravi, i fornitori possono utilizzare tecniche come il "blackhole routing", che consiste nel bloccare temporaneamente il traffico diretto verso un obiettivo specifico per proteggere la rete principale. Questa misura è leggera, ma può impedire un danneggiamento più su larga scala.
Sta tutto nella coordinazione. Se gestisci servizi essenziali, parlane con il tuo provider prima che si verifichi un incidente. Impara quali opzioni di mitigazione hai a disposizione e con che velocità sei in grado di attuarle.
Esegui la manutenzione dei dispositivi
Gli attacchi DDoS sono alimentati da dispositivi violati. Un hardware con scarsa protezione della connessione internet come i router e le fotocamere sono spesso aggiunti alle botnet.
Mantieni il firmware aggiornato. Cambia le password assegnate di default. Disabilita l'accesso remoto non necessario. Usa Credenziali forti e univoche per ogni dispositivo e interfaccia amministrativa.
Il riciclo delle password rimane uno dei percorsi più semplici per attuare una violazione, in particolare tra strumenti interni e pannelli di infrastruttura (infrastructure panel). Un gestore di password come NordPass può contribuire a generare e memorizzare credenziali complesse a livello centralizzato, riducendo la dipendenza da password intuibili o duplicate.
Singolarmente, nessuna di queste misure garantisce immunità da attacchi DDoS, ma collettivamente possono ridurre l'esposizione e l'impatto.