Gli attacchi Ddos sono in grado di mandare offline siti web e server, sovraccaricandoli. Come funzionano e come si prevengono
Un attacco Distributed denial of service (Ddos) è un tentativo di bloccare il regolare traffico di un servizio, di un server o di una rete, sovraccaricandola di traffico Internet.
Questo tipo di attacco esiste da molti anni, ma ha guadagnato popolarità con l’inizio della guerra russo ucraina, poiché entrambe le fazioni hanno iniziato ad attaccarsi a vicenda con questo tipo di attacco, cercando di disabilitare momentaneamente le infrastrutture online avversarie.
Non solo, più di recente sono state vittime di questi attacchi anche altri Paesi, fra cui l’Italia, dato il loro supporto a una parte o all’altra.
In particolare, uno degli attacchi che ha riguardato l’Italia ha preso di mira il sito del Senato della Repubblica, che è stato messo per alcune ore offline, salvo poi essere ripristinato.
Ma come avviene un attacco del genere?
Generalmente il mezzo con cui gli hacker perpetuano questi attacchi sono le botnet, ossia un insieme di computer infettati da un malware, che permette ai malintenzionati di prendere il controllo dei dispositivi e fargli eseguire determinate operazioni.
Gli attacchi Ddos non sono tutti uguali tra loro, differiscono infatti per il tipo di risorsa che stanno attaccando: il primo tipo sono gli attacchi volumetrici, che mirano cioè al consumo della disponibilità di banda di rete dell’infrastruttura target; il secondo tipo è invece chiamato attacco a esaurimento di stato, mira cioè al consumo delle risorse di calcolo e/o di memoria dei dispositivi; ci sono infine gli attacchi applicativi, che mirano al consumo dei processi software, del numero connessioni e dello spazio sul disco.
Quali sono i tipi di attacco Ddos
Di queste tre tipologie, ci sono alcuni attacchi che sono più frequenti di altri, ossia UDP flooding, DNS flooding, SYN flooding, HTTP flooding e ICMP (Ping) flooding.
Nel caso dell’UDP flooding, le applicazioni usano protocolli di comunicazione per connettersi tramite Internet. I protocolli più utilizzati sono Transmission Control Protocol (TCP o talvolta TCP/IP, dove IP sta per Internet Protocol) e User Datagram Protocol (UDP o UDP/IP). Questi inviano pacchetti di dati su Internet per stabilire connessioni e inviare correttamente i dati.
L’hacker invia informazioni false ai pacchetti UDP target, quindi la risorsa di rete presa di mira non sarà in grado di associare il pacchetto UDP alle applicazioni corrette e restituirà un messaggio di errore. Ripetendo questo processo per un certo numero di volte, è possibile sovraccaricare il sistema, che smetterà di funzionare.
Il secondo attacco, chiamato DNS flooding prende il nome dai Domain Name Servers (DNS) ossia i server informatici che traducono gli URL dei siti web nei loro indirizzi IP.
Ad esempio, quando un utente visita LinkedIn per mettersi in contatto con i propri colleghi, digita Linkedin[.]com nel browser; in questo caso comunica al computer di visitare l’indirizzo IP di LinkedIn. I server DNS traducono il nome del sito web che tutti conoscono nei relativi indirizzi IP.
L’attacco DNS flooding si basa sull’inondare di richieste i server DNS che, una volta sovraccaricati, non saranno in grado di rispondere.
Una richiesta SYN fa parte di una sequenza di connessione “three-way handshake” eseguita tramite TCP. Da questa dinamica prende il nome il terzo tipo di attacco, il SYN flooding.
Innanzitutto, viene inviata una richiesta SYN (sincronizzazione) a un host. In seguito, l’host invia una risposta SYN-ACK (sincronizzazione-riconoscimento). Infine, l’host che ha richiesto il three-way handshake finalizza il protocollo con una risposta ACK (riconoscimento).
Questo processo consente ai due host o computer di negoziare il modo in cui comunicano.
Questo tipo di attacco interrompe il three-way handshake nella prima parte. Un utente malintenzionato invia più richieste SYN da falsi indirizzi IP o semplicemente non risponde alla risposta SYN-ACK dal target. Il sistema target continua ad attendere l’ultima parte del three-way handshake, la risposta ACK, per ogni richiesta.
Con velocità e volumi sufficienti è possibile vincolare le risorse del sistema target fino a creare nuove connessioni: il risultato di tutto ciò è la negazione del servizio (Denial of Service).
La sigla HTTP sta per Hypertext Transfer Protocol ed è la base del trasferimento dei dati su Internet. Da questa deriva il quarto tipo di attacco Ddos.
Come tutti gli altri protocolli, HTTP utilizza alcuni tipi di richieste per inviare o richiedere informazioni. Generalmente, l’HTTP flooding viene impiegato quando gli hacker acquisiscono informazioni utili da un sito web e fanno sparire le proprie tracce attraverso numerosissime richieste che sovraccaricano l’applicazione web o il server.
Questo metodo utilizza meno larghezza di banda, ma può forzare i server a massimizzare le loro risorse, mandandolo momentaneamente offline.
ICMP (Internet Control Message Protocol) è un protocollo di segnalazione degli errori utilizzato comunemente, tra gli altri strumenti, dall’utilità di diagnostica ping. Da questo protocollo prende il nome il quinto tipo di attacco Ddos.
Fondamentalmente, si esegue il “ping” di un sito web per verificare se è possibile accedervi. I risultati del ping possono comunicare alcuni tipi di problemi nella connettività, che costituiscono un buon punto di partenza per la soluzione.
Un ping invia un pacchetto di informazioni alla risorsa di rete target, come ad esempio un sito web, e tale risorsa rinvia un pacchetto di informazioni di dimensioni simili.
Il ping flooding è semplicemente un’inondazione di richieste ping, così tante che la larghezza di banda della rete del sistema preso di mira si intasa cercando di rispondere ad ogni richiesta.
Come limitare gli attacchi Ddos
Evitare di essere attaccati da un attacco Ddos non è affatto semplice, poiché in larga parte questo dipende dalla volontà degli hacker e di quale sito decidono di prendere di mira. In generale però, è possibile prendere delle misure che rendano questa pratica più complessa da essere messa in atto.
La prima cosa importante è sicuramente quella di realizzare dei backup regolari, cosicché anche qualora si venga attaccati, non ci siano delle perdite gravi di dati.
È inoltre molto importante monitorare gli indirizzi IP che desiderano accedere al proprio sito web, così da tracciare e bloccare quelli sospetti.
Può essere infine un’ottima idea impostare un firewall, ossia un software per la sicurezza della rete che monitora il traffico di un sito web in entrata e in uscita per impedire connessioni pericolose per il sistema.
Attraverso un firewall si può quindi limitare il numero di visite e filtrare i visitatori che risultano sospetti.
© RIPRODUZIONE RISERVATA
