How to DDoS | DoS and DDoS attack tools

Attackers overload a web server and shut down access to a web property through DoS and DDoS attacks.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire gli attacchi DoS e DDoS
  • Descrivi gli strumenti DoS e DDoS comunemente usati
  • Scopri come difenderti dagli strumenti di attacco DDoS

Copia link dell'articolo

Cosa sono gli attacchi DoS e DDoS?

Gli attacchi DoS (Denial-of-Service) e DDoS (Distributed Denial of Service) sono tentativi ostili di bloccare le normali operazioni di un server, servizio o rete inondandoli di traffico Internet.

Gli attacchi DoS eseguono questa interruzione inviando traffico dannoso da una singola macchina, in genere da un computer. Possono essere molto semplici; un attacco ping flood di base può essere eseguito inviando a un server designato più richieste ICMP (ping) di quanto il server non sia in grado di elaborare e alle quali non sia in grado di rispondere in modo efficiente.

Gli attacchi DDoS, nel frattempo, utilizzano più di una macchina per inviare traffico dannoso al loro obiettivo. Spesso, queste macchine fanno parte di una botnet, ovvero di una serie di computer o altri dispositivi che sono stati infettati da malware e che possono quindi essere controllati da remoto da un singolo aggressore. In altre circostanze, più aggressori individuali lanciano attacchi DDoS lavorando di concerto per inviare traffico dai loro singoli computer.

Gli attacchi DDoS sono i più diffusi e dannosi nell'Internet di oggi, per due motivi. In primo luogo, i moderni strumenti di sicurezza si sono evoluti per bloccare alcuni comuni attacchi DoS. In secondo luogo, gli strumenti di attacco DDoS sono diventati relativamente economici e facili da usare.

Come vengono classificati gli strumenti di attacco DoS/DDoS?

Esistono diversi strumenti che possono essere adattati per lanciare attacchi DoS/DDoS o che sono stati esplicitamente progettati a tale scopo. La prima categoria spesso si compone di "stressors"— strumenti che hanno lo scopo dichiarato di aiutare i ricercatori della sicurezza e gli ingegneri di rete a eseguire test di stress sulle le proprie reti, ma che possono anche essere utilizzati per eseguire veri attacchi.

Some are specialized and only focus on a particular layer of the OSI model, while others are designed to allow for multiple attack vectors. Categories of attack tools include:

Strumenti di attacco Low and Slow

Come suggerisce il nome Low and Slow, ovvero basso e lento, questi tipi di strumenti di attacco si contraddistinguono per volume ridotto di dati e funzionamento lentissimo. Progettati per inviare piccole quantità di dati su più connessioni al fine di mantenere aperte il più a lungo possibile le porte su un server di destinazione, questi strumenti continuano ad assorbire le risorse del server designato fino a quando quest’ultimo non è più in grado di mantenere altre connessioni. Tipicamente, gli attacchi bassi e lenti possono essere talvolta efficaci anche senza utilizzare un sistema distribuito come una botnet e sono comunemente sferrati da una singola macchina.

Strumenti di attacco al livello applicativo (L7)

Questi strumenti mirano al livello 7 del modello OSI, nel quale si stabiliscono le richieste Internet come l’HTTP. Utilizzando un tipo di attacco di tipo HTTP flood per sopraffare un bersaglio con richieste HTTP GET e POST, un malintenzionato può lanciare traffico di attacco difficilmente distinguibile da innocue richieste provenienti da normali visitatori.

Strumenti di attacco al livello di protocollo e di trasporto (L3 /L4)

Scendendo ulteriormente lungo lo stack di protocollo, questi strumenti utilizzano protocolli quali UDP per inviare grandi volumi di traffico a un server designato, ad esempio durante un evento di tipo UDP flood. Sebbene spesso inefficaci individualmente, questi attacchi assumono in genere la forma di attacchi DDoS in cui l’effetto viene potenziato da ulteriori macchine attaccanti.

Quali sono gli strumenti di attacco DoS/DDoS comunemente usati?

Alcuni strumenti comunemente usati includono:

Low Orbit Ion Cannon (LOIC)

LOIC è un'applicazione open source per l’esecuzione di prove di stress. Consente di eseguire attacchi a livello di protocollo TCP e UDP utilizzando un'interfaccia WYSIWYG intuitiva. Data la popolarità dello strumento originale, sono stati creati dei derivati che consentono di lanciare attacchi utilizzando un browser.

High Orbit Ion Cannon (HOIC)

Questo strumento di attacco è stato creato in sostituzione dello strumento LOIC, espandendone le capacità e aggiungendo personalizzazioni. Utilizzando il protocollo HTTP, HOIC è in grado di lanciare attacchi mirati difficili da mitigare. Il software è progettato per uno sforzo di attacco coordinato con un minimo di 50 individui disposti a partecipare.

Slowloris

Slowloris è un'applicazione progettata per istigare un attacco di tipo Low and Slow verso un server designato. Necessita di una quantità relativamente limitata di risorse per creare un effetto nefasto.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. è un altro strumento di attacco Low and Slow progettato per consentire all'utente di lanciare facilmente attacchi usando un’interfaccia basata sul semplice puntamento e clic del mouse. Aprendo più richieste POST HTTP e mantenendo aperte tali connessioni il più a lungo possibile, l'attacco mira a sopraffare lentamente il server designato.

Come posso difendermi dagli strumenti DOS/DDoS?

Poiché gli attacchi DoS e DDoS assumono svariate forme, mitigarli richiede svariate tattiche. Le tattiche comuni per fermare gli attacchi DDoS includono:

  • Rate limiting: limitazione del numero di richieste accettate da un server in una determinata finestra temporale
  • Web application firewall: strumenti che filtrano il traffico Web in base a una serie di regole
  • Diffusione di rete Anycast: posizionamento di una rete cloud distribuita di grandi dimensioni tra un server e il traffico in entrata, fornendo risorse di elaborazione aggiuntive con cui rispondere alle richieste.

Cloudflare applica tutte queste strategie, e altre ancora, per la difesa dagli attacchi DoS e DDoS più grandi e complessi. Approfondimento sulla protezione DDoS di Cloudflare e su come funziona.