Attacchi DDoS famosi | I più grandi attacchi DDoS di tutti i tempi

In un attacco Distributed Denial of Service (DDoS), vengono utilizzati più dispositivi per sovraccaricare di richieste un server vittima dell’attacco e rendere indisponibili in rete le applicazioni Web. Alcuni dei più vasti attacchi DDoS hanno raggiunto le prime pagine della stampa specializzata.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Descrivere l’entità dei più potenti attacchi DDoS
  • Capire i motivi che si nascondono dietro alcuni dei più nefasti attacchi informatici
  • Spiegare alcuni degli attacchi DDoS storici più importanti

Copia link dell'articolo

Qual è stato il più vasto attacco DDoS di tutti i tempi?

Ad oggi, il più grande attacco DDoS è avvenuto nel settembre del 2017. L'attacco era diretto ai servizi di Google e ha raggiunto una dimensione di 2,54 Tbps. Google Cloud ha divulgato la notizia dell'attacco solo a ottobre 2020.

Gli aggressori hanno inviato pacchetti spoofed a 180.000 server Web, che a loro volta hanno inviato risposte a Google. L'attacco non è stato un incidente isolato: negli ultimi sei mesi gli aggressori avevano diretto più attacchi DDoS all'infrastruttura di Google.

Quali furono alcuni altri famosi attacchi DDoS?

L'attacco di febbraio 2020 riportato da AWS

AWS ha segnalato la mitigazione di un massiccio attacco DDoS a febbraio 2020. Al culmine dell’attacco venne registrato traffico in entrata a una velocità di 2,3 terabit al secondo (Tbps). AWS non ha mai rivelato il cliente a cui era indirizzato l'attacco.

Gli aggressori responsabili utilizzavano server Web CLDAP (Connection-less Lightweight Directory Access Protocol) compromessi. CLDAP è un protocollo per le directory utente alternativo a LDAP, la vecchia versione. CLDAP è stato utilizzato in più attacchi DDoS negli ultimi anni.

L’attacco DDoS a GitHub di febbraio 2018

Uno dei più grandi attacchi DDoS verificabili registrato finora ha preso di mira GitHub, un popolare servizio utilizzato da milioni di sviluppatori per la gestione online di codice informatico. All'apice, l'attacco ha raggiunto un rateo di 1,3 terabit al secondo (Tbps), con l'invio di 126,9 milioni di pacchetti di richieste al secondo.

L'attacco GitHub è stato a tutti gli effetti un attacco DDoS memcached, pertanto non vi è stata alcuna botnet coinvolta. Gli aggressori sfruttavano in realtà l'effetto di amplificazione di un popolare sistema di caching di database noto come memcached. Inondando i server memcached di richieste contraffatte, gli aggressori furono in grado di amplificare l’attacco di circa 50.000 volte!

Fortunatamente, GitHub usufruiva di un servizio di protezione DDoS che venne allertato automaticamente meno di 10 minuti dopo l'inizio dell'attacco. L'avviso diede inizio alla procedura di mitigazione e GitHub fu in grado di bloccare l'attacco in tempi rapidi. Alla fine, l'attacco DDoS più massiccio mai registrato non durò che una ventina di minuti.

L'attacco a Dyn nel 2016

Un altro attacco DDoS massivo è stato lanciato contro Dyn, un importante provider DNS, nell'ottobre del 2016. L’attacco fu devastante e causò il blocco di numerosi siti principali, tra cui AirBnB, Netflix, PayPal, Visa, Amazon, The New York TImes, Reddit e GitHub. Venne realizzato utilizzando un malware detto Mirai. Mirai forma una botnet utilizzando dispositivi Internet of Things (IoT) compromessi, quali videocamere, smart TV, radio, stampanti e persino baby monitor. Al fine di creare il traffico di attacco, tutti questi dispositivi compromessi vengono programmati per inviare richieste a una singola vittima.

Fortunatamente Dyn fu in grado di risolvere l'attacco in un giorno, ma il motivo dell'attacco non fu mai scoperto. Gruppi hacktivist rivendicarono la responsabilità dell'attacco in risposta al diniego opposto al fondatore di WikiLeaks Julian Assange di accedere a Internet in Ecuador, ma non vi furono prove a sostegno di questa affermazione. Alcuni sospettarono invece che l'attacco fosse stato lanciato da un giocatore frustrato.

L’attacco a GitHub nel 2015

Il più grande attacco DDoS mai registrato all'epoca, anch'esso diretto a GitHub. Questo attacco motivato politicamente durò diversi giorni e mutò adattandosi a strategie messe in atto per la mitigazione DDoS. Il traffico DDoS ebbe origine in Cina e prese di mira in particolare gli URL di due progetti GitHub volti a eludere la censura dello stato cinese. Si ipotizza che l'intento dell'attacco fosse di provare a far pressione su GitHub per annullare tali progetti.

Il traffico di attacco venne creato iniettando codice JavaScript nei browser di tutti coloro che visitavano Baidu, il motore di ricerca più popolare in Cina. Anche altri siti che utilizzavano i servizi di analisi di Baidu iniettavano codice dannoso, il quale istruiva i browser infetti all’invio di richieste HTTP alle pagine di GitHub oggetto dell’attacco. All'indomani dell'attacco venne stabilito che il codice dannoso non proveniva da Baidu, bensì veniva aggiunto da un servizio di intermediazione.

L'attacco a Spamhaus nel 2013

Un altro attacco epico per quei tempi fu l'attacco del 2013 lanciato a Spamhaus, un'organizzazione che aiuta a combattere le e-mail di spam e attività affini. Spamhaus è responsabile del filtraggio dell'80% di tutto lo spam, il che li rende un bersaglio appetitoso per coloro che desiderano che le e-mail di spam arrivino invece a destinazione.

L'attacco incanalò il traffico verso Spamhaus a una velocità di 300 Gbps. Non appena iniziò l'attacco, Spamhaus si registrò a Cloudflare. La protezione da attacchi DDoS di Cloudflare riuscì a mitigare l'attacco. Gli aggressori risposero inseguendo determinati nodi di scambio Internet e provider di banda nel tentativo di sbaragliare Cloudflare. L'attacco non raggiunse il suo scopo ma causò problemi non lievi a LINX, il punto di scambio Internet di Londra. Il principale responsabile dell'attacco risultò essere un giovane hacker "a contratto" in Gran Bretagna, ingaggiato per lanciare l’attacco DDoS.

Ulteriori informazioni su questo attacco e su come fu mitigato sono disponibili nel blog Cloudflare.

L'attacco a Mafiaboy nel 2000

Nel 2000 un hacker di 15 anni noto come “Mafiaboy” mise fuori combattimento numerosi siti Web importanti tra cui CNN, Dell, E-Trade, eBay e Yahoo!, all'epoca il motore di ricerca più famoso al mondo. L’attacco ebbe conseguenze devastanti, creando perfino caos nel mercato azionario.

Mafiaboy, un liceale di nome Michael Calce, come poi fu accertato, coordinò l'attacco hackerando le reti di diverse università e sfruttando i loro server per condurre l'attacco DDoS. Il clamore di questo attacco indusse molti governi a legiferare contro i crimini informatici,

L'attacco estone nel 2007

Nell'aprile 2007 l'Estonia rimase vittima di un poderoso attacco DDoS che prese di mira la pubblica amministrazione, istituti finanziari e organi di stampa. Ciò ebbe un effetto schiacciante poiché all’epoca il governo estone era uno dei primi ad adottare un’amministrazione online e funzionava praticamente senza supporti cartacei; persino le elezioni nazionali erano condotte in rete

L'attacco, considerato da molti il primo vero atto di guerra informatica, fu sferrato in risposta a un conflitto politico con la Russia per il trasferimento del "Soldato di bronzo di Tallinn", monumento della Seconda Guerra Mondiale. Il governo russo fu sospettato di coinvolgimento e fu arrestato un cittadino estone di origini russe. Tuttavia il governo russo non permise alle forze dell'ordine estoni di svolgere ulteriori indagini in Russia. Questo incidente portò all’istituzione di leggi internazionali sulla guerra informatica.

I fornitori di protezione da attacchi DDoS sono in grado di mitigare gli attacchi di queste dimensioni?

Dipende dalla loro capacità di rete, ovvero se sono in grado di assorbire o meno la quantità di traffico generato dall'attacco DDoS in questione, continuando al tempo stesso a fornire i loro servizi. Numerosi fornitori di protezione e mitigazione DDoS oggi dispongono di una capacità di rete sufficiente per farlo.

Although the largest DDoS attack Cloudflare has mitigated in terms of volume was 1.2 Tbps, Cloudflare features 100 Tbps of network capacity, which is much larger than the largest DDoS attacks ever recorded. Cloudflare has also mitigated DDoS attacks that featured extremely high packet rates. In June 2020, Cloudflare mitigated a 754 million packet-per-second DDoS attack.

È importante tenere presente che la stragrande maggioranza degli attacchi DDoS non è grande quanto gli attacchi descritti in questo articolo. Le ricerche di Cloudflare mostrano che la maggior parte degli attacchi DDoS non supera i 10 Gbps. Tuttavia, anche questi attacchi DDoS più piccoli possono mettere ko siti Web o applicazioni per lunghi periodi di tempo se non dispongono di mitigazione DDoS in atto.