Puoi proteggerti dal furto d'identità proteggendo il numero di previdenza sociale e altri documenti sensibili, rivedendo regolarmente i rapporti sul credito, utilizzando uno strumento di monitoraggio
Un attacco DDoS (Distributed Denial of Service) è un tentativo di interrompere il normale traffico di un server preso di mira. Questo avviene sovraccaricando il server, il servizio o la rete presa di mira con moltissio traffico internet, allo scopo di rallentare il server o causarne il crash. Si tratta di una situazione simile a un ingorgo stradale, quando tutte le auto sulla strada sono costrette a rallentare o a fermarsi. Invece di rallentare o fermare i veicoli, un attacco DDoS rallenta o ferma il traffico web, causando il funzionamento lento di un sito web o di un’app o il crash completo.
Come funzionano gli attacchi DDoS?
Le risorse di rete possono gestire solo un certo numero di richieste e i server hanno una larghezza di banda limitata. Pertanto, il livello di servizio diminuirà ogni volta che il volume di traffico supera il limite di capacità.
In genere, l’obiettivo finale di un malintenzionato è quello di ostacolare completamente il normale funzionamento della fonte web. Inoltre, l’aggressore potrebbe richiedere che venga effettuato un pagamento per porre fine all’attacco. L’attacco potrebbe anche essere un tentativo di screditare o danneggiare la reputazione di un’azienda.
Gli attacchi DDoS vengono condotti utilizzando reti di macchine, chiamate bot, connesse a Internet. Queste reti sono composte da computer e altri dispositivi, come i dispositivi Internet of Things (IoT) che sono stati infettati da malware. Una raccolta di bot viene chiamata botnet e, quando ne viene creata una, l’aggressore può controllare un attacco dando a ciascun bot comandi da remoto.
Quando un server o una rete viene preso di mira da una botnet, ogni bot invia query all’indirizzo IP: questo è ciò che causa il sovraccarico del server o della rete, il che si traduce in un attacco DDoS sul traffico regolare. Poiché ciascun bot è un dispositivo Internet legittimo, può essere difficile distinguere il traffico degli attacchi dal traffico normale.
I diversi tipi di attacchi DDoS
Sebbene la maggior parte degli attacchi DDoS comporti l’invio di molto traffico a un dispositivo o a una rete presi di mira, ci sono tre tipi principali di attacchi: all’interno di ciascun tipo, ci sono anche dei sottotipi.
1. Attacchi basati sul volume (volumetrici)
Un attacco volumetrico tenta di superare la larghezza di banda di una rete inviando molto traffico o richieste al bersaglio. Questi attacchi mirano a sopraffare l’obiettivo nel tentativo di rallentare o interrompere completamente i servizi. La dimensione della richiesta è in genere nell’ordine delle centinaia di gigabit al secondo (Gbps). Gli attacchi più recenti hanno raggiunto oltre un terabyte al secondo (Tbps).
Gli attacchi volumetrici sono comuni a causa della minore barriera tecnica alla produzione di un volume eccessivo di richieste. La maggior parte delle volte, gli aggressori utilizzeranno semplici tattiche di amplificazione. Quando viene utilizzato questo tipo di tattica, il traffico proviene da una varietà di fonti, come gli indirizzi IP o le reti, il che rende più difficile la mitigazione manuale degli attacchi volumetrici.
Amplificazione DNS
L’amplificazione DNS è un sottotipo di attacco volumetrico. Durante questo tipo di attacco volumetrico, gli aggressori fanno uso della funzionalità dei server DNS aperti. Una volta entrato, l’aggressore travolge il server o i server di destinazione con una quantità eccessiva di traffico, rendendo il server e l’infrastruttura circostante irraggiungibili.
UDP flood
Un UDP flood è un altro sottotipo di attacco volumetrico. Durante questo tipo di attacco, l’aggressore invia un’enorme quantità di pacchetti User Datagram Protocol (UDP) al server preso di mira, con l’obiettivo di sopraffare la capacità del dispositivo di elaborare le richieste e rispondere. Ciò può portare all’esaurimento del firewall che protegge il server preso di mira, con conseguente negazione del servizio al traffico legittimo.
2. Attacchi al protocollo
Un attacco al protocollo utilizza richieste di connessione dannose che sfruttano le interazioni del protocollo per provare, utilizzare ed esaurire la capacità delle diverse risorse dell’infrastruttura di rete, inclusi server e firewall.
SYN flood
SYN flood è un sottotipo di attacco al protocollo che cerca di esaurire completamente le risorse del server al fine di renderlo non disponibile al traffico legittimo. Gli aggressori possono sovraccaricare tutte le porte aperte su un server inviando frequentemente pacchetti di richiesta di connessione iniziale (SYN). Di conseguenza, il dispositivo preso di mira risponde al traffico legittimo lentamente o non risponde affatto.
Ping of death
Un altro sottotipo di attacco al protocollo è chiamato “ping of death”. Quando avviene questo tipo di attacco, l’aggressore invia un grande pacchetto di dati dannosi al server preso di mira utilizzando una semplice richiesta di ping. Ciò che invia è molto più grande di ciò che il server può gestire e provoca il crash del server, la destabilizzazione o il congelamento.
3. Attacchi a livello di applicazione
L’obiettivo di un attacco a livello di applicazione è esaurire le risorse del bersaglio al fine di produrre un denial-of-service. Questi attacchi mirano a colpire il livello in cui vengono create le pagine web sul server. Il costo dell’elaborazione di una singola richiesta HTTP è basso sul lato client, ma il costo della risposta sul lato server di destinazione può essere elevato. Ciò è dovuto al fatto che il server carica frequentemente più file e query di database per generare una pagina web. Gli attacchi a livello di applicazione sono difficili da mitigare, poiché è difficile distinguere tra traffico dannoso e legittimo.
HTTP flood
Un attacco HTTP flood è un sottotipo di attacco a livello di applicazione che mira a sopraffare un server di destinazione con richieste HTTP. Il denial-of-service avviene quando il bersaglio diventa saturo di richieste e non è più in grado di reagire al traffico legittimo.
Attacchi low-and-slow
Gli attacchi low-and-slow, noti anche come attacchi slow-rate, sono un altro sottotipo di attacchi di livello applicativo. Si tratta di un attacco furtivo al server preso di mira che invia quello che sembra essere traffico legittimo a una velocità estremamente lenta, rendendolo difficile da distinguere dal traffico normale, con il risultato che questo tipo di attacco spesso non viene rilevato per lunghi periodi di tempo.
Individuare un attacco DDoS
Sebbene i criminali informatici a volte minaccino gli obiettivi prima di lanciare un attacco DDoS, spesso questi avvengono senza preavviso. Inoltre, possono passare diverse ore tra il momento in cui il personale di sicurezza rileva un attacco DDoS e quello in cui lo mitiga. Ciò può comportare numerose ore di lentezza del servizio o un crash del sito web o dell’app, con un impatto significativo sulle impressioni e sulle vendite del sito.
Ecco alcuni segnali di allarme che indicano la possibilità di un attacco DDoS.
- L’analisi dei log mostra picchi insoliti di traffico, ma non è possibile individuare spiegazioni plausibili.
- Riscontri o inizi a ricevere rapporti di lentezza delle prestazioni dai clienti. Inoltre, se si utilizza la stessa connessione per la rete interna, anche i dipendenti inizieranno a notare problemi di lentezza.
- Il server risponde con un errore 503 non disponibile. Quando il volume di traffico diminuisce, questo errore normalmente scompare. Dopo un po ‘di tempo, se persiste ancora, significa che qualcosa non va.
- Alcuni indirizzi IP richiedono ripetutamente molte connessioni in un breve periodo di tempo.
- Gli utenti interni segnalano che gli accessi ai file sono lenti o impossibili.
- Il tuo sistema di posta è sovraccarico di e-mail di spam.
Come mitigare gli attacchi DDoS
Differenziare tra traffico dannoso e legittimo è una preoccupazione fondamentale quando si mitiga un attacco DDoS. Ecco alcuni modi per mitigare gli attacchi DDoS.
Creare un piano di risposta agli attacchi DDoS
Preparandosi a un attacco DDoS prima che si verifichi, saprete esattamente cosa fare se un attacco si manifesta. Nel piano di risposta agli attacchi DDoS, è necessario disporre di una lista di controllo con tutti i passaggi da seguire, chi contattare e gli strumenti da utilizzare. Il piano di risposta dovrebbe includere anche le responsabilità di ogni persona del team. Assegnando le responsabilità fin dall’inizio, tutti i membri del team sapranno cosa fare quando viene identificato un attacco DDoS. Avere un piano di risposta impostato potrebbe mitigare un attacco DDoS prima che venga arrecato qualsiasi danno permanente all’organizzazione.
Monitorare il traffico
Gli attacchi DDoS interrompono il traffico di un server preso di mira, sovraccaricandolo con una marea di traffico Internet. Monitorando continuamente il traffico del server o della rete con gli strumenti appropriati, è possibile identificare ogni volta che il traffico raggiunge una determinata soglia, ricevendo un avviso o una notifica. Questo strumento non solo aiuta a individuare gli attacchi DDoS precocemente, ma aiuta anche a mitigare i danni.
Limitazione della velocità
Poiché gli attacchi DDoS utilizzano le botnet per sopraffare un server preso di mira, il rate limiting è utile per limitare il numero di richieste che un utente o un bot può effettuare misurando l’intervallo di tempo tra ogni richiesta effettuata da ciascun indirizzo IP. Quando vengono effettuate troppe richieste in un determinato lasso di tempo da un singolo indirizzo IP, lo strumento di limitazione della velocità le blocca.