Che cos’è un DDoS Booter/IP Stresser? | Strumenti di attacco DDoS

Attacchi DDoS preconfezionati come servizi SaaS sono disponibili per pochi soldi.

Share facebook icon linkedin icon twitter icon email icon

DDoS Booter

Obiettivi Formativi

Dopo aver letto questo articolo sarai in grado di:

  • Approfondimento su Booter e IP stresser
  • Approfondimento sugli strumenti di attacco DDoS
  • Approfondimento sul crimine come modello d’impresa

Ce cos’è un IP stresser?

Un dispositivo IP stresser è uno strumento progettato per testare la solidità di una rete o di un server. L'amministratore può eseguire una prova di stress per determinare se le risorse esistenti (larghezza di banda, CPU, ecc.) sono sufficienti per gestire un carico aggiuntivo.

Sottoporre a test la propria rete o server rappresenta un uso legittimo di uno stresser. Eseguirlo invece nei confronti della rete o del server di qualcun altro, con conseguente denial-of-service verso i loro utenti legittimi, è illegale nella maggior parte dei paesi.

Quali sono i servizi booter?

I booter, noti anche come servizi booter, sono servizi su commissione di attacco DDoS (Distributed-Denial-of-Service) offerti da professionisti del crimine al fine di sabotare siti Web e reti. In altre parole, i booter rappresentano l'uso illegittimo di IP stresser.

Gli IP stresser illegali spesso dissimulano l'identità del server che sferra l’attacco mediante l'uso di server proxy. Il proxy reindirizza la connessione dell'aggressore e al tempo stesso ne maschera l'indirizzo IP.

I booter sono abilmente confezionati come servizi software o SaaS (Software-as-a-Service), spesso con supporto e-mail e tutorial di YouTube. I pacchetti possono offrire un’unica prestazione, attacchi multipli entro un periodo definito o persino un accesso "a vita”. Un pacchetto base di un mese può costare anche meno di $ 20. Le opzioni di pagamento possono includere carte di credito, Skrill, PayPal o Bitcoin (anche se PayPal annullerà gli accounti dimostrandone l'intenzione illecita).

In che modo i booter IP si distinguono dalle botnet?

Una botnet è una rete di computer i cui proprietari non sono consci del fatto che i loro computer, infettati da malware, vengono utilizzati per compiere attacchi su Internet. I booter sono servizi DDoS su commissione.

I booter usano tradizionalmente le botnet per lanciare attacchi, ma a man a mano che diventano più sofisticati, si fregiano di server più potenti per “aiutare il cliente a sferrare un attacco", come proclamano alcuni servizi booter.

Quali sono le motivazioni alla base degli attacchi denial-of-service?

Le motivazioni alla base degli attacchi denial-of-service sono molteplici: teppistelli detti skiddies* intenti a sviluppare le proprie abilità di pirati informatici, rivalità commerciali, conflitti ideologici, terrorismo sponsorizzato da governi o anche estorsione. PayPal e carte di credito sono i metodi di pagamento preferiti per gli attacchi a scopo di estorsione. Anche Bitcoin viene utilizzata perché offre la possibilità di occultare l'identità. Uno svantaggio di Bitcoin, dal punto di vista degli aggressori, è che questa criptovaluta è meno popolare rispetto ad altre forme di pagamento.

* Script kiddie, o skiddie (moccioso dello script), è un termine spregiativo per indicare teppisti in rete relativamente poco qualificati che impiegano script o programmi scritti da altri per lanciare attacchi contro reti o siti Web. Prendono di mira vulnerabilità di sicurezza relativamente note e facili da sfruttare, spesso senza considerare le conseguenze.

Cosa sono gli attacchi di amplificazione e i reflection attack?

Gli attacchi di amplificazione e i reflection attack sfruttano il traffico legittimo per sopraffare la rete o un server designato.

Quando un aggressore simula l'indirizzo IP della vittima e invia un messaggio a un terzo sotto mentite spoglie, sta effettuando il cosiddetto spoofing o contraffazione dell'indirizzo IP. Il terzo non ha modo di distinguere l'indirizzo IP della vittima da quello dell'aggressore. Risponde direttamente alla vittima. L'indirizzo IP dell'aggressore è celato sia alla vittima sia al server terzo Questo processo è detto “reflection” (immagine riflessa).

È come se l’aggressore ordinasse una pizza con consegna al domicilio della vittima fingendosi la vittima. Così quest’ultima finisce per dover pagare la pizzeria per una pizza che non ha ordinato.

L'amplificazione del traffico si verifica quando l'aggressore forza il server terzo a inviare risposte alla vittima con il maggior numero possibile di dati. Il rapporto tra le dimensioni della risposta e della richiesta è noto come fattore di amplificazione. Quanto maggiore è l’amplificazione, tanto maggiore sarà la potenziale interruzione causata alla vittima. Anche il server terzo verrà bloccato a causa del volume di richieste contraffatte che deve elaborare. L'amplificazione NTP è un tipico esempio di tale attacco.

I tipi più efficaci di attacchi booter usano sia l'amplificazione che il metodo reflection. Innanzitutto, l'aggressore simula l'indirizzo della vittima e invia un messaggio a un terzo. Quando il terzo risponde, il messaggio raggiunge l'indirizzo contraffatto della vittima. Il contenuto della risposta è molto maggiore del messaggio originale, amplificando così la dimensione dell'attacco.

Il ruolo di una singola bot in un simile attacco è analogo a quello di un adolescente in vena di scherzi che chiama un ristorante e ordina l'intero menu, quindi chiede una telefonata di conferma elencando ogni voce del menu. Indicando tuttavia il numero di telefono della vittima. Così la vittima designata riceverà una chiamata dal ristorante con una marea di informazioni non richieste.

In quali categorie si possono classificare gli attacchi denial-of-service?

Attacchi al livello applicativo: prendono di mira le applicazioni Web, spesso con tecniche molto raffinate. Questi attacchi sfruttano una debolezza nello stack di protocollo del livello 7 stabilendo innanzitutto una connessione con la vittima, quindi esaurendone le risorse del server monopolizzando processi e transazioni. Sono difficili da identificare e mitigare. Un esempio comune è un attacco HTTP flood.

Attacchi basati su protocolli: tendono a sfruttare un punto debole nei livelli 3 o 4 dello stack di protocollo. Tali attacchi consumano tutta la capacità di elaborazione della vittima o altre risorse critiche (ad esempio un firewall), con conseguente interruzione del servizio. Syn Flood e Ping of Death ne sono un esempio.

Attacchi volumetrici: inviano alti volumi di traffico con l’intenzione di saturare la larghezza di banda della vittima. Essendo facilmente generabili attraverso semplici tecniche di amplificazione, gli attacchi volumetrici rappresentano le forme più comuni di attacco. UDP Flood, TCP Flood, amplificazione NTP e amplificazione DNS ne sono un esempio.

Quali sono gli attacchi denial-of-service comuni?

L'obiettivo degli attacchi DoS o DDoS è quello di consumare una quantità sufficiente di risorse del server o della rete da rendere impossibile per il sistema rispondere a richieste legittime:

  • SYN Flood: Una successione di richieste SYN viene diretta al sistema designato con l’intento di sopraffarlo. Questo attacco sfrutta punti deboli della sequenza di connessione TCP, nota come handshake a tre vie.
  • HTTP Flood: Tipo di attacco in cui le richieste HTTP GET o POST vengono utilizzate per attaccare il server Web.
  • UDP Flood: Tipo di attacco in cui porte casuali della vittima vengono sopraffatte da pacchetti IP contenenti datagrammi UDP.
  • Ping of Death: Gli attacchi implicano l'invio deliberato di pacchetti IP più grandi di quelli consentiti dal protocollo IP. Attraverso la frammentazione TCP/IP pacchetti di grandi dimensioni vengono suddivisi in pacchetti IP più piccoli. Se, una volta messi insieme, i pacchetti superano i 65.536 byte consentiti, i server di vecchia generazione spesso si arrestano in modo anomalo. Nei sistemi più recenti ciò è stato in gran parte corretto. L’attacco Ping flood ne è l’attuale incarnazione.
  • Attacchi al protocollo ICMP: Gli attacchi al protocollo ICMP sfruttano il fatto che ogni richiesta richiede l'elaborazione per l’invio di una risposta da parte del server. Attacco Smurf, ICMP flood e ping flood ne approfittano inondando il server di richieste ICMP senza attendere la risposta.
  • Slowloris: Inventato da Robert ‘RSnake’ Hansen, questo attacco tenta di mantenere aperte il maggior numero di connessioni del server Web vittima dell’attacco e il più a lungo possibile. Alla fine, ulteriori tentativi di connessione da parte di client verranno negati.
  • DNS Flood: L'aggressore inonda i server DNS di un determinato dominio nel tentativo di interrompere la risoluzione DNS per tale dominio.
  • Attacco Teardrop: Attacco che comporta l'invio di pacchetti frammentati al dispositivo designato. Un bug nel protocollo TCP/IP impedisce al server di riassemblare tali pacchetti, causandone la sovrapposizione. Il dispositivo vittima dell’attacco si arresta quindi in modo anomalo.
  • Amplificazione DNS: Questo attacco di tipo reflection trasforma richieste legittime a server DNS (domain name system) in entità molto più grandi, al fine di consumare risorse del server.
  • Amplificazione NTP: Attacco DDoS volumetrico di tipo reflection in cui un aggressore sfrutta una funzionalità del server Network Time Protocol (NTP) per sopraffare una rete o un server designato con una quantità amplificata di traffico UDP.
  • SNMP Reflection: L'aggressore simula l'indirizzo IP della vittima inviando a dispositivi più richieste SNMP (Simple Network Management Protocol). Il volume delle risposte può sopraffare la vittima.
  • SSDP: Un attacco SSDP (Simple Service Discovery Protocol) è un attacco DDoS di tipo reflection che sfrutta protocolli di rete Universal Plug and Play (UPnP) per inviare una quantità amplificata di traffico a una vittima designata.
  • Attacco Smurf: Questo attacco utilizza un programma malware chiamato smurf. Un gran numero di pacchetti ICMP (Internet Control Message Protocol) con l'indirizzo IP contraffatto della vittima viene trasmesso a una rete di computer utilizzando un indirizzo IP di broadcast.
  • Attacco Fraggle: Simile all’attacco Smurf, utilizza UDP anziché ICMP.

Che cosa fare in caso di attacco DDoS a scopi di estorsione?

  • Informare immediatamente datacenter e ISP
  • Escludere in ogni caso il pagamento del riscatto, che spesso porta a richieste di riscatto crescenti
  • Denunciare il fatto alle forze dell'ordine
  • Monitorare il traffico di rete
  • Aderire a formule di protezione DDoS, come il piano gratuito di Cloudflare

In che modo è possibile mitigare gli attacchi botnet?

  • Installare firewall sul server
  • Aggiornare le patch di sicurezza
  • Eseguire con regolarità il software antivirus
  • Monitorare periodicamente i registri del sistema
  • Impedire a server di posta elettronica sconosciuti di distribuire traffico SMTP

Perché i servizi booter sono difficili da tracciare?

La persona che acquista questi servizi illeciti utilizza un sito Web front-end per il pagamento e istruzioni riguardanti l'attacco. Molto spesso non esiste alcuna connessione identificabile con il backend che sferra l'attacco effettivo. Pertanto, l'intento criminale può essere difficile da dimostrare. Un modo per risalire alle entità criminali è rintracciare il percorso di pagamento.