Gli autori degli attacchi sovraccaricano un server Web e bloccano l'accesso a una proprietà Web attraverso attacchi DoS e DDoS.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Che cos’è un attacco DDoS?
High Orbit Ion Cannon
Malware
Mitigazione degli attacchi DDoS
Che cos’è l’IP spoofing?
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Gli attacchi DoS (Denial-of-Service) e DDoS (Distributed Denial of Service) sono tentativi ostili di bloccare le normali operazioni di un server, servizio o rete inondandoli di traffico Internet.
Gli attacchi DoS eseguono questa interruzione inviando traffico dannoso da una singola macchina, in genere da un computer. Possono essere molto semplici; un attacco ping flood di base può essere eseguito inviando a un server designato più richieste ICMP (ping) di quanto il server non sia in grado di elaborare e alle quali non sia in grado di rispondere in modo efficiente.
Gli attacchi DDoS, nel frattempo, utilizzano più di una macchina per inviare traffico dannoso al loro obiettivo. Spesso, queste macchine fanno parte di una botnet, ovvero di una serie di computer o altri dispositivi che sono stati infettati da malware e che possono quindi essere controllati da remoto da un singolo aggressore. In altre circostanze, più aggressori individuali lanciano attacchi DDoS lavorando di concerto per inviare traffico dai loro singoli computer.
Gli attacchi DDoS sono i più diffusi e dannosi nell'Internet di oggi, per due motivi. In primo luogo, i moderni strumenti di sicurezza si sono evoluti per bloccare alcuni comuni attacchi DoS. In secondo luogo, gli strumenti di attacco DDoS sono diventati relativamente economici e facili da usare.
Esistono diversi strumenti che possono essere adattati per lanciare attacchi DoS/DDoS o che sono stati esplicitamente progettati a tale scopo. La prima categoria spesso si compone di "stressors"— strumenti che hanno lo scopo dichiarato di aiutare i ricercatori della sicurezza e gli ingegneri di rete a eseguire test di stress sulle le proprie reti, ma che possono anche essere utilizzati per eseguire veri attacchi.
Alcuni sono specializzati e si concentrano solo su un particolare livello del modello OSI, mentre altri sono progettati per sfruttare più vettori di attacco. Le categorie di strumenti di attacco includono:
Come suggerisce il nome Low and Slow, ovvero basso e lento, questi tipi di strumenti di attacco si contraddistinguono per volume ridotto di dati e funzionamento lentissimo. Progettati per inviare piccole quantità di dati su più connessioni al fine di mantenere aperte il più a lungo possibile le porte su un server di destinazione, questi strumenti continuano ad assorbire le risorse del server designato fino a quando quest’ultimo non è più in grado di mantenere altre connessioni. Tipicamente, gli attacchi bassi e lenti possono essere talvolta efficaci anche senza utilizzare un sistema distribuito come una botnet e sono comunemente sferrati da una singola macchina.
Questi strumenti mirano al livello 7 del modello OSI, nel quale si stabiliscono le richieste Internet come l’HTTP. Utilizzando un tipo di attacco di tipo HTTP flood per sopraffare un bersaglio con richieste HTTP GET e POST, un malintenzionato può lanciare traffico di attacco difficilmente distinguibile da innocue richieste provenienti da normali visitatori.
Scendendo ulteriormente lungo lo stack di protocollo, questi strumenti utilizzano protocolli quali UDP per inviare grandi volumi di traffico a un server designato, ad esempio durante un evento di tipo UDP flood. Sebbene spesso inefficaci individualmente, questi attacchi assumono in genere la forma di attacchi DDoS in cui l’effetto viene potenziato da ulteriori macchine attaccanti.
Alcuni strumenti comunemente usati includono:
LOIC è un'applicazione open source per l’esecuzione di prove di stress. Consente di eseguire attacchi a livello di protocollo TCP e UDP utilizzando un'interfaccia WYSIWYG intuitiva. Data la popolarità dello strumento originale, sono stati creati dei derivati che consentono di lanciare attacchi utilizzando un browser.
Questo strumento di attacco è stato creato in sostituzione dello strumento LOIC, espandendone le capacità e aggiungendo personalizzazioni. Utilizzando il protocollo HTTP, HOIC è in grado di lanciare attacchi mirati difficili da mitigare. Il software è progettato per uno sforzo di attacco coordinato con un minimo di 50 individui disposti a partecipare.
Slowloris è un'applicazione progettata per istigare un attacco di tipo Low and Slow verso un server designato. Necessita di una quantità relativamente limitata di risorse per creare un effetto nefasto.
R.U.D.Y. è un altro strumento di attacco Low and Slow progettato per consentire all'utente di lanciare facilmente attacchi usando un’interfaccia basata sul semplice puntamento e clic del mouse. Aprendo più richieste POST HTTP e mantenendo aperte tali connessioni il più a lungo possibile, l'attacco mira a sopraffare lentamente il server designato.
Poiché gli attacchi DoS e DDoS assumono svariate forme, mitigarli richiede svariate tattiche. Le tattiche comuni per fermare gli attacchi DDoS includono:
Cloudflare applica tutte queste strategie, e altre ancora, per la difesa dagli attacchi DoS e DDoS più grandi e complessi. Approfondimento sulla protezione DDoS di Cloudflare e su come funziona.