I famigerati attacchi DDoS, tecniche di aggressione cyber piuttosto semplici da eseguire quanto efficaci, sono sempre più numerosi. Complice la pandemia, i tentativi ostili di bloccare l’operatività di server, reti e servizi crescono in numero e in volume. Ma cosa sono gli attacchi DDoS e come è possibile proteggersi da queste minacce?
Attacchi DDoS (Distributed Denial of Service), cosa sono
L’interruzione di servizio distribuita consiste nel sommergere di richieste un sito web o un servizio online, in modo da bloccarlo e renderlo irraggiungibile agli utenti e anche ai suoi stessi gestori.
I DDoS causano agli obiettivi danni ingenti, mettendo in crisi la continuità operativa di molte attività.
Ecco perché la protezione da queste minacce rappresenta un obiettivo primario per i CISO.
Come funzionano gli attacchi DDoS
Negli attacchi DDoS i malintenzionati puntano a compromettere infrastrutture critiche come aeroporti, ospedali, aziende e organizzazioni pubbliche bloccando le risorse di un sistema composto da una rete di server e computer connessi. Per farlo, solitamente viene utilizzato lo stratagemma di saturare la banda di comunicazione, inondando il network di un fiume di richieste d’accesso fasulle o incomplete provenienti simultaneamente da diverse macchine. Le macchine in questione generalmente fanno parte di una botnet, ovvero una rete di dispositivi e macchine infettate da malware e, dunque, controllabili remotamente dall’aggressore o dagli aggressori. Si tratta di una modalità di attacco piuttosto economica da mettere in pratica e soprattutto piuttosto efficace.
Tipologie di attacchi DDoS
In linea generale, gli attacchi DDoS possono essere suddivisi in tre tipologie:
- Attacchi volumetrici (volume based attack). Includono le inondazioni di traffico UDP (User Datagram P-rotocol), le inondazioni ICMP (Internet Control Message Protocol) e altri flooding di pacchetti contraffatti. L'obiettivo dell’attaccante è saturare la larghezza di banda del sito target.
- Attacchi di frammentazione (protocol attack). Includono tecniche di inondazione SYN (connessione iniziale), pacchetti frammentati, Ping of Death (pacchetti IP malformati) e altre ancora. Questo tipo di attacco consuma le risorse effettive del server o quelle degli apparati di comunicazione intermedi come firewall e bilanciatori di carico.
- Attacchi applicativi (application layer attack). Comprendono attacchi low and slow (invio di richieste incomplete), Http Flood GET o POST (richiesta di accesso a contenuti statici o dinamici), attacchi che prendono di mira le vulnerabilità di Apache, Windows o OpenBSD. Composto da richieste apparentemente legittime e innocenti, l'obiettivo di questi attacchi è mandare in crash il server web che gestisce siti e applicazioni online.
Fino a qualche anno fa, gli attacchi volumetrici erano i più comuni. Oggi, invece, numerosi attacchi DDoS combinano due o tre delle tipologie individuate, tanto che si parla di frequente di APT, ovvero minacce avanzate e persistenti.
L’aumento della complessità si associa a un allungamento dei tempi di rilevamento e a un incremento di diversi ordini di grandezza dei danni cagionati agli obiettivi.
Le tecniche d’attacco più diffuse
L’aumento progressivo degli endpoint connessi in rete sfruttabili come botnet - pc desktop, server, laptop, smartphone, modem, router, ma anche sensori e oggetti IoT - ha ampliato a dismisura la superficie esposta al pericolo di attacchi DDoS.
A facilitare la vita degli attacker ci sono anche le nuove abitudini lavorative, che per molti mesi hanno privilegiato lo smart working come modalità di lavoro prevalente.
I remote worker spesso operano all’interno di reti domestiche mal protette, facilitando il lavoro degli attaccanti che utilizzano diverse tecniche di attacco. Ecco alcune di quelle più diffuse:
- UDP Flood. L’attaccante inonda un bersaglio con pacchetti UDP (User Datagram Protocol), in modo da indebolire le risorse dell’host, causando l’inaccessibilità di un sito o di un servizio online.
- ICMP (ping) Flood. Simile al precedente, un Flood ICMP travolge la risorsa target con pacchetti ICMP Echo Request (ping), generalmente inviando i pacchetti il più velocemente possibile senza attendere risposte, consumando banda sia in uscita sia in entrata.
- SYN Flood. Un attacco DDoS SYN Flood sfrutta una debolezza nota nella sequenza di connessione TCP (Transmission Control Protocol) per mettere fuori uso un servizio Internet.
- Slowris. Questa tecnica mirata consente a un server Web di abbattere un altro server mantenendo aperte simultaneamente quante più connessioni HTTP possibili, causando la negazione di connessioni aggiuntive da parte di client legittimi.
- Inondazione HTTP. L’autore dell'attacco invia richieste HTTP (GET o POST) apparentemente legittime per attaccare un server Web o un'applicazione. L'attacco è più efficace quando costringe il server o l'applicazione ad allocare il massimo delle risorse possibili in risposta a ogni singola richiesta.
- Ping of Death (POD). Un attacco Ping of Death prevede che l'attaccante invii più ping non validi o dannosi a un computer o a un server, facendo traboccare i buffer di memoria e causando la negazione del servizio ai pacchetti di traffico legittimi.
- NTP Amplification. In questo caso l'autore sfrutta i server Network Time Protocol (NTP) accessibili pubblicamente per sopraffare i server web obiettivo, indondandoli con traffico UDP.
- Smurf DDoS. Gli attacchi Smurf sono simili agli attacchi POD, ma Smurf è un vettore di amplificazione che aumenta i danni causati sfruttando le caratteristiche proprie delle reti di trasmissione.
- Zero day. Questi attacchi sfruttano le vulnerabilità non ancora sanate di sistemi operativi e applicazioni che gestiscono servizi online e siti web.
Come difendersi dagli attacchi DDoS
La prevenzione dagli attacchi DDoS che prendono di mira le vulnerabilità delle applicazioni non può prescindere dalla capacità di creare infrastrutture web resilienti e scalabili. Infrastrutture in grado di garantire la continuità operativa anche in condizioni particolarmente critiche, come durante i picchi di traffico. La miglior protezione dagli attacchi volumetrici, invece, è rappresentata da servizi ad hoc erogati da Internet Service Provider e operatori specializzati, che in pratica “ripuliscono” tutto il traffico in ingresso inviando ai sistemi informatici aziendali solo quello lecito. Gli attacchi più complessi, infine, richiedono spesso uno sforzo congiunto tra l’azienda e un Managed Security Service Provider, in grado di comprendere la natura dell’attacco e capire, per esempio, se l’attaccante agisce mosso da motivazioni etiche o puramente economiche o, ancora, se l’attacco è fine a se stesso oppure rappresenta una tattica diversiva che nasconde un’attività di esfiltrazione di dati più o meno sensibili.
DDoS mitigation, perché scegliere un servizio in cloud
La mitigazione degli attacchi DDoS permette di mantenere servizi online e siti web in funzione anche durante un attacco proteggendo in modo efficace reti e server. Questo tipo di attività tradizionalmente prevedeva l’acquisto di attrezzature installate on premise con cui filtrare il traffico in ingresso. Oggi, invece, il cloud offre gli ISP e ai MSSP la capacità di erogare servizi efficaci di prevenzione, che si adattano dinamicamente all’evoluzione dei vettori d’attacco. La mitigazione di un attacco DDoS operata attraverso un provider di servizi cloud contempla un percorso in 4 fasi:
- Routing (individuazione): la prima cosa da fare è riuscire a distinguere i volumi elevati di traffico regolare dagli attacchi DDoS. I provider di servizi di DDoS mitigation si basano sull’osservazione dei modelli di attacco più comuni, sulla valutazione della reputazione IP e su altri parametri per scremare il traffico lecito da quello sintomatico di un attacco.
- Detection (reazione): in questa fase, il provider di servizi di DDoS mitigation screma in modo chirurgico il traffico generato da bot malevoli attraverso processi di filtraggio e amplificazione.
- Response (instradamento): il traffico lecito viene suddiviso in blocchi più piccoli e più gestibili, scongiurando il pericolo del Denial of Service.
- Adapt (adattamento): sulla base delle evidenze del passato, e utilizzando tecnologie di Machine Learning, il provider ricerca schemi d’attacco ricorsivi - provenienza del traffico da determinati paesi, protocolli usati impropriamente… - nell’ottica del miglioramento continuo del servizio.
I professionisti della DDoS mitigation offrono al cliente la garanzia dell’aggiornamento continuo sull’evoluzione delle minacce. I SOC, Security Operation Center, e i NOC, Network Operation Center, dei professionisti della sicurezza analizzano quotidianamente centinaia o migliaia di eventi (oltre 36 milioni quelli registrati sulla rete italiana di Fastweb nel corso del 2020) e sono quindi in grado di operare un’ottimizzazione adattiva dei servizi che si rivela efficace anche contro le minacce più complesse.