Come funzionano gli attacchi DDoS di livello 3? | DDoS L3

Gli attacchi DDoS di livello 3 utilizzano protocolli di livello 3, in particolare ICMP, per rendere inattivi determinati server, siti Web o applicazioni.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Capire cosa significa "livello 3"
  • Scoprire la differenza tra gli attacchi DDoS di livello 3 e altri attacchi DDoS
  • Esplorare i protocolli utilizzati al livello 3 e come un aggressore può sfruttarli in un attacco DDoS

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Che cosa sono gli attacchi DDoS di livello 7?

Un attacco DDoS tenta di sopraffare il suo bersaglio con grandi quantità di dati. Un attacco DDoS è come un ingorgo che blocca un'autostrada, impedendo al traffico regolare di raggiungere la sua destinazione.

Gli attacchi DDoS di livello 3 puntano al livello 3 (L3) nel modello OSI. Come tutti gli attacchi DDoS, l'obiettivo di un attacco di livello 3 è rallentare o arrestare un programma, un servizio, un computer o un'intera rete oppure di riempire la capacità in modo che nessun altro possa ricevere il servizio. Gli attacchi DDoS L3 in genere realizzano questo obiettivo puntando all'infrastruttura e alle apparecchiature di rete.

Esistono alcune differenze importanti tra gli attacchi DDoS di livello 3 e gli attacchi ai livelli superiori:

  1. Gli attacchi di livello 3 prendono di mira il livello di rete, non i processi del livello di trasporto o del livello applicazione (come fanno gli attacchi DDoS di livello 4 e gli attacchi DDoS di livello 7).
  2. Gli attacchi di livello 3 non devono necessariamente aprire una connessione TCP con il bersaglio
  3. Gli attacchi di livello 3 non prendono di mira una porta specifica

Che cos’è il modello OSI?

Il modello OSI è un modello concettuale del funzionamento di Internet. Gli obiettivi principali del modello OSI sono aiutare le persone a parlare di apparecchiature e protocolli di rete, determinare quali protocolli vengono utilizzati da quale software e hardware e mostrare come Internet può funzionare indipendentemente dall'hardware sottostante.

Il modello OSI suddivide le diverse tecnologie che permettono il funzionamento di Internet in livelli. Esistono sette livelli in totale:

Modello OSI

Cos'è il livello 3 nel modello OSI?

Il livello OSI 3 è denominato livello di rete. Il livello 3 comprende i protocolli e le tecnologie che rendono possibili le reti interconnesse, ovvero Internet. Questo livello è il punto in cui avviene il routing tra le reti. I dati che attraversano le reti sono suddivisi in pacchetti e questi pacchetti vengono indirizzati e inviati alle loro destinazioni al livello 3. Il protocollo più importante per questo processo è il protocollo Internet (IP).

I protocolli di livello 3 non aprono connessioni, non garantiscono la consegna affidabile dei dati, né indicano quale servizio sul dispositivo di destinazione dovrebbe utilizzare i dati; questi sono processi di livello 4. Il livello 4 prevede l'uso di protocolli di trasporto come TCP e UDP. Inviare pacchetti attraverso reti senza un protocollo di trasporto di livello 4 è come spedire una lettera a un indirizzo senza assicurarsi che l'indirizzo sia corretto, incluso il nome di una persona specifica a quell'indirizzo che dovrebbe aprire la lettera, oppure senza utilizzare un servizio di consegna postale affidabile. I dati potrebbero arrivare oppure no. Questo è il motivo per cui molti protocolli di livello 3 vengono sempre utilizzati in combinazione con un protocollo di trasporto di livello 4, il quale garantisce che i dati raggiungano la destinazione corretta.

Tuttavia, è ancora possibile inviare pacchetti di dati a una destinazione di rete tramite IP senza l'uso di un protocollo di trasporto.

Poiché il livello 3 è senza connessione, gli attacchi DDoS di livello 3 non necessitano di aprire una connessione tramite TCP o di specificare assegnazioni di porte. Gli attacchi DDoS di livello 3 prendono di mira il software di rete eseguito su un computer, anziché una porta specifica.

Quali sono i protocolli utilizzati per il livello 3?

Questi sono i protocolli di livello 3 più utilizzati e quelli che hanno maggiori probabilità di essere impiegati in un attacco DDoS:

IP: Il protocollo Internet (IP) instrada e indirizza i pacchetti di dati in modo che arrivino alla destinazione corretta. Ogni dispositivo che si connette a Internet ha un indirizzo IP e il protocollo IP assegna l'indirizzo IP corretto a ciascun pacchetto di dati, come quando si indirizza una lettera a qualcuno.

IPsec: IPsec in realtà non è un singolo protocollo ma un insieme di protocolli. IPsec è la versione crittografata dell'IP utilizzata dalle VPN, simile alla differenza tra HTTPS e HTTP.

ICMP: Internet Control Message Protocol (ICMP) gestisce i rapporti di errore e i test. Essendo un protocollo senza connessione, ICMP non utilizza un protocollo di trasporto come TCP o UDP. Piuttosto, i pacchetti ICMP vengono inviati solo tramite IP. Gli sviluppatori e gli ingegneri di rete utilizzano ICMP per le sue funzioni di ping e traceroute. In genere, è necessario inviare un solo pacchetto ICMP alla volta.

Altri protocolli di livello 3 includono:

  • IGMP: l'Internet Group Message Protocol gestisce i gruppi multicast IP, consentendo a più dispositivi all'interno di una rete di ricevere lo stesso traffico IP.
  • ARP: il protocollo di risoluzione degli indirizzi è destinato all'uso solo all'interno di una singola rete. I computer utilizzano questo protocollo per mappare gli indirizzi IP agli indirizzi MAC all'interno della rete (un indirizzo MAC è un identificatore univoco integrato in ogni dispositivo abilitato a Internet, come un'impronta digitale).

In teoria, gli attacchi sono possibili utilizzando uno qualsiasi di questi protocolli. L'ICMP viene comunemente utilizzato per inondare un server con troppi ping a cui rispondere, oppure con un unico pacchetto ping di grandi dimensioni che blocca il dispositivo ricevente (questo è noto come "Ping of Death"). Gli aggressori possono utilizzare IPsec per inondare il bersaglio con dati spazzatura o certificati di sicurezza eccessivamente grandi.

Tuttavia, non tutti questi protocolli sono adatti per gli attacchi DDoS e alcuni tipi di attacchi sono resi impossibili dagli aggiornamenti hardware. Ad esempio, l'ARP funziona solo all'interno di una rete locale, quindi un utente malintenzionato per eseguire un attacco DDoS dovrebbe prima connettersi alla rete locale. Gli attacchi Ping of Death di ICMP non sono possibili con l'hardware moderno, che ignora i pacchetti IP troppo grandi.

Come funzionano gli attacchi DDoS L3?

Come per altri tipi di attacchi DDoS, l'aggressore invia un elevato volume di traffico di rete indesiderato tramite questi protocolli. Esistono diversi metodi per farlo, a seconda del protocollo. Il traffico indesiderato ostacola le richieste degli utenti legittimi, rallentando le risposte o bloccandole completamente. A volte ci sono così tanti dati spazzatura da sovraccaricare le risorse del sistema di destinazione, causandone l'arresto anomalo.

Quali sono alcuni tipi noti di attacchi DDoS di livello 3?

Sebbene siano possibili altri attacchi, inclusi gli attacchi solo su IP, gli attacchi basati su ICMP sono i più comuni. Gli attacchi ICMP più comuni includono:

  • Ping flood: in un attacco DDoS ping flood, l'aggressore invia migliaia o addirittura milioni di richieste ping a un server contemporaneamente.
  • Attacco Smurf: l'ICMP non dispone di misure di sicurezza o di verifica, rendendo possibile a un utente malintenzionato falsificare un indirizzo IP in una richiesta ICMP. In un attacco DDoS Smurf, l'aggressore invia richieste ping a migliaia di server, falsificando l'indirizzo IP della vittima nelle richieste ping in modo che le risposte vengano inviate alla vittima e non all'aggressore. La maggior parte degli hardware di rete moderni non è più vulnerabile a questo attacco.
  • Ping of Death: in un attacco Ping of Death di ICMP, un utente malintenzionato invia al bersaglio una richiesta ping di dimensioni superiori alla dimensione massima consentita. I router lungo il percorso verso la destinazione frammenteranno il ping in pacchetti più piccoli, in modo che la destinazione li accetti, ma quando si proverà a riassemblare il pacchetto più grande dai frammenti più piccoli, la dimensione del pacchetto supererà il massimo e ciò causerà l'arresto anomalo della destinazione. I dispositivi moderni non sono vulnerabili a questo attacco.

In che modo Cloudflare protegge dagli attacchi DDoS di livello 3?

Oltre a bloccare gli attacchi DDoS ai livelli 4 e 7, Cloudflare contrasta gli attacchi DDoS di livello 3. Cloudflare Magic Transit è progettato specificamente per bloccare gli attacchi all'infrastruttura di rete interna, inclusi gli attacchi DDoS a qualsiasi livello. Il Cloudflare WAF e la CDN bloccano anche gli attacchi DDoS di livello 3 accettando solo il traffico verso le porte HTTP e HTTPS, dato che accettano traffico solo al livello applicazione.

Cos'è il livello 3 nel modello TCP/IP?

Il modello TCP/IP è un modello alternativo di funzionamento delle reti. Invece di sette livelli, il modello TCP/IP ne ha quattro:

4. Livello applicazione (corrisponde ai livelli 5-7 nel modello OSI)

3. Livello di trasporto (corrisponde al livello 4 nel modello OSI)

2. Livello Internet (corrisponde al livello 3 nel modello OSI)

1. Livello di accesso/collegamento alla rete (corrisponde ai livelli 1-2 nel modello OSI)

Facendo riferimento al modello TCP/IP invece che al modello OSI, gli attacchi DDoS di livello 3 verrebbero chiamati attacchi DDoS di livello 2.