Come lanciare un attacco DDoS | DoS e strumenti di attacco DDoS

In che modo gli aggressori sovraccaricano un server Web e bloccano l'accesso a una proprietà Web?

Share facebook icon linkedin icon twitter icon email icon

Come lanciare un attacco DDoS

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire che cos’è DoS e che cosa sono gli attacchi DDoS
  • Comprendere come viene attuato un attacco di tipo denial-of-service
  • Approfondire le diverse categorie di DoS e gli strumenti di attacco DoS
  • Illustrare gli strumenti DoS comunemente usati
  • Esplorare i rischi legali di chi lancia attacchi DDoS

Differenze tra DoS e DDoS

Gli attacchi di tipo Denial-of-service (DoS) sono i precurosi degli attacchi DDoS. Storicamente, gli attacchi DoS erano un metodo primario per interrompere sistemi informatici su una rete. Gli attacchi DoS provengono da una singola macchina e possono essere molto semplici; un attacco ping flood può essere eseguito inviando a un server designato più richieste ICMP (ping) di quanto il server non sia in grado di elaborare e alle quali non sia in grado di rispondere in modo efficiente. Quasi tutti coloro che possiedono una macchina in rete sono in grado di lanciare questo tipo di attacco utilizzando comandi integrati di emulazione del terminale. Gli attacchi DoS più complessi possono comportare l'utilizzo della frammentazione di pacchetti, come l'ormai praticamente defunto attacco Ping of Death.

Gli attacchi di tipo Denial-of-service (DoS) sono i precurosi degli attacchi DDoS. Storicamente, gli attacchi DoS erano un metodo primario per interrompere sistemi informatici su una rete. Gli attacchi DoS provengono da una singola macchina e possono essere molto semplici; un attacco ping flood può essere eseguito inviando a un server designato più richieste ICMP (ping) di quanto il server non sia in grado di elaborare e alle quali non sia in grado di rispondere in modo efficiente.


Quasi tutti coloro che possiedono una macchina in rete sono in grado di lanciare questo tipo di attacco utilizzando comandi integrati di emulazione del terminale. Gli attacchi DoS più complessi possono comportare l'utilizzo della frammentazione di pacchetti, come l'ormai praticamente defunto attacco Ping of Death.


Gli attacchi che coinvolgono più computer o altri dispositivi volti tutti a colpire la stessa vittima sono considerati attacchi DDoS a causa dello schema distribuito. Dei due, gli attacchi DDoS sono i più diffusi e dannosi nella moderna Internet. Per la relativa semplicità di acquisto o creazione di un gruppo di macchine ostili in grado di inviare a un bersaglio una massiccia quantità di traffico Internet, eventuali malintenzionati sono facilmente in grado di utilizzare reti di dispositivi come le botnet per bombardare un bersaglio di richieste. Utilizzando una vasta rete di macchine infette da malware, un pirata è in grado di sfruttare il traffico di attacco di un gran numero di sistemi informatici. Con l'ascesa di dispositivi Internet of Things (IoT) scarsamente protetti, una più vasta base di hardware elettronico può essere asservita a scopi ostili.

Gli attacchi che coinvolgono più computer o altri dispositivi volti tutti a colpire la stessa vittima sono considerati attacchi DDoS a causa dello schema distribuito. Dei due, gli attacchi DDoS sono i più diffusi e dannosi nella moderna Internet.


Per la relativa semplicità di acquisto o creazione di un gruppo di macchine ostili in grado di inviare a un bersaglio una massiccia quantità di traffico Internet, eventuali malintenzionati sono facilmente in grado di utilizzare reti di dispositivi come le botnet per bombardare un bersaglio di richieste.


Utilizzando una vasta rete di macchine infette da malware, un pirata è in grado di sfruttare il traffico di attacco di un gran numero di sistemi informatici. Con l'ascesa di dispositivi Internet of Things (IoT) scarsamente protetti, una più vasta base di hardware elettronico può essere asservita a scopi ostili.


Non tutti gli attacchi distribuiti coinvolgono botnet; alcuni strumenti di attacco sfruttano volontari che collaborano condividendo le proprie risorse informatiche per un obiettivo comune. Il gruppo hacker Anonymous ha utilizzato strumenti DoS e DDoS, insieme a terzi compiacenti, proprio per questo scopo.

Come vengono classificati gli strumenti di attacco DoS/DDoS?

Su Internet è disponibile gratuitamente un certo numero di strumenti di attacco o "fattori di stress" vari. Fondamentalmente, alcuni di questi strumenti hanno scopi legittimi, in quanto ricercatori in sicurezza e tecnici di rete possono talvolta eseguire prove di stress contro le proprie stesse reti. Alcuni strumenti di attacco sono specializzati e si concentrano solo su una particolare area dello stack di protocollo, mentre altri vengono progettati per consentire multipli vettori di attacco.


Gli strumenti di attacco si possono largamente classificare in diversi gruppi:

Strumenti di attacco Low and Slow

Come suggerisce il nome Low and SLow, ovvero basso e lento, questi tipi di strumenti di attacco utilizzano volume ridotto di dati e funzionamento lentissimo. Progettati per inviare piccole quantità di dati su multiple connessioni al fine di mantenere aperte il più a lungo possibile le porte su un server di destinazione, questi strumenti continuano ad assorbire le risorse del server designato fino a quando quest’ultimo non è più in grado di mantenere connessioni aggiuntive. Tipicamente, gli attacchi bassi e lenti possono essere talvolta efficaci anche senza utilizzare un sistema distribuito come una botnet e sono comunemente utilizzati da una singola macchina.

Come suggerisce il nome Low and SLow, ovvero basso e lento, questi tipi di strumenti di attacco utilizzano volume ridotto di dati e funzionamento lentissimo. Progettati per inviare piccole quantità di dati su multiple connessioni al fine di mantenere aperte il più a lungo possibile le porte su un server di destinazione, questi strumenti continuano ad assorbire le risorse del server designato fino a quando quest’ultimo non è più in grado di mantenere connessioni aggiuntive.


Tipicamente, gli attacchi bassi e lenti possono essere talvolta efficaci anche senza utilizzare un sistema distribuito come una botnet e sono comunemente utilizzati da una singola macchina.

Strumenti di attacco al livello applicativo (L7)

Questi strumenti mirano al livello 7 del modello OSI, nel quale hanno luogo richieste basate su Internet come HTTP. Utilizzando un tipo di attacco di tipo HTTP flood per sopraffare un bersaglio con richieste HTTP GET e POST, un malintenzionato può lanciare traffico di attacco difficilmente distinguibile da normali richieste effettuate da normali visitatori.

Strumenti di attacco al livello di protocollo e di trasporto (L3 /L4)

Scendendo ulteriormente lungo lo stack di protocollo, questi strumenti utilizzano protocolli quali UDP per inviare grandi volumi di traffico a un server designato, ad esempio durante un evento di tipo UDP flood. Sebbene spesso inefficaci individualmente, questi attacchi assumono in genere la forma di attacchi DDoS in cui l’effetto viene potenziato da ulteriori macchine attaccanti.

Quali sono gli strumenti di attacco DoS/DDoS comunemente usati?

Alcuni strumenti comunemente usati includono:

Low Orbit Ion Cannon (LOIC)

LOIC è un'applicazione open source per l’esecuzione di prove di stress. Consente di eseguire attacchi a livello di protocollo TCP e UDP utilizzando un'interfaccia WYSIWYG intuitiva. Data la popolarità dello strumento originale, sono stati creati dei derivati ​​che consentono di lanciare attacchi utilizzando un browser.

High Orbit Ion Cannon (HOIC)

Questo strumento di attacco è stato creato in sostituzione dello strumento LOIC espandendone le capacità e aggiungendo personalizzazioni. Utilizzando il protocollo HTTP, HOIC è in grado di lanciare attacchi mirati difficili da mitigare. Il software è progettato per avere un minimo di 50 persone che collaborano in uno sforzo di attacco coordinato.

Slowloris

Prendendo il nome dal lori lento o nitticebo, un primate dai movimenti lenti, Slowloris è un'applicazione progettata per istigare un attacco di tipo Low and Slow verso un server designato. Slowloris si distingue per la quantità limitata di risorse che deve consumare per creare un effetto nefasto.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y.è un altro strumento di attacco Low and Slow progettato per consentire all'utente di lanciare facilmente attacchi usando un’interfaccia semplice basata su puntamento e clic. Aprendo più richieste POST HTTP e mantenendo aperte tali connessioni il più a lungo possibile, l'attacco mira a sopraffare lentamente il server designato.