Un attacco DDoS (Distributed Denial of Service) è un attacco in cui più sistemi informatici compromessi attaccano un obiettivo, come un server, un sito Web o un’altra risorsa di rete, e causano un denial of Service per gli utenti della risorsa mirata. Il flusso di messaggi in arrivo, richieste di connessione o pacchetti malformati al sistema di destinazione lo costringe a rallentare o addirittura a bloccarsi e spegnersi, negando così il servizio agli utenti o ai sistemi legittimi.,
Gli attacchi DDoS sono stati condotti da diversi attori delle minacce, che vanno dai singoli hacker criminali alle organizzazioni criminali e alle agenzie governative. In determinate situazioni, spesso legate a scarsa codifica, patch mancanti o sistemi generalmente instabili, anche le richieste legittime ai sistemi di destinazione possono portare a risultati simili a DDoS.
Come funzionano gli attacchi DDoS
In un tipico attacco DDoS, l’assalitore inizia sfruttando una vulnerabilità in un sistema informatico e rendendolo il DDoS master., L’attacco master system identifica altri sistemi vulnerabili e ottiene il controllo su di essi sia infettando i sistemi con malware o attraverso bypassando i controlli di autenticazione (cioè, indovinare la password di default su un sistema o dispositivo ampiamente utilizzato).
Un computer o un dispositivo collegato in rete sotto il controllo di un intruso è noto come zombie o bot. L’attaccante crea quello che viene chiamato un server di comando e controllo per comandare la rete di bot, chiamato anche una botnet., La persona in controllo di una botnet è talvolta indicato come il botmaster (che termine è stato anche storicamente usato per riferirsi al primo sistema “reclutato” in una botnet perché è usato per controllare la diffusione e l’attività di altri sistemi nella botnet).
Le botnet possono essere composte da quasi qualsiasi numero di bot; le botnet con decine o centinaia di migliaia di nodi sono diventate sempre più comuni e potrebbe non esserci un limite superiore alle loro dimensioni., Una volta che la botnet è assemblato, l’attaccante può utilizzare il traffico generato dai dispositivi compromessi per inondare il dominio di destinazione e bussare offline.
Tipi di attacchi DDoS
Esistono tre tipi di attacchi DDoS. Gli attacchi di rete o volumetrici sovraccaricano una risorsa mirata consumando la larghezza di banda disponibile con flood di pacchetti. Gli attacchi di protocollo mirano ai protocolli di livello di rete o di livello di trasporto che utilizzano difetti nei protocolli per sopraffare le risorse mirate., E gli attacchi a livello di applicazione sovraccaricano i servizi o i database delle applicazioni con un volume elevato di chiamate alle applicazioni. L’inondazione di pacchetti sul target causa un denial of service.
Mentre è chiaro che il bersaglio di un attacco DDoS è una vittima, ci possono essere molte altre vittime in un tipico attacco DDoS, compresi i proprietari dei sistemi utilizzati per eseguire l’attacco. Sebbene i proprietari di computer infetti siano in genere inconsapevoli che i loro sistemi siano stati compromessi, è comunque probabile che subiscano un degrado del servizio durante un attacco DDoS.,
Internet of things e attacchi DDoS
Mentre le cose che compongono l’Internet of things (IoT) possono essere utili per gli utenti legittimi, in alcuni casi, sono ancora più utili per gli aggressori DDoS. I dispositivi connessi all’IoT includono qualsiasi appliance in cui è stata costruita una certa capacità di elaborazione e rete e, troppo spesso, questi dispositivi non sono progettati pensando alla sicurezza.
I dispositivi connessi all’IoT espongono grandi superfici di attacco e mostrano una minima attenzione alle best practice di sicurezza., Ad esempio, i dispositivi sono spesso forniti con credenziali di autenticazione hard-coded per l’amministrazione del sistema, rendendo semplice per gli aggressori di accedere ai dispositivi. In alcuni casi, le credenziali di autenticazione non possono essere modificate. I dispositivi spesso vengono forniti senza la capacità di aggiornare o patchare il software del dispositivo, esponendoli ulteriormente ad attacchi che sfruttano vulnerabilità ben note.
Le botnet Internet of things sono sempre più utilizzate per sferrare massicci attacchi DDoS. Nel 2016, la botnet Mirai è stata utilizzata per attaccare il fornitore di servizi di nomi di dominio Dyn, con sede a Manchester, N. H.,; i volumi di attacco sono stati misurati a oltre 600 Gbps. Un altro attacco di fine 2016 scatenato su OVH, la società di hosting francese, ha raggiunto un picco di oltre 1 Tbps.
Difesa e prevenzione DDoS
Gli attacchi DDoS possono creare rischi aziendali significativi con effetti duraturi. Pertanto, è importante che gli amministratori e i responsabili IT e della sicurezza, nonché i loro dirigenti aziendali, comprendano le minacce, le vulnerabilità e i rischi associati agli attacchi DDoS.
Essere sul lato ricevente di un attacco DDoS è praticamente impossibile da prevenire., Tuttavia, l’impatto sul business di questi attacchi può essere ridotto al minimo attraverso alcune pratiche di sicurezza delle informazioni di base, tra cui l’esecuzione di valutazioni di sicurezza in corso per cercare-e risolvere-vulnerabilità denial of service e l’utilizzo di controlli di sicurezza di rete, compresi i servizi di fornitori basati su cloud specializzati nella risposta agli attacchi DDoS.
Inoltre, solide pratiche di gestione delle patch, test di phishing via e-mail e consapevolezza degli utenti, monitoraggio proattivo della rete e avvisi possono aiutare a ridurre al minimo il contributo di un’organizzazione agli attacchi DDoS su Internet.