Hacker Fonte foto: Shutterstock
TECH NEWS

Cosa sono gli attacchi DDoS, come nascono e come difendersi

Spauracchio degli esperti di sicurezza informatica, sono in grado di rendere inutilizzabili server, datacenter e reti di distribuzione di contenuti nel giro di pochi minuti

Secondo gli esperti di sicurezza di Akamai, tra i maggiori fornitori di servizi CDN (Content delivery network, reti per la distribuzione dei contenuti) al mondo, è la minaccia informatica per eccellenza. Una sorta di spada di Damocle digitale che pende sulla testa di tutti gli internauti.

Nel loro report trimestrale sullo stato della sicurezza di Internet, gli analisti della società statunitense evidenziano come il numero di attacchi DDoS cresca periodo dopo periodo sia in numero sia in magnitudo e portata degli attacchi stessi. L’obiettivo che si pongono gli hacker è semplice: rendere irraggiungibili le risorse di Rete oggetto dell’attacco informatico, sia esso un singolo portale web, un server o un sistema DNS. Nella gran parte dei casi lo fanno per denaro; in alcune situazioni per divertimento; altre volte a fin di bene (in questo caso si parla di white-hat hacker). A loro fianco, comunque, troviamo una schiera di computer zombie raggruppati in una botnet pronti ad agire in qualunque istante.

Cosa sono gli attacchi DDoS

Acronimo di Distributed Denial of Service (interruzione distribuita del servizio, in italiano), l’attacco DDoS è un caso particolare di attacco DoS (semplicemente, denial-of-service). Lo scopo di un attacco DoS è quello di saturare le risorse (informatiche e di rete) di un sistema informatico che distribuisce diverse tipologie di servizio. Nell’ambito del networking, dunque, un attacco DoS punta a rendere irraggiungibile un sito o un server saturandone la banda di comunicazione.

Attacco informatico
Attacco informatico in corso

L’attacco DDoS, come lascia “intravedere” il nome, non è altro che un attacco DoS in grande, all’ennesima potenza. Anziché colpire un solo portale web o un piccolo server, un attacco DDoS punta a rendere irraggiungibili e inutilizzabili interi datacenter, reti di distribuzione dei contenuti o servizi DNS. Per far questo, gli hacker dietro un attacco DDoS sfruttano un maggior numero di direttrici e impiegano un quantitativo di risorse superiore rispetto a un “normale” attacco DoS. In questo modo si riesce a “neutralizzare” l’obiettivo nel giro di pochi secondi, causando danni che persistono nel tempo (da qualche ora ad alcuni giorni, a seconda della prontezza con cui si risponde all’offensiva).

Che cosa sono le botnet

La colonna portante di ogni attacco DDoS che si rispetti è una fitta rete di dispositivi infettati da malware e trojan horse controllati a distanza da un singolo hacker o da un gruppo di pirati informatici. Si tratta della botnet (letteralmente, rete di bot), una sottoporzione dei nodi di Internet composta da device compromessi e utilizzabili per gli scopi più disparati, inclusi gli attacchi DDoS. Un tempo questi dispositivi erano chiamati anche computer zombie: nella gran parte dei casi, infatti, si trattava di sistemi informatici infettati da una particolare tipologia di virus capace di trasformarli in una sorta di marionetta.

Botnet
Che cosa sono le botnet

Oggi, invece, lo spettro dei dispositivi che possono entrare a far parte dei ranghi di una botnet si è allargato in maniera esponenziale. Al fianco di computer desktop e laptop troviamo smartphone, tablet, telecamere IP di sicurezza, router, stampanti di rete, smartTV e anche termostati intelligenti. Ma, dal momento che al peggio non c’è mai fine, non ci si trova ancora nello scenario peggiore: potenzialmente, infatti, ogni dispositivo dotato di connettività alla Rete può far parte di una botnet: tutti gli elettrodomestici smart, le automobili e i vari sensori intelligenti sparsi agli angoli delle strade possono potenzialmente essere cooptati e utilizzati per lanciare offensive contro server e fornitori di servizi web. Insomma, se non adeguatamente protetto, l’Internet of Things può rappresentare la più grande minaccia informatica del nostro tempo.

Tipologie di attacchi DDoS

A seconda degli obiettivi che si prefiggono, gli hacker possono decidere di condurre il loro attacco sfruttando diverse tecniche e differenti strategie. In particolare, gli attacchi DDoS possono essere raggruppati in quattro macro-categorie: attacchi alla connessione TCP; attacchi volumetrici; attacchi di frammentazione; attacchi applicativi.

Nel primo caso i pirati informatici sfruttano le funzionalità del protocollo TCP (acronimo di Transmission Control Protocol) per saturare velocemente le risorse di rete dell’obiettivo dell’offensiva, sia esso un datacenter o una rete di distribuzione. In particolare, la botnet inonda il server di richieste di connessione, senza però arrivare mai a conclusione del processo: in questo modo le risorse del sistema informatico si esauriscono in fretta, rendendo di fatto impossibile l’accesso ai contenuti da parte di qualunque utente.

Gli attacchi volumetrici, invece, puntano a saturare la banda di comunicazione a disposizione di un nodo della rete facendo pervenire, contemporaneamente, un grande numero di richieste di accesso ai contenuti più vari. In questo modo gli hacker creano un volume di traffico abnorme e ingestibile, tanto che il server o la rete di distribuzione sono costretti a rifiutare qualunque altro tentativo di connessione.

HackerFonte foto: Flickr
Hacker all’opera

Differente il discorso per gli attacchi di frammentazione: anziché puntare a saturare la rete, provano a consumare tutte le risorse di calcolo del sistema informatico con un trucchetto piuttosto arguto. Le richieste di accesso che arrivano non sono complete, ma frammentate (da qui il nome): il server o la rete di distribuzione impiega gran parte della propria potenza di calcolo nel tentativo di ricostruire i pacchetti incompleti, senza mai riuscirci.

A volte, però, per rendere inutilizzabile un server non è necessario attaccare l’intera infrastruttura. È sufficiente sfruttare una falla o un particolare malfunzionamento di uno degli applicativi che ne consentono il funzionamento per renderlo instabile e, di conseguenza, inutilizzabile. È questo il caso degli attacchi applicativi che, come detto, puntano a mandare KO un server o una rete di distribuzione colpendoli in particolari punti deboli.

Come difendersi da attacchi DDoS

Come visto, gli attacchi DDoS sono rivolti, nella stragrande maggioranza dei casi, a fornitori di servizi web e non contro singoli utenti. Ciò vuol dire che i “semplici” internauti non hanno mezzi di difesa adeguati: nel caso un servizio web di cui usufruiscono resti vittima di un’offensiva hacker, la loro unica speranza è che gli esperti di sicurezza informatica riescano a mitigare in fretta l’attacco e limitare la portata del disservizio.

Rack networkFonte foto: Flickr
Apparato di rete

Sinkholing. Grazie a questa tecnica, è possibile deviare il traffico creato dalla botnet per bloccare le attività di un server o una rete di distribuzione verso un vicolo cieco o un cul de sac digitale. In questo modo sarà possibile evitare che l’attacco DDoS provochi dei danni a livello hardware e software, anche se non è detto che permetta di limitarne completamente la portata: può accadere, infatti, che la risorsa di rete colpita risulti ugualmente inaccessibile, anche se per un lasso di tempo minore.

Rilevamento delle intrusioni. Sfruttando particolari software, i team di sicurezza informatica possono individuare i tentativi di accesso alla rete locale e neutralizzare i tentativi di attacco prima che questi si trasformino in delle piccole catastrofi digitali. I sistemi di rilevamento delle intrusioni, infatti, scansionano costantemente il traffico dati in ingresso e in uscita e sono in grado di individuare quando dei protocolli “legittimi” sono utilizzati per scopi illeciti. Combinandoli con un firewall, possono bloccare il traffico dati in arrivo tramite, ad esempio, il protocollo TCP e limitarne (o addirittura neutralizzarne) gli effetti.

Sovrastimare le necessità. Molte aziende, infine, hanno pensato di difendersi dagli attacchi DDoS puntando con forza sulla ridondanza: anziché creare datacenter e reti di distribuzione appena sufficienti a fornire i servizi richiesti, realizzano infrastrutture “doppioni”. In questo modo, anche se un nodo della rete non dovesse essere più disponibile, sarà comunque possibile continuare a erogare il servizio: sarà sufficiente deviare il traffico verso un nodo “gemello”, così da poter mitigare l’attacco e ripristinare la situazione in assoluta tranquillità.

Ti raccomandiamo