Che cos'è un attacco DDoS? La guida completa

Un attacco DDoS (Distributed Denial of Service) è un tentativo malevolo di rendere indisponibile un servizio online sovraccaricandolo di traffico proveniente da più fonti. Questa guida vi insegnerà tutto quello che c'è da sapere sugli attacchi DDoS, compreso come difendersi da essi.

Che cos'è un attacco DDoS?

Un attacco DDoS è un tipo di hacking illegale che consiste nell'indirizzare una marea di traffico verso un server per impedire alle persone di accedere a servizi e siti online collegati.

Ci sono molte ragioni per cui le persone potrebbero voler lanciare un attacco DDoS. Alcuni potrebbero essere clienti arrabbiati o hacktivisti che vogliono distruggere i server di un'azienda solo per fare una dichiarazione. Altri potrebbero farlo per divertimento o per protestare contro qualcosa.

Sebbene gli attacchi DDoS possano essere utilizzati per rubare all'interno di un'azienda, sono soprattutto un problema finanziario. Ad esempio, le attività Internet di un'azienda vengono interrotte o bloccate da un rivale per rubare i clienti. Un altro esempio è l'estorsione, in cui gli aggressori prendono di mira un'azienda e installano un hostware o un ransomware sui suoi server prima di chiedere il pagamento di un riscatto enorme per annullare il danno.

Purtroppo, negli ultimi anni gli attacchi DDoS sono diventati più frequenti e più potenti, poiché Internet è diventato sempre più essenziale per le aziende e i privati. Anche l'aumento dei dispositivi IoT ha svolto un ruolo importante, poiché molti di questi dispositivi sono facili da hackerare e possono essere utilizzati per creare botnet che lanciano attacchi.

Come funziona un attacco DDoS?

Un attacco DDoS avviene quando molti computer violati vengono utilizzati per inviare traffico a un sito web o a un server, rendendo difficile il funzionamento del sito o del server. Questo può essere fatto controllando in remoto questi computer utilizzando una botnet, ovvero una raccolta di bot.

Dopo aver creato una rete bot, l'aggressore può inviare comandi remoti a ciascun bot per dirigere un assalto. Questo può sovraccaricare di richieste l'indirizzo IP dell'obiettivo, provocando un attacco denial-of-service al traffico di routine.

Poiché ogni bot è un dispositivo reale su Internet, può essere difficile determinare se si prevede un traffico anomalo.

Come identificare un attacco DDoS

La cosa più complicata di un attacco DDoS è che non è possibile vedere alcun segnale di avvertimento. Di solito, i collettivi di hacker più importanti avvisano prima di lanciare un attacco, ma la maggior parte degli aggressori ordina un assalto senza preavviso.

Non sempre le persone vi dicono se i contenuti del vostro sito web non sono di loro gradimento. Potrebbero avere paura di dire qualcosa. Ma se qualcosa non va, ve lo diranno. Magari all'inizio non ve lo diranno, ma in seguito lo faranno. Questo perché di solito le persone non controllano il vostro sito web come fate voi. Si pensa che sia tutto a posto, ma a volte non è così. Dovete stare attenti perché a volte ci sono problemi che non si vedono subito.

Individuare la fonte di un attacco Distributed Denial of Service può essere difficile. L'attacco può durare molte ore e non è possibile fermarlo immediatamente. Ciò significa che perderete entrate e servizi per ore.

Mitigare un attacco DDoS

Il modo migliore per proteggere il vostro sito web da un attacco DDoS è individuarlo il prima possibile. Se notate uno dei seguenti segnali, significa che state subendo un attacco DDoS:

• Caricamento lento 
• Il server risponde con un 503
• Il TTL si esaurisce
• Una quantità eccessiva di commenti di spam
• La rete si è improvvisamente scollegata
• Esistono schemi tipici del traffico, come i picchi nelle ore più strane.

I tipi più comuni di attacchi DDoS

Gli attacchi DDoS sono utilizzati dai criminali per colpire una serie di connessioni di rete. La comprensione delle basi del networking è essenziale per capire come funzionano i vari tipi di attacchi DDoS.

Una connessione a Internet è composta da diverse parti distinte, note anche come livelli. Ogni livello ha uno scopo specifico.

Il modello OSI è un modo grafico per rappresentare il collegamento delle varie parti di una rete. Tuttavia, l'attuale Internet si basa su un sistema più semplice chiamato TCP/IP. Il modello OSI è ancora in uso perché aiuta a vedere e capire come funzionano le reti e a risolvere eventuali problemi.

Esistono tre tipi di attacchi DDoS. Il primo tipo si verifica quando un dispositivo è sovraccarico di traffico. Il secondo tipo si verifica quando una rete è sovraccarica di traffico. Il terzo tipo si verifica quando un attaccante utilizza più di un vettore di attacco per sopraffare il suo obiettivo.

Attacchi a livello di applicazione

L'esperienza dell'utente inizia quando una persona entra per la prima volta in contatto con Internet. Gli attacchi DDoS a livello di applicazione impediscono al software di funzionare, in modo che le persone non possano vedere alcun contenuto. I server Web sono spesso il bersaglio di questi attacchi, ma possono essere attaccati anche altri programmi come i servizi vocali SIP e BGP.

Il protocollo TCP/IP può trasferire dati tra i dispositivi di una rete. Tuttavia, questo protocollo è altamente vulnerabile agli attacchi DDoS. Ciò significa che qualcuno può attaccare il vostro dispositivo e impedirgli di funzionare inviando molti dati contemporaneamente. Anche se alcuni possono sentirsi frustrati da questa situazione, l'uso di un protocollo sicuro per le transazioni online è comunque essenziale. L'uso della crittografia per le comunicazioni protegge entrambe le parti da intercettazioni e intercettazioni. La maggior parte degli attacchi DDoS utilizza un numero molto inferiore di pacchetti al secondo.

Questo attacco richiede l'utilizzo del protocollo specifico dell'applicazione presa di mira, che può comportare handshake e conformità. Questo tipo di attacchi sarà condotto principalmente dai gadget IoT, che non possono essere facilmente sottoposti a spoofing.

Esempio di attacchi DDoS alle applicazioni

Inondazione HTTP

Si tratta di un server che accetta richieste da molti computer diversi. Questo metodo, come l'aggiornamento di una pagina Web su molti PC contemporaneamente, invia molte richieste HTTP al server, sovraccaricandolo. L'attacco può essere semplice o complesso.

Un URL può essere raggiunto utilizzando la stessa gamma di indirizzi IP di attacco, siti di riferimento e user agent. In questo modo è più facile per l'aggressore trovare e utilizzare l'URL di destinazione. Le varianti più complesse possono puntare a una serie di URL utilizzando diversi referrer e user agent per accedervi.

Attacchi al protocollo

Un Protocol Flood è un attacco DDoS che invia molto traffico a un servizio o a una rete, rendendone difficile l'utilizzo. Sfrutta le vulnerabilità nello stack di protocollo di livello tre e quattro.

Gli attacchi DDoS spesso prendono di mira molti protocolli a bassa sicurezza, non protetti e non protetti. Gli attacchi DDoS prendono comunemente di mira gli standard di comunicazione Internet. Questo perché molti di questi sistemi sono utilizzati in tutto il mondo ed è difficile modificarli rapidamente. Inoltre, poiché molti protocolli hanno un'intrinseca complessità, anche dopo essere stati riesaminati per risolvere i bug attuali, emergono nuove vulnerabilità che consentono nuovi tipi di assalti al protocollo e alla rete.

Esempi di attacchi DDoS di protocollo

(BGP) dirottamento

I servizi basati sul cloud contengono molte informazioni preziose che i ladri di dati desiderano. Questo perché possono ottenere informazioni utili da questi servizi. Una violazione dei dati da parte di uno di questi provider potrebbe essere molto pericolosa. Qualcuno può lanciare un attacco DDoS contro un'azienda utilizzando protocolli superiori al cloud. Il BGP (Border Gateway Protocol) comunica informazioni sugli spazi di indirizzi di rete.

Gli aggiornamenti BGP vengono utilizzati per condividere le informazioni tra le reti. Se qualcuno invia un aggiornamento falso, il traffico può andare verso una rete diversa. Questo può consumare risorse e congestionare il traffico. L'aggiornamento a una versione più sicura di BGP sarebbe lungo e costoso, perché è utilizzato da decine di migliaia di operatori di rete in tutto il mondo.

Alluvione SYN

Un SYN Flood TCP è come un addetto alle forniture che riceve gli ordini dalla parte anteriore del negozio.

L'autista riceve il pacco, attende la verifica e lo trasporta davanti a sé dopo aver ricevuto una richiesta. Il dipendente riceve numerose richieste di consegna senza conferma fino a quando non è in grado di trasportare altre spedizioni. Questo può causare un sovraccarico di lavoro.

In questo attacco, un aggressore invia molti pacchetti a una vittima. I pacchetti hanno indirizzi falsi. Sfruttano l'handshake che due computer utilizzano per avviare una connessione di rete.

L'obiettivo di un intruso è consentire il maggior numero possibile di tentativi di connessione prima di chiudere le proprie risorse.

Attacchi volumetrici

Questo attacco mira a utilizzare tutta la larghezza di banda Internet tra l'obiettivo e il resto del mondo. I dati vengono inviati all'obiettivo in uno dei due modi seguenti: amplificazione o un altro metodo per generare un traffico enorme, come le richieste di una botnet.

Esempi di attacchi volumetrici

Amplificazione DNS

L'attaccante invia piccole query a un server DNS, ma il server amplifica la query in un payload molto più grande che manda in crash i server della vittima. Questo tipo di attacco è noto come attacco DDoS di amplificazione.

L'amplificazione DNS è un tipo di attacco alla rete in cui l'aggressore invia messaggi alla rete della vittima utilizzando i server DNS. I pacchetti possono essere amplificati, rendendo più difficile il loro blocco.

L'amplificazione DNS è un attacco in cui qualcuno inganna un resolver DNS per farsi inviare molte informazioni. Ciò avviene quando si invia una richiesta falsa al resolver DNS con un indirizzo che non è reale. Poiché sono in molti a farlo e ci sono molti resolver DNS, la rete della vittima può essere rapidamente sopraffatta.

Mitigazione di un attacco DDoS

Quando un attacco DDoS colpisce le persone, spesso sono confuse. Molti sistemi di sicurezza non forniscono informazioni dettagliate sul traffico in entrata. L'unica cosa certa di un DDoS è che le applicazioni online dei vostri clienti sono inaccessibili a causa di un'interruzione della rete. Il problema si aggrava se un dispositivo di sicurezza on-premise protegge la rete bersaglio.

L'utilizzo di un vecchio software non è sicuro se il vostro computer utilizza un vecchio software. Questo perché potrebbero esserci rischi per la sicurezza di cui non si è a conoscenza. Per risolvere questo problema è necessario aggiornare regolarmente il computer con le patch e i software più recenti. Tuttavia, questo può essere difficile perché vengono scoperte continuamente nuove vulnerabilità. Gli hacker possono sfruttare queste vulnerabilità per penetrare nel vostro computer e rubare le vostre informazioni.

Alcuni aggressori possono utilizzare un DDoS per raggiungere i loro obiettivi. Tuttavia, ci sono diversi ostacoli. Le soluzioni di sicurezza on-premises non sono in grado di prevenire un attacco. Prima che l'attacco raggiunga un dispositivo di filtraggio on-premises, gli assalti volumetrici potrebbero intasare il tubo Internet in entrata e causare il sovraccarico dell'ISP a monte e il blackholing di tutto il traffico in entrata, tagliando fuori la rete target da Internet. 

Come difendersi dagli attacchi DDoS

Esistono molti modi per difendersi dagli attacchi DDoS. La cosa più importante è disporre di un piano prima di subire un attacco.

Aumentare la larghezza di banda

Assicurarsi che l'infrastruttura di hosting sia in grado di gestire molto traffico è una delle cose più importanti da fare per proteggersi dagli attacchi DDoS. Ciò significa che dovete pianificare i picchi di traffico inaspettati, che possono verificarsi quando qualcuno si introduce nel vostro sito web. Tuttavia, aumentare la larghezza di banda non significa sempre proteggersi dagli attacchi DDoS.

Aumentando la larghezza di banda, diventa più difficile per gli aggressori penetrare nel vostro sito web. Tuttavia, potete migliorare la sicurezza del vostro sito web utilizzando una serie di misure.

Impostare la mitigazione DDoS a livello di server

Alcuni host Web dispongono di un software di mitigazione DDoS a livello di server. Questa funzione non è sempre disponibile, quindi dovreste chiedere al vostro host Web se la offre. In caso affermativo, informatevi se si tratta di un servizio gratuito o se è a pagamento. La disponibilità di questo servizio dipende dal provider e dal piano di hosting.

Passare all'hosting basato sul cloud

L'hosting basato sul cloud è un tipo di web hosting che utilizza il cloud computing per fornire i propri servizi. L'hosting basato sul cloud è più scalabile e può essere più affidabile dell'hosting web tradizionale.

Uno dei vantaggi dell'hosting basato sul cloud è che può essere più resistente agli attacchi DDoS. Questo perché i provider cloud hanno le risorse per assorbire e deviare gli attacchi DDoS.

Limitazione del tasso

Limitare il numero di richieste che un server accetta in un certo lasso di tempo può aiutare a prevenire gli attacchi denial-of-service. La limitazione della velocità può aiutare a impedire ai web scrapers di rubare informazioni e a ridurre i login brute force, ma potrebbe non essere sufficiente a gestire da sola un attacco DDoS avanzato.

Utilizzare una rete di distribuzione dei contenuti (CDN)

Una CDN è una rete di server che fornisce contenuti agli utenti in base alla loro posizione geografica. Le CDN possono essere utilizzate per migliorare le prestazioni dei siti web e proteggerli dagli attacchi DDoS.

Quando si utilizza una CDN, il contenuto statico del sito web viene memorizzato nella cache dei server della CDN. Questo contenuto viene poi consegnato agli utenti dal server più vicino alla loro posizione. Un CDN può contribuire a migliorare le prestazioni del vostro sito web e a proteggerlo dagli attacchi DDoS.

È possibile utilizzare più CDN per distribuire i contenuti statici del sito web da diversi server in tutto il mondo. Questo rende il vostro sito web più affidabile e potente. Inoltre, utilizzando una soluzione Multi-CDN, potete sfruttare una rete di PoP fornita da diversi fornitori di CDN.

Routing dei buchi neri

Una rotta blackhole è un ottimo modo per gli amministratori di rete di affrontare quasi tutti i problemi. Quando il filtraggio blackhole viene effettuato senza regole complesse, viene utilizzato un percorso nullo per rifiutare sia il traffico di rete buono che quello cattivo.

Se un attacco DDoS prende di mira un server, il provider di servizi Internet (ISP) può cercare di fermare l'attacco reindirizzando tutto il traffico del sito verso un buco nero. Questa soluzione non è ideale perché dà all'attaccante ciò che vuole: rendere la rete inaccessibile.

Utilizzare un firewall per applicazioni web (WAF)

Un WAF è un tipo di software di sicurezza che aiuta a proteggere i siti web dagli attacchi. I WAF ispezionano il traffico in entrata e bloccano o reindirizzano le richieste contenenti codice dannoso.

È possibile utilizzare un WAF per proteggere il sito web dagli attacchi DDoS. Tuttavia, è necessario assicurarsi che il WAF sia configurato correttamente. In caso contrario, potrebbe bloccare il traffico legittimo.

Monitorare la rete per rilevare attività insolite

È necessario monitorare la rete per individuare attività insolite. Ciò include il monitoraggio di aumenti improvvisi del traffico e di richieste strane.

Se notate un'attività insolita, dovete indagare immediatamente. Potrebbe essere un segno che il vostro sito web è sotto attacco.

In breve

Gli attacchi DDoS possono essere devastanti per le aziende. Possono causare tempi di inattività, perdite di fatturato e danni alla reputazione.

Tuttavia, è possibile proteggere il proprio sito web dagli attacchi DDoS utilizzando una serie di misure, tra cui la mitigazione DDoS a livello di server, l'hosting basato su cloud, la limitazione della velocità e l'utilizzo di un CDN. Dovete inoltre monitorare la vostra rete per individuare attività insolite e indagare immediatamente su qualsiasi attività sospetta.

Adottando queste misure, potete contribuire a garantire che il vostro sito web sia disponibile e accessibile ai vostri utenti, anche in caso di attacco DDoS.

FAQ sugli attacchi DDoS