In un attacco Distributed Denial of Service (DDoS), vengono utilizzati più dispositivi per sovraccaricare di traffico un server bersaglio e rendere i servizi online non disponibili. Alcuni dei più vasti attacchi DDoS hanno raggiunto le prime pagine della stampa specializzata.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è un attacco denial-of-service (DoS)?
Come sferrare un attacco DDoS | Strumenti di attacco DoS e DDoS
Cos’è un botnet DDoS?
Cos'è l'Internet of Things (IoT)?
Cos'è il routing a un buco nero DDoS?
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Nel terzo trimestre del 2025, Cloudflare ha mitigato il più grande attacco DDoS mai segnalato, a 29,7 terabit al secondo (Tbps). L'attacco è stato attribuito alla botnet Aisuru, composta da circa 1-4 milioni di host infetti a livello globale. La rete Cloudflare è riuscita a mitigare automaticamente l'attacco, nonostante le sue dimensioni senza precedenti (nei decenni precedenti, gli attacchi DDoS avevano raramente superato 1-2 Tbps).
Nell'ottobre 2023, Google ha affermato di aver mitigato i più grandi attacchi DDoS mai registrati: un attacco HTTP/2 'Rapid Reset' che ha raggiunto un picco di 398 milioni di richieste al secondo (RPS).
HTTP/2 Rapid Reset sfrutta una vulnerabilità nel protocollo HTTP/2 per eseguire attacchi DDoS. Il protocollo HTTP/2 è fondamentale per l'interazione dei browser con i siti Web: permette ai browser di richiedere testo, immagini e altri contenuti dai siti. Con un attacco Rapid Reset HTTP/2, gli aggressori inviano un gran numero di richieste a un sito e le annullano immediatamente. Ripetono il processo di richiesta e annullamento, sperando di sovraccaricare il sito Web e mandarlo offline.
Cloudflare ha contribuito a scoprire questa tipologia di minaccia e ha mitigato attacchi da record, come quelli che hanno superato i 201 rps (vedi sotto).
Nell'agosto 2023, Cloudflare ha mitigato migliaia di attacchi DDoS HTTP iper-volumetrici, 89 dei quali hanno superato i 100 milioni di rps. Il picco massimo è stato di 201 milioni di RPS, un valore tre volte superiore al precedente attacco più grande mai registrato (71 milioni di RPS, registrato a febbraio 2023).
Google ha segnalato che un cliente di Google Cloud è stato preso di mira da attacchi DDoS HTTPS, con picchi di 46 milioni di RPS. L'attacco ha avuto origine da più di 5.000 fonti in oltre 130 paesi.
Nel novembre 2021, Azure ha subito quello che all'epoca era il più grande attacco DDoS mai registrato. L'attacco ha raggiunto un throughput di 3,47 Tbps. Secondo Microsoft, proveniva da circa 10.000 fonti in almeno 10 paesi. La società ha fatto presente di aver mitigato anche altri due attacchi, quell'anno, con una velocità di trasmissione superiore a 2,5 Tbps.
AWS ha segnalato la mitigazione di un massiccio attacco DDoS a febbraio 2020. Al culmine dell’attacco venne registrato traffico in entrata a una velocità di 2,3 Tbps. AWS non ha mai rivelato il cliente a cui era indirizzato l'attacco.
Gli aggressori responsabili utilizzavano server Web CLDAP (Connection-less Lightweight Directory Access Protocol) compromessi. CLDAP è un protocollo per le directory utente alternativo a LDAP, la vecchia versione. CLDAP è stato utilizzato in più attacchi DDoS negli ultimi anni.
Un grande attacco DDoS nel 2018 ha preso di mira GitHub, il popolare servizio di gestione di codice online utilizzato da milioni di sviluppatori. All'apice, l'attacco ha raggiunto un rateo di 1,3 terabit al secondo (Tbps), con l'invio di 126,9 milioni di pacchetti di richieste al secondo.
L'attacco GitHub non ha coinvolto botnet. Invece, si trattava di un attacco DDoS memcached: gli aggressori sfruttavano l'effetto di amplificazione di un popolare sistema di caching di database noto come memcached. Inondando i server memcached di richieste contraffatte, gli aggressori furono in grado di amplificare l’attacco di circa 50.000 volte.
Fortunatamente, GitHub usufruiva di un servizio di protezione da attacchi DDoS che venne allertato automaticamente meno di 10 minuti dopo l'inizio dell'attacco. L'avviso diede inizio alla procedura di mitigazione e GitHub fu in grado di bloccare l'attacco in tempi rapidi. L'enorme attacco DDoS è durato solo circa 20 minuti.
Nel 2017, un attacco diretto ai servizi di Google Cloud ha raggiunto una dimensione di 2,54 Tbps. Google ha divulgato la notizia dell'attacco a ottobre 2020.
Gli aggressori hanno inviato pacchetti spoofed a 180.000 server Web, che a loro volta hanno inviato risposte a Google. L'attacco non è stato un incidente isolato: negli ultimi sei mesi gli aggressori avevano diretto più attacchi DDoS all'infrastruttura di Google.
Un altro attacco DDoS massivo è stato lanciato contro Dyn, un importante provider DNS, nell'ottobre del 2016. L’attacco fu devastante e causò il blocco di numerosi siti principali, tra cui AirBnB, Netflix, PayPal, Visa, Amazon, The New York TImes, Reddit e GitHub. Gli aggressori hanno utilizzato un malware chiamato Mirai. Mirai forma una botnet utilizzando dispositivi Internet of Things (IoT) compromessi, quali videocamere, smart TV, radio, stampanti e persino baby monitor. Al fine di creare il traffico di attacco, tutti questi dispositivi compromessi vengono programmati per inviare richieste a una singola vittima.
Fortunatamente Dyn fu in grado di risolvere l'attacco in un giorno, ma il motivo dell'attacco non fu mai scoperto. Gruppi hacktivist rivendicarono la responsabilità dell'attacco in risposta al diniego opposto al fondatore di WikiLeaks Julian Assange di accedere a Internet in Ecuador, ma non vi furono prove a sostegno di questa affermazione. Alcuni sospettarono invece che l'attacco fosse stato lanciato da un giocatore frustrato.
GitHub ha subito un DDoS nel 2015 che è stato il più grande mai visto in quel momento. Questo attacco motivato politicamente durò diversi giorni e mutò adattandosi a strategie messe in atto per la mitigazione degli attacchi DDoS. Il traffico DDoS ebbe origine in Cina e prese di mira in particolare gli URL di due progetti GitHub volti a eludere la censura dello stato cinese. Si ipotizza che l'intento dell'attacco fosse di provare a far pressione su GitHub per annullare tali progetti.
Il traffico di attacco venne creato iniettando codice JavaScript nei browser di tutti coloro che visitavano Baidu, il motore di ricerca più popolare in Cina. Anche altri siti che utilizzavano i servizi di analisi di Baidu stavano iniettando codice dannoso. Questo codice induceva i browser infetti a inviare richieste HTTP alle pagine GitHub di destinazione. All'indomani dell'attacco venne stabilito che il codice dannoso non proveniva da Baidu, bensì veniva aggiunto da un servizio di intermediazione.
Nel 2013, un grande attacco è stato diretto a Spamhaus, un'organizzazione che aiuta a combattere le e-mail di spam e attività affini. Spamhaus è responsabile del filtraggio dell'80% di tutto lo spam, il che li rende un bersaglio appetitoso per coloro che desiderano che le e-mail di spam arrivino invece a destinazione.
L'attacco incanalò il traffico verso Spamhaus a una velocità di 300 Gbps. Non appena iniziò l'attacco, Spamhaus si registrò a Cloudflare. La protezione da attacchi DDoS di Cloudflare riuscì a mitigare l'attacco. Gli aggressori risposero inseguendo determinati nodi di scambio Internet e provider di banda nel tentativo di sbaragliare Cloudflare. L'attacco non raggiunse il suo scopo ma causò problemi non lievi a LINX, il punto di scambio Internet di Londra. Il principale responsabile dell'attacco risultò essere un giovane hacker a contratto in Gran Bretagna, ingaggiato per lanciare l’attacco DDoS.
Ulteriori informazioni su questo attacco e su come fu mitigato sono disponibili nel blog Cloudflare.
Nel 2000, un aggressore noto come "Mafiaboy" ha messo fuori uso diversi importanti siti web, tra cui CNN, Dell, E-Trade, eBay e Yahoo!. All'epoca, Yahoo! era il motore di ricerca più popolare al mondo. Questo attacco ha avuto conseguenze devastanti, creando persino caos nel mercato azionario.
Mafiaboy, che in seguito si scoprì essere uno studente liceale quindicenne di nome Michael Calce, coordinò l'attacco compromettendo le reti di diverse università e utilizzando i loro server per condurre l'attacco DDoS. Il clamore di questo attacco indusse molti governi a legiferare contro i crimini informatici,
Nell'aprile 2007 l'Estonia rimase vittima di un poderoso attacco DDoS che prese di mira la pubblica amministrazione, istituti finanziari e organi di stampa. Ciò ebbe un effetto schiacciante poiché all’epoca il governo estone era uno dei primi ad adottare un’amministrazione online e funzionava praticamente senza supporti cartacei; persino le elezioni nazionali erano condotte in rete.
L'attacco, considerato da molti il primo vero atto di guerra informatica, fu sferrato in risposta a un conflitto politico con la Russia per il trasferimento del "Soldato di bronzo di Tallinn", monumento della Seconda Guerra Mondiale. Il governo russo fu sospettato di coinvolgimento e fu arrestato un cittadino estone di origini russe. Tuttavia il governo russo non permise alle forze dell'ordine estoni di svolgere ulteriori indagini in Russia. Questo incidente portò all’istituzione di leggi internazionali sulla guerra informatica.
La capacità dei fornitori di soluzioni di protezione da attacchi DDoS di mitigare questi tipi di attacchi su larga scala dipende dalla capacità della loro rete. Alcuni fornitori dispongono effettivamente di una capacità di rete sufficiente per assorbire la quantità di traffico generata dall'attacco DDoS in questione, continuando al tempo stesso a fornire i loro servizi. Cloudflare offre 500 Tbps di capacità di rete, che è molto più grande dei più grandi attacchi DDoS mai registrati.
Cloudflare ha mitigato anche attacchi DDoS che presentavano frequenza di pacchetti e velocità di richieste HTTP estremamente elevate. Ad esempio, a giugno 2020, Cloudflare ha mitigato un attacco DDoS da 754 milioni di pacchetti al secondo. E ad agosto 2023, Cloudflare ha mitigato attacchi superiori a 201 milioni di rps. È importante sottolineare che Cloudflare protegge anche dagli attacchi HTTP/2 Rapid Reset.
La stragrande maggioranza degli attacchi DDoS non è grande quanto gli attacchi descritti sopra. Infatti, la maggior parte degli attacchi DDoS non supera 1 Gbps. Tuttavia, anche questi attacchi DDoS più piccoli possono mettere ko siti Web o applicazioni per lunghi periodi di tempo se non dispongono di soluzioni di mitigazione degli attacchi DDoS in atto. Con l'evolversi continuo degli attacchi DDoS, sempre più organizzazioni potrebbero essere a rischio.
Scopri di più sulla prossima era degli attacchi DDoS. E scopri Cloudflare Magic Transit, che sfrutta l'enorme rete globale di Cloudflare per proteggere le sottoreti pubbliche dagli attacchi DDoS senza rallentare il traffico.