Ormai sappiamo quanto Internet sia un’ottima risorsa, che consente di tenerci costantemente aggiornati e di approfondire le tematiche che più ci interessano. Tuttavia, come il mondo reale, anche questo ambiente virtuale non è esente da problemi che ne impediscono il suo stesso funzionamento per periodi più o meno lunghi.
Ogni tanto, infatti, ci capita di leggere titoli che riportano fatti eclatanti come “Internet offline” o “Attacco alla rete Internet” e via discorrendo. Il comune denominatore di questi eventi è rappresentato dagli attacchi DDoS, che sono all’origine stessa del problema.
L’ultimo attacco DDoS di portata mondiale si è verificato lo scorso 21 Ottobre 2016 ai danni di Dyn, causando a cascata l’irraggiungibilità di molti importanti siti web, tra cui Twitter, Netflix e PayPal.
Cos’è un attacco DDoS?
L’acronimo di DDoS è Distribuited Denial of Service. È un attacco distribuito, cioè originato contemporaneamente da diverse (migliaia o centinana di migliaia) di fonti con l’obiettivo di impedire il regolare funzionamento del servizio e/o dell’infrastruttura oggetto dell’attacco.
La potenza degli attacchi DDoS è data dalla quantità di bot (cioè automi) che vengono utilizzati per sferrare l’attacco. Naturalmente, maggiore è la quantità di bot, maggiore è la potenza distruttiva dell’attacco. Avete presente Skynet di Terminator, si? 🙂
Cos’è un bot?
Un bot è un pc o un server o un qualsiasi altro dispositivo connesso alla rete Internet che, essendo stato precedentemente hackerato, viene utilizzato per comporre appunto una botnet (o DDoSnet) dalla quale lanciare l’attacco DDoS verso il malcapitato di turno.
Una botnet viene tipicamente gestita da un master, che invia in un sol colpo i comandi a tutti i bot. Si tratta proprio di un classico esempio di infrastruttura centralizzata e finalizzata alla distruzione (non fisica) di un server, di un’infrastruttura di rete, etc…
Come funziona un attacco DDoS?
Il meccanismo è relativamente semplice: si stabilisce un target sulla base di indicatori e motivazioni che per ovvi motivi ignoriamo, lo si studia e si analizzano le possibili falle di sicurezza e, infine, si avvia l’attacco. A quel punto la botnet inizierà ad inviare migliaia/centinaia di migliaia (in funzione del quantitativo di bot di cui è composta) di richieste all’host target fino a saturarne le risorse di rete e/o fisiche, con l’inevitabile conseguenza di mettere offline il sistema attaccato.
Quali tipi di attacchi DDoS esistono?
Con l’evolversi delle tecnologie, purtroppo anche gli attacchi DDoS sono diventati più efficienti e sofisticati.
Ne esistono di diversi tipi, ma quelli principali di distinguono sulla base del livello OSI: Layer 3, Layer 4 e Layer 7.
Queste sono le caratteristiche tecniche degli attacchi DDoS:
Nome | Livello OSI | Tipologia | Descrizione |
---|---|---|---|
ICMP Echo Request Flood | L3 | Risorse | Invio massivo (flood) di pacchetti (ping) che richiedono la risposta della vittima (pong) con lo stesso contenuto del pacchetto originale. |
IP Packet Fragment Attack | L3 | Risorse | Invio di pacchetti IP che volontariamente si riferiscono ad altri pacchetti che non saranno mai inviati, saturando la memoria dell’host target. |
SMURF | L3 | Banda Internet | Attacco ICMP broadcast, in cui l’indirizzo sorgente viene utilizzato per reindirizzare risposte multiple verso la vittima. |
IGMP Flood | L3 | Risorse | Invio massivo di pacchetti IGMP (Internet Group Management Protocol) |
Ping of Death | L3 | Exploit | Invio di pacchetti ICMP (Internet Control Message Protocol) che sfruttano un bug del sistema operativo dell’host target. |
TCP SYN Flood | L4 | Risorse | Invio massivo di richieste di connessione TCP (Transmission Control Protocol) |
TCP Spoofed SYN Flood | L4 | Risorse | Invio massivo di richieste di connessione TCP spoofando (cioè apparentemente modificando) l’indirizzo sorgente. |
TCP SYN ACK Reflection Flood | L4 | Banda Internet | Invio massivo di richieste di connessione TCP verso un grande numero di sistemi, modificando l’indirizzo sorgente con l’indirizzo della vittima. Di conseguenza la banda Internet della vittima viene saturata dalle risposte inviate a queste richieste. |
TCP ACK Flood | L4 | Risorse | Invio massivo di conferme di ricezione di segmenti TCP |
TCP Fragmented Attack | L4 | Risorse | Invio di segmenti TCP, volontariamente riferiti ad altri segmenti che non verranno mai inviati, che saturano la memoria dell’host target. |
UDP Flood | L4 | Banda Internet | Invio massivo di pacchetti UDP (User Datagram Protocol) che non necessitano di una connessione stabilita in precedenza. |
UDP Fragment Flood | L4 | Risorse | Invio di pacchetti UDP volontariamente riferiti ad altri datagrammi che non saranno mai inviati, che saturano la memoria dell’host target |
Distributed DNS Amplification Attack | L7 | Banda Internet | Invio massivo di richieste DNS che modificano l’indirizzo sorgente della vittima, verso un grande numero di server DNS legittimi. La risposta è più voluminosa della richiesta e quindi causa l’amplificazione dell’attacco. |
DNS Flood | L7 | Risorse | Attacco di un server DNS con invio massivo di richieste. |
HTTP(S) GET/POST Flood | L7 | Risorse | Attacco di un server web con invio massivo di richieste. |
DDoS DNS | L7 | Risorse | Attacco di un server DNS con invio massivo di richieste da un grande quantitativo di host (bot) controllati da chi invia l’attacco. |
Come ci si protegge dagli attacchi DDoS e quali possibili soluzioni?
Così come per gli attacchi DDoS, fortunatamente anche le tecnologie per proteggersi e/o mitigare tali fenomeni sono migliorate tantissimo nel corso degli anni. Ci sono infatti dei sistemi firewall che, in alcuni casi, riescono completamente a neutralizzare l’attacco consentendo al sistema oggetto dell’attacco di lavorare regolarmente come se nulla fosse.
Il rovescio della medaglia, purtroppo, è caratterizzato dai costi. Sistemi efficienti ed efficaci necessitano di budget importanti, che non tutti possono permettersi.
Noi, da circa un anno ed a fronte di importanti investimenti, abbiamo adottato un sistema Anti DDoS efficace e innovativo perché ci consente di proteggere tutta la nostra rete da attacchi DDoS L3, L4 e L7 con tecnologie Cloud del tutto trasparenti, con una capacità di oltre 500 Gbps di ampiezza di banda Internet.
La tecnologia che abbiamo implementato è relativamente semplice:
il traffico diretto alla nostra rete viene costantemente analizzato e, grazie all’ausilio di sistemi che fungono da “sentinella”, in caso di attacchi viene immediatamente attivato il filtro anti DDoS che “pulisce” il traffico malevolo dirottandolo in una sorta di blackhole, lasciando passare soltanto le richieste lecite.
Fin tanto che l’attacco è in corso, naturalmente il filtro anti DDoS resta attivo. La protezione Anti DDoS in realtà resta attiva per i 60 minuti successivi al termine dell’attacco, per garantire che eventuali code di pacchetti malevoli vengano adeguatamente filtrate.
Cosa posso fare, nel mio piccolo, per ridurre questo fenomeno e lasciare ai posteri una Internet migliore?
La risposta può sembrare scontata e relativamente semplice: cerca di avere sistemi sempre aggiornati, dal pc di casa allo smartphone; di non utilizzare software contraffatto perché spesso contiene malware con cui creare una botnet e, in generale, di porti ed osservare in modo più “critico” le potenzialità di Internet. 🙂
No Responses