Un Distributed Denial of Service (DDoS) è un tipo di attacco DoS in cui vengono utilizzati più sistemi compromessi per colpire un singolo sistema. Questi tipi di attacchi possono causare danni significativi e diffusi perché di solito hanno un impatto sull'intera infrastruttura e creano tempi di inattività costosi e disruptive.
DDoS vs DoS
Come accennato in precedenza, un attacco DDoS è un tipo di attacco DoS. Il modo principale per identificare un attacco DDoS rispetto a un altro tipo di attacco DoS è osservare come viene eseguito l'attacco. In un attacco DDoS, il traffico in entrata che invade la vittima proviene da molte fonti diverse potenzialmente centinaia di migliaia o più. Ciò rende effettivamente impossibile fermare l'attacco semplicemente bloccando un singolo indirizzo IP; inoltre, è molto difficile distinguere il traffico legittimo degli utenti dal traffico degli attacchi quando è distribuito su così tanti punti di origine.
Come funzionano gli attacchi DDoS
Gli attacchi DDoS vengono spesso eseguiti da un cavallo di Troia, un tipo di malware mascherato da file o programma innocuo. Una volta che gli aggressori hanno compromesso più dispositivi e creato una botnet, utilizzano un server di comando e controllo (C2) per attaccare il sistema mirato finché non si sovraccarica e alla fine fallisce. Il metodo di attacco specifico può variare.
I tipi di attacchi DDoS includono:
- Attacchi volumetrici: Gli attacchi volumetrici di solito consumano risorse di larghezza di banda creando un enorme volume di traffico, che impedisce agli utenti legittimi di accedere al sistema di destinazione. I tipi di attacchi volumetrici includono l'amplificazione DNS, in cui l'attaccante utilizza l'indirizzo IP del bersaglio quando avvia una richiesta per una grande quantità di dati. Ciò significa che il server invia e riceve simultaneamente gli stessi dati e successivamente viene sopraffatto.
- Attacchi al protocollo: Gli attacchi di protocollo prendono di mira le risorse di rete sovraccaricando il firewall o il bilanciamento del carico, motivo per cui a volte vengono anche chiamati attacchi di esaurimento dello stato. I tipi di attacchi di protocollo includono il SYN flooding, in cui l'autore dell'attacco manipola l'handshake in 3 fasi di una connessione TCP fino a quando le risorse di rete non vengono consumate e nessun dispositivo aggiuntivo può stabilire una nuova connessione.
- Attacchi a livello di applicazione: Gli attacchi a livello di applicazione vengono utilizzati per esaurire le risorse a livello di applicazione. In questi tipi di attacchi, i bot inviano diversi milioni di richieste di applicazioni complicate contemporaneamente, quindi il sistema viene sopraffatto molto rapidamente. I tipi di attacchi a livello di applicazione includono il flooding HTTP, che è effettivamente simile all'aggiornamento ripetuto di un browser da numerosi dispositivi.
Esistono numerose misure che gli utenti possono mettere in atto per prevenire o mitigare le ripercussioni di un attacco DDoS. Lo sviluppo e la rivalutazione regolare di un piano di risposta e l'implementazione di sistemi di gestione delle minacce multilivello sono tattiche preziose che possono prevenire costosi tempi di inattività a seguito di un attacco DDoS. È anche importante monitorare la rete per eventuali segnali di avvertimento. I sintomi di un imminente attacco DDoS includono volumi elevati di traffico che:
- Proviene da un indirizzo IP o da un intervallo di indirizzi IP
- Vai a una singola pagina web
- Provengono da una singola caratteristica utente comune (come la geolocalizzazione)
- Si verificano in momenti inaspettati della giornata