Che cosè un attacco DDOS?

DDOS sta per Distributed Denial-Of-Service. È un tipo di crimine informatico in cui una o più parti cercano di interrompere il traffico di un server o di un sito web. Per essere efficaci, non usano solo un computer per attaccare, ma spesso un'intera rete di essi.

Tuttavia, non si tratta solo delle macchine dell'attaccante: esistono tipi di malware e virus che possono colpire il computer di un normale utente e trasformarlo in parte dell'attacco. Anche i dispositivi IoT non sono sicuri: se hai un dispositivo intelligente in casa, potrebbe teoricamente essere utilizzato per un tale attacco.

Come funziona?

Il modo più semplice per spiegare gli attacchi DDOS è confrontarli con gli ingorghi. Il normale flusso del traffico viene interrotto perché decine (o centinaia, migliaia, ecc.) di auto improvvise si immettono nella strada principale senza lasciar passare altre auto.

L'inceppamento emergente impedisce ai normali driver di raggiungere il loro obiettivo: in un evento DDOS, questo sarebbe il server o il sito Web che stanno cercando.

Esistono diversi tipi di attacco che prendono di mira diversi elementi della normale comunicazione client-server.

Gli attacchi a livello di applicazione cercano di esaurire le risorse del bersaglio costringendolo a caricare ripetutamente file o query di database: questo rallenta il sito e può, in casi estremi, causare problemi con il server surriscaldandolo o aumentando il consumo di energia. È difficile difendersi da questi attacchi perché sono difficili da individuare: non è facile stabilire se un picco di utilizzo sia dovuto a un aumento del traffico effettivo oa un attacco dannoso.

Gli attacchi Flood HTTP vengono eseguiti essenzialmente aggiornando una pagina del browser più e più volte, tranne milioni di volte. Questa marea di richieste a un server si tradurrà spesso in un sovraccarico e non risponderà più alle richieste (autentiche). Le difese includono la disponibilità di server di backup e una capacità sufficiente per gestire gli overflow delle richieste. Ad esempio, un attacco del genere quasi sicuramente non funzionerebbe contro Facebook perché la loro infrastruttura è così forte da poter gestire attacchi simili.

Gli attacchi al protocollo cercano di esaurire un server consumando tutta la capacità di cose come le applicazioni web, quindi ripetendo le richieste a un elemento di un sito o servizio. In questo modo l'applicazione Web smette di rispondere. Spesso vengono utilizzati filtri che bloccano le richieste ripetute dagli stessi indirizzi IP per evitare attacchi e mantenere attivo il servizio per gli utenti normali.

Gli attacchi SYN Flood vengono eseguiti, in sostanza, chiedendo ripetutamente al server di recuperare un elemento e quindi non confermandone la ricezione. Ciò significa che il server trattiene gli elementi e attende la ricevuta che non arriva mai, finché alla fine non può più trattenerli e inizia a lasciarli cadere per raccoglierne altri.

Gli attacchi volumetrici cercano di creare artificialmente congestione occupando in modo specifico tutta la larghezza di banda di un server. Questo è simile agli attacchi HTTP Flood tranne per il fatto che invece di richieste ripetute, i dati vengono inviati al server, mantenendolo così troppo occupato per rispondere al traffico normale. Le botnet vengono solitamente utilizzate per eseguire questi attacchi e spesso utilizzano anche l'amplificazione DNS.

Suggerimento: l'amplificazione DNS funziona come un megafono: una richiesta o un pacchetto di dati più piccolo viene presentato come molto più grande di quello che è. Potrebbe essere l'attaccante che richiede tutto ciò che un server ha da offrire e poi gli chiede di ripetere tutto ciò che l'attaccante ha chiesto: una richiesta relativamente piccola e semplice finisce per richiedere molte risorse.

Come difendersi dagli attacchi DDOS?

Il primo passo per affrontare questi attacchi è assicurarsi che stiano realmente accadendo. Individuarli non è sempre facile, poiché i picchi di traffico possono essere un comportamento normale a causa di fusi orari, comunicati stampa e altro. Per far funzionare i loro attacchi, gli aggressori DDOS cercano di nascondere il più possibile il loro comportamento nel traffico normale.

Altre routine per mitigare gli attacchi DDOS sono i buchi neri, la limitazione della velocità e i firewall. I buchi neri sono una misura piuttosto estrema: non cercano di separare il traffico reale da un attacco, ma piuttosto reindirizzano ogni richiesta lontano dal server e poi la rilasciano. Questo può essere fatto in preparazione di un attacco previsto, ad esempio.

La limitazione della velocità è un po' meno dura per gli utenti: imposta un limite artificiale per il numero di richieste che un server accetterà. Questo limite è sufficiente per consentire il passaggio del traffico normale, ma troppe richieste vengono automaticamente reindirizzate e scartate: in questo modo, il server non può essere sopraffatto. È anche un modo efficace per fermare i tentativi di cracking delle password con la forza bruta: dopo, ad esempio, cinque tentativi, l'indirizzo IP viene semplicemente bloccato.

I firewall non sono solo utili per la protezione sul proprio computer, ma anche sul lato server del traffico web. In particolare, i firewall delle applicazioni Web vengono installati tra Internet e un server e proteggono da diversi tipi di attacchi. I buoni firewall sono anche in grado di impostare rapidamente risposte personalizzate agli attacchi non appena si verificano.

Suggerimento: se stai cercando di proteggere il tuo sito o server da una sorta di attacco DDOS, vorrai una disposizione di diverse soluzioni (molto probabilmente incluso un firewall). Il modo migliore per farlo sarebbe consultare un consulente di sicurezza informatica e fargli elaborare un piano personalizzato adatto alle tue esigenze. Non esiste una soluzione valida per tutti!