Gli attacchi DDoS di livello 3 utilizzano protocolli di livello 3, in particolare ICMP, per rendere inattivi determinati server, siti Web o applicazioni.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Livello 7
Attacco al livello applicativo
Che cos’è un attacco DDoS?
Cos’è un botnet DDoS?
Attacco DDoS memcached
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Un attacco DDoS tenta di sopraffare il suo bersaglio con grandi quantità di dati. Un attacco DDoS è come un ingorgo che blocca un'autostrada, impedendo al traffico regolare di raggiungere la sua destinazione.
Gli attacchi DDoS di livello 3 puntano al livello 3 (L3) nel modello OSI. Come tutti gli attacchi DDoS, l'obiettivo di un attacco di livello 3 è rallentare o arrestare un programma, un servizio, un computer o un'intera rete oppure di riempire la capacità in modo che nessun altro possa ricevere il servizio. Gli attacchi DDoS L3 in genere realizzano questo obiettivo puntando all'infrastruttura e alle apparecchiature di rete.
Esistono alcune differenze importanti tra gli attacchi DDoS di livello 3 e gli attacchi ai livelli superiori:
Il modello OSI è un modello concettuale del funzionamento di Internet. Gli obiettivi principali del modello OSI sono aiutare le persone a parlare di apparecchiature e protocolli di rete, determinare quali protocolli vengono utilizzati da quale software e hardware e mostrare come Internet può funzionare indipendentemente dall'hardware sottostante.
Il modello OSI suddivide le diverse tecnologie che permettono il funzionamento di Internet in livelli. Esistono sette livelli in totale:
Il livello OSI 3 è denominato livello di rete. Il livello 3 comprende i protocolli e le tecnologie che rendono possibili le reti interconnesse, ovvero Internet. Questo livello è il punto in cui avviene il routing tra le reti. I dati che attraversano le reti sono suddivisi in pacchetti e questi pacchetti vengono indirizzati e inviati alle loro destinazioni al livello 3. Il protocollo più importante per questo processo è il protocollo Internet (IP).
I protocolli di livello 3 non aprono connessioni, non garantiscono la consegna affidabile dei dati, né indicano quale servizio sul dispositivo di destinazione dovrebbe utilizzare i dati; questi sono processi di livello 4. Il livello 4 prevede l'uso di protocolli di trasporto come TCP e UDP. Inviare pacchetti attraverso reti senza un protocollo di trasporto di livello 4 è come spedire una lettera a un indirizzo senza assicurarsi che l'indirizzo sia corretto, incluso il nome di una persona specifica a quell'indirizzo che dovrebbe aprire la lettera, oppure senza utilizzare un servizio di consegna postale affidabile. I dati potrebbero arrivare oppure no. Questo è il motivo per cui molti protocolli di livello 3 vengono sempre utilizzati in combinazione con un protocollo di trasporto di livello 4, il quale garantisce che i dati raggiungano la destinazione corretta.
Tuttavia, è ancora possibile inviare pacchetti di dati a una destinazione di rete tramite IP senza l'uso di un protocollo di trasporto.
Poiché il livello 3 è senza connessione, gli attacchi DDoS di livello 3 non necessitano di aprire una connessione tramite TCP o di specificare assegnazioni di porte. Gli attacchi DDoS di livello 3 prendono di mira il software di rete eseguito su un computer, anziché una porta specifica.
Questi sono i protocolli di livello 3 più utilizzati e quelli che hanno maggiori probabilità di essere impiegati in un attacco DDoS:
IP: Il protocollo Internet (IP) instrada e indirizza i pacchetti di dati in modo che arrivino alla destinazione corretta. Ogni dispositivo che si connette a Internet ha un indirizzo IP e il protocollo IP assegna l'indirizzo IP corretto a ciascun pacchetto di dati, come quando si indirizza una lettera a qualcuno.
IPsec: IPsec in realtà non è un singolo protocollo ma un insieme di protocolli. IPsec è la versione crittografata dell'IP utilizzata dalle VPN, simile alla differenza tra HTTPS e HTTP.
ICMP: Internet Control Message Protocol (ICMP) gestisce i rapporti di errore e i test. Essendo un protocollo senza connessione, ICMP non utilizza un protocollo di trasporto come TCP o UDP. Piuttosto, i pacchetti ICMP vengono inviati solo tramite IP. Gli sviluppatori e gli ingegneri di rete utilizzano ICMP per le sue funzioni di ping e traceroute. In genere, è necessario inviare un solo pacchetto ICMP alla volta.
Altri protocolli di livello 3 includono:
In teoria, gli attacchi sono possibili utilizzando uno qualsiasi di questi protocolli. L'ICMP viene comunemente utilizzato per inondare un server con troppi ping a cui rispondere, oppure con un unico pacchetto ping di grandi dimensioni che blocca il dispositivo ricevente (questo è noto come "Ping of Death"). Gli aggressori possono utilizzare IPsec per inondare il bersaglio con dati spazzatura o certificati di sicurezza eccessivamente grandi.
Tuttavia, non tutti questi protocolli sono adatti per gli attacchi DDoS e alcuni tipi di attacchi sono resi impossibili dagli aggiornamenti hardware. Ad esempio, l'ARP funziona solo all'interno di una rete locale, quindi un utente malintenzionato per eseguire un attacco DDoS dovrebbe prima connettersi alla rete locale. Gli attacchi Ping of Death di ICMP non sono possibili con l'hardware moderno, che ignora i pacchetti IP troppo grandi.
Come per altri tipi di attacchi DDoS, l'aggressore invia un elevato volume di traffico di rete indesiderato tramite questi protocolli. Esistono diversi metodi per farlo, a seconda del protocollo. Il traffico indesiderato ostacola le richieste degli utenti legittimi, rallentando le risposte o bloccandole completamente. A volte ci sono così tanti dati spazzatura da sovraccaricare le risorse del sistema di destinazione, causandone l'arresto anomalo.
Sebbene siano possibili altri attacchi, inclusi gli attacchi solo su IP, gli attacchi basati su ICMP sono i più comuni. Gli attacchi ICMP più comuni includono:
Oltre a bloccare gli attacchi DDoS ai livelli 4 e 7, Cloudflare contrasta gli attacchi DDoS di livello 3. Cloudflare Magic Transit è progettato specificamente per bloccare gli attacchi all'infrastruttura di rete interna, inclusi gli attacchi DDoS a qualsiasi livello. Il Cloudflare WAF e la CDN bloccano anche gli attacchi DDoS di livello 3 accettando solo il traffico verso le porte HTTP e HTTPS, dato che accettano traffico solo al livello applicazione.
Il modello TCP/IP è un modello alternativo di funzionamento delle reti. Invece di sette livelli, il modello TCP/IP ne ha quattro:
4. Livello applicazione (corrisponde ai livelli 5-7 nel modello OSI)
3. Livello di trasporto (corrisponde al livello 4 nel modello OSI)
2. Livello Internet (corrisponde al livello 3 nel modello OSI)
1. Livello di accesso/collegamento alla rete (corrisponde ai livelli 1-2 nel modello OSI)
Facendo riferimento al modello TCP/IP invece che al modello OSI, gli attacchi DDoS di livello 3 verrebbero chiamati attacchi DDoS di livello 2.