Il cannone a ioni in orbita alta (HOIF) consente agli autori di attacchi di lanciare attacchi DoS e DDoS tramite il traffico HTTP.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Low Orbit Ion Cannon
RU Dead Yet? (R.U.D.Y.)
Mitigazione degli attacchi DDoS
Cos’è un botnet DDoS?
Web Application Firewall (WAF)
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
L'HOIC (High Orbit Ion Cannon) è uno strumento popolare utilizzato per lanciare attacchi DoS e DDoS, che mirano a inondare la rete di una vittima con traffico Web e a chiudere un sito Web o un servizio. Si tratta di un software open source facilmente reperibile, sviluppato dal gruppo di hacktivisti Anonymous, ed è il successore di un vecchio strumento DDoS chiamato Low Orbit Ion Cannon (entrambi prendono il nome dalle armi dei videogiochi di fantascienza). Mentre la maggior parte degli strumenti software dannosi richiede un elevato livello di competenza tecnica, HOIC offre un'interfaccia semplice e intuitiva e può essere attivato con un clic di un pulsante.
Sebbene venga utilizzato in molti attacchi dannosi e illegali, l'HOIC è ancora legalmente disponibile perché trova applicazione come legittimo strumento di test per gli utenti che desiderano implementare uno "stress test" sulle proprie reti.
L'HOIC funziona tramite un attacco DDoS HTTP flood a livello di applicazione, inondando il server della vittima con richieste HTTP "GET" e "POST" con l'obiettivo di sovraccaricare la capacità delle richieste del server. Per attacchi avanzati, è possibile utilizzare script personalizzati per colpire contemporaneamente più sottodomini del sito della vittima. L'HOIC può anche prendere di mira fino a 256 siti contemporaneamente, consentendo agli utenti di coordinare gli attacchi simultanei. Questo approccio "shotgun", consistente nell'avere più aggressori che prendono di mira più pagine e domini diversi contemporaneamente, può rendere gli sforzi di mitigazione e rilevamento molto più complessi.
Gli script di potenziamento integrati aiutano inoltre gli aggressori a evitare di essere scoperti. Oltre agli script booster, molti utenti HOIC utilizzano anche proxy svedesi per offuscare la propria posizione (si ritiene che scelgano la Svezia a causa delle rigide leggi sulla privacy in Internet in vigore in quel Paese).
Lanciare un attacco serio con l'HOIC richiede un certo coordinamento, poiché sono necessari circa 50 utenti diversi per lanciare l'attacco sullo stesso obiettivo simultaneamente. Anonymous ha dimostrato l’efficacia dell’HOIC nel 2012, quando ha lanciato con successo attacchi contro diverse importanti case discografiche, la RIAA e persino l’FBI. Si è trattato di uno degli attacchi DDoS più grandi della storia e si stima che siano stati necessari circa 27.000 computer che utilizzassero contemporaneamente l'HOIC.
Esistono diverse strategie per mitigare gli attacchi HTTP flood da parte dell'HOIC. Il filtro della reputazione IP (IPRF) è una misura preventiva che controlla gli indirizzi IP in entrata rispetto ai database di indirizzi IP dannosi noti e impedisce che il loro traffico entri in rete. Un Web Application Firewall (WAF) può impostare regole di limitazione della velocità che interromperanno il traffico dagli indirizzi IP che effettuano quantità sospette di richieste. Esistono anche metodi per verificare se un client Web è legittimo, come la verifica captcha e un metodo più sofisticato che chiede ai browser Web di risolvere un semplice problema matematico senza interrompere l'esperienza utente.
La protezione dagli attacchi HOIC dovrebbe essere inclusa nella maggior parte dei prodotti e servizi di protezione DDoS. Un piano completo di protezione da attacchi DDoS che includa un WAF come quello offerto da Cloudflare, offre una solida difesa contro gli attacchi di livello 7, come quelli lanciati da HOIC.