Che cos’è un attacco DDoS? (1)

Gli attacchi DDoS sono oggi una delle preoccupazioni principali nell’ambito della sicurezza di Internet. Ecco come funzionano gli attacchi DDoS e come possono essere fermati.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire un attacco DDoS
  • Illustrare la struttura generica di un attacco DDoS
  • Distinguere tra le 3 principali categorie di attacchi DDoS
  • Comprendere le diverse strategie di mitigazione DDoS

Copia link dell'articolo

Che cos’è un attacco DDoS?

Un attacco DDoS (Distributed Denial of Service) è un tentativo ostile di bloccare il normale traffico di un server, servizio o rete sopraffacendo la vittima o l’infrastruttura circostante inondandola di traffico Internet.

Gli attacchi DDoS raggiungono l'efficacia sfruttando come fonti di attacco più sistemi informatici compromessi. Le macchine che vengono asservite a tali scopi possono includere computer e altre risorse di rete come i dispositivi IoT.


Sotto un altro punto di vista, un attacco DDoS è paragonabile a un ingorgo autostradale che impedisce al traffico regolare di arrivare a destinazione.

Come funziona un attacco DDoS?

Gli attacchi DDoS vengono eseguiti con reti di macchine connesse a Internet.

Queste reti sono costituite da computer e altre macchine (come i dispositivi IoT) che vengono infettati da malware che ne permette il controllo a distanza da parte di un utente malintenzionato. Questi singoli dispositivi sono noti come bot (o zombie) e un gruppo di bot è detto botnet.

Una volta stabilito un botnet, l'aggressore è in grado di dirigere un attacco a ciascun bot inviando istruzioni remote.

Quando la rete o il server una vittima sono presi di mira dal botnet, ogni bot invia le richieste all'indirizzo IP della vittima, causando potenzialmente il sovraccarico del server o della rete, con conseguente interruzione del servizio rispetto al traffico normale.

Poiché ogni bot è un dispositivo Internet legittimo, può essere difficile separare il traffico di attacco dal traffico regolare.

Come identificare un attacco DDoS

Il sintomo più evidente di un attacco DDoS è che un sito o un servizio diventa improvvisamente lento o non disponibile. Tuttavia, poiché una serie di cause, come un picco legittimo del traffico, può creare problemi di prestazioni simili, di solito sono necessarie ulteriori indagini. Gli strumenti di analisi del traffico possono aiutarti a individuare alcuni di questi segnali rivelatori di un attacco DDoS:

  • Quantità sospette di traffico proveniente da un singolo indirizzo IP o da un intervallo di indirizzi IP
  • Un flusso di traffico da utenti che condividono un unico profilo comportamentale, come il tipo di dispositivo, la geolocalizzazione o la versione del browser Web
  • Un aumento inspiegabile delle richieste a una singola pagina o endpoint
  • Strani schemi di traffico, come picchi in ore inconsuete del giorno o sequenze che sembrano innaturali (ad es. un picco ogni 10 minuti)

Esistono altri segnali più specifici di attacco DDoS che possono variare a seconda del tipo di attacco.

Quali sono i tipi di attacchi DDoS più comuni?

Tipi diversi di attacchi DDoS prendono di mira componenti differenti di una connessione di rete. Per capire come funzionano i vari attacchi DDoS, è necessario sapere prima come viene stabilita una connessione di rete.

Una connessione di rete su Internet è composta da numerose componenti o "livelli". Come nella costruzione di una casa, ogni livello ha una funzione diversa.

Il modello OSI, mostrato di seguito, è uno schema concettuale che descrive la connettività di rete in 7 livelli distinti.

Il modello OSI

Sebbene quasi tutti gli attacchi DDoS comportino il sovraccarico di traffico su un dispositivo o una rete della vittima, gli attacchi possono essere suddivisi in tre categorie. L'aggressore può servirsi di uno o più vettori di attacco oppure vettori di attacco ciclico potenzialmente basati su contromisure prese dalla vittima.

Attacchi al livello applicativo

Scopo dell'attacco:

A volte indicato come attacco DDoS al livello 7 (in riferimento al settimo livello del modello OSI), l'obiettivo di questi attacchi è esaurire le risorse della vittima in modo da creare una interruzione dei servizi.

Gli attacchi colpiscono il livello in cui le pagine Web vengono generate sul server e recapitate in risposta a richieste HTTP. Una singola richiesta HTTP dal punto di vista dell'elaborazione è economica da eseguire sul lato client, ma può essere costosa per il server di destinazione a cui rispondere, poiché il server spesso carica più file ed esegue query di database per creare una pagina Web.

È difficile difendersi dagli attacchi di livello 7, poiché può essere difficile differenziare il traffico dannoso da quello legittimo.

Esempio di attacchi al livello applicativo:

Attacco DDoS di tipo flood HTTP

Flood HTTP

Questo attacco equivale a premere ripetutamente il tasto per aggiornare una pagina Web su più computer contemporaneamente: un enorme numero di richieste HTTP travolge il server, con conseguente diniego del servizio o denial-of -service.

Questo tipo di attacco varia da semplice a complesso.

Le implementazioni più semplici possono accedere a un URL con lo stesso intervallo di indirizzi IP, link di riferimento e agenti utente attaccanti. Versioni più complesse possono utilizzare un vasto numero di indirizzi IP attaccanti e prendere di mira URL casuali utilizzando link di riferimento e agenti utente casuali.

Attacchi al protocollo

Scopo dell'attacco:

Gli attacchi al protocollo, noti anche come attacchi di tipo state-exhaustion o esaurimento dello stato, causano un'interruzione del servizio per via del consumo eccessivo di risorse del server e/o delle risorse delle apparecchiature di rete come firewall e bilanciatori di carico.

Gli attacchi al protocollo sfruttano i punti deboli del livello 3 e 4 dello stack di protocollo per rendere inaccessibile la vittima.

Esempio di attacco al protocollo:

Attacco DDoS di tipo flood SYN

Flood SYN

Un flood SYN può essere paragonato a un addetto del magazzino nel retrobottega che riceve richieste dal banco del negozio.

L’addetto riceve una richiesta, prende il pacco nel magazzino e attende la conferma prima di portare il pacco al banco. In seguito l’addetto riceve molte altre richieste di pacchi senza ricevere conferma fino a quando non riesce a trasportare altri pacchi, è sopraffatto dalle richieste e queste iniziano a rimanere inevase.

Questo tipo di attacco sfrutta l'handshake TCP, ovvero la sequenza di comunicazioni mediante la quale due computer iniziano una connessione di rete, inviando a un bersaglio un gran numero di pacchetti SYN di richiesta di connessione iniziale (Initial Connection Request) TCP con indirizzi IP di origine contraffatti.

La macchina designata risponde a ogni richiesta di connessione e quindi attende il passaggio finale del processo di handshake, che non si verifica mai, esaurendo le risorse della vittima.

Attacchi volumetrici

Scopo dell'attacco:

Questa categoria di attacchi tenta di creare congestione consumando tutta la larghezza di banda disponibile tra il bersaglio e Internet. Alla vittima vengono inviate grandi quantità di dati utilizzando una forma di amplificazione o un altro mezzo per creare traffico massiccio, ad esempio le richieste provenienti da una botnet.

Esempio di amplificazione:

Attacco DDoS Amplificazione NTP

Amplificazione DNS

Una amplificazione DNS equivale a qualcuno che telefona a un ristorante affermando: "Vorrei tutte le portate che avete, per piacere richiamatemi ed ripetetemi l'ordine completo", dove il numero di telefono di richiamata fornito è il numero della vittima. Con pochissimo sforzo, viene generata una risposta molto lunga che arriva alla vittima.

Effettuando una richiesta a un server DNS aperto con un indirizzo IP contraffatto (ovvero quello della vittima designata), sarà quest'ultimo indirizzo IP a ricevere la risposta dal server.

Qual è il processo per mitigare un attacco DDoS?

Nella mitigazione di un attacco DDoS, il problema principale è riuscire a distinguere tra traffico dell'attacco e traffico normale.

Ad esempio, se in seguito al rilascio di un prodotto il sito Web di una società viene invaso da una folla di clienti interessati, interrompere tutto il traffico è un errore. Se quella società improvvisamente subisce un'impennata nel traffico proveniente da soggetti ostili noti, con tutta probabilità sarà necessario un certo impegno per mitigare un attacco.

La difficoltà starà nel distinguere i clienti reali dal traffico dell'attacco.

Nella moderna Internet il traffico DDoS assume molteplici forme. Il traffico può variare schema, da attacchi provenienti da una singola fonte non contraffatta ad attacchi multi-vettore complessi e adattivi.

Un attacco DDoS multi-vettore utilizza percorsi di attacco multipli al fine di sopraffare la vittima in diversi modi, possibilmente contrastando gli sforzi di mitigazione in ogni direzione.

Un attacco che colpisce contemporaneamente più livelli dello stack di protocollo, quale un'amplificazione DNS (che mira ai livelli 3/4) combinata a un flood HTTP (che mira al livello 7) è un esempio di attacco DDoS multi-vettore.

Mitigare un attacco DDoS multi-vettore richiede una varietà di strategie per contrastare percorsi di infezione diversi.

In generale, quanto più complesso è l'attacco, tanto più sarà difficile distinguerlo dal traffico regolare. L'obiettivo dell'aggressore è infatti quello di mimetizzarsi al meglio, rendendo gli sforzi di mitigazione il più inefficienti possibile.

I tentativi di mitigazione che implicano l'abbandono totale o la limitazione indiscriminata del traffico possono finire per escludere il traffico legittimo insieme a quello che non lo è. Inoltre l'attacco può modificarsi e adattarsi per eludere le contromisure. Al fine di superare un complesso tentativo di blocco, una soluzione a più livelli offrirà il massimo beneficio.

Instradamento a un blackhole

Una soluzione disponibile praticamente per tutti gli amministratori di rete è quella di creare un buco nero o blackhole e incanalare il traffico verso tale percorso. Nella sua forma più semplice, quando viene implementato il filtro del buco nero senza specifici criteri di restrizione, sia il traffico di rete legittimo che quello dannoso viene instradato verso un percorso nullo ed eliminato dalla rete.

Se una proprietà Internet è vittima di un attacco DDoS, come difesa il provider di servizi Internet (ISP) della proprietà potrà inviare tutto il traffico del sito in un buco nero. Questa non è una soluzione ideale, in quanto offre all'aggressore l'obiettivo desiderato su un piatto d'argento: rendere la rete inaccessibile.

Limitazione della frequenza

Limitare il numero di richieste che un server può accettare in un determinato intervallo di tempo è pure un modo per mitigare gli attacchi denial-of-service.


Sebbene la tecnica della limitazione della frequenza sia utile per rallentare il furto di contenuti da parte dei pirati del Web e mitigarne i tentativi di accesso con forza bruta, da sola è probabilmente insufficiente a gestire con efficacia un attacco DDoS complesso.

Tuttavia, rappresenta una componente utile per una valida strategia di mitigazione DDoS. Scopri di più sulla tecnica di limitazione della frequenza di Cloudflare

Web Application Firewall

Un Web Application Firewall (WAF) è uno strumento che può aiutare a mitigare un attacco DDoS al livello 7. Frapponendo un WAF tra Internet e un server di origine, il WAF può fungere da proxy inverso, proteggendo il server designato da determinati tipi di traffico dannoso.

By filtering requests based on a series of rules used to identify DDoS tools, layer 7 attacks can be impeded. One key value of an effective WAF is the ability to quickly implement custom rules in response to an attack. Learn about Cloudflare's WAF.

Dissipazione attraverso la rete Anycast

Questo approccio di mitigazione si avvale di una rete Anycast per disperdere il traffico di attacco attraverso una rete di server distribuiti in modo che venga assorbito dalla rete.

Alla stessa stregua in cui un fiume che scorre veloce viene incanalato in canali separati più piccoli, questo approccio disperde l'impatto del traffico di attacco distribuito fino a quando diventa gestibile, dissipando così qualsiasi capacità dirompente.

L'affidabilità di una Anycast Network nella mitigazione di un attacco DDoS dipende dall'entità dell'attacco e dalle dimensioni e dall'efficienza della rete. Una caratteristica importante della mitigazione DDoS attuata da Cloudflare è costituita dall'uso di una rete distribuita Anycast.

Cloudflare ha una rete di 100 Tbps, che è un ordine di grandezza maggiore del più grande attacco DDoS registrato.

Se si è sotto attacco, si possono immediatamente adottare alcune misure per alleviare la pressione. Se si è già utenti Cloudflare, per mitigare l’attacco si possono seguire questi passaggi.

La protezione DDoS di Cloudflare è sfaccettata per consentire di mitigare i numerosi possibili vettori di attacco. Scopri di più sulla protezione da attacchi DDoS di Cloudflare e su come funziona.