Attacchi DoS e DDoS come avvengono e come funzionano

Gli attacchi DoS (Denial-of-Service) e DDoS (Distributed Denial of Service) sono una delle principali minacce informatiche più diffuse, con il compito di bloccare operazioni di un server, servizio o rete riempiendoli di traffico Internet illimitato sovraccaricando i sistemi.

Rispetto alle diverse di tipologie di malware che abbiamo già visto, questi due tipi di attacchi sono in grado di mandare in arresto un’azienda, o infrastrutture come ospedali e aeroporti in pochi secondi.

Prima di conoscere come funziona questo tipo di attacco, bisogna tener presente che cyber criminali agiscono solamente a scopo di lucro.

DoS (Deniel-of-Service)

[torna all’indice]

Questo tipo di attacco va ad eseguire diverse interruzioni, mandando in arresto aziende e infrastrutture, inviando traffico illimitato dannoso da un singolo computer, quindi il disservizio viene causato da un singolo cyber criminale.

È un attacco in cui un computer viene utilizzato per invadere un server con pacchetti TCP (Transmission Control Protocol) e UDP (User Datagram Protocol).

DDoS (Distributed Deniel-of-Service)

[torna all’indice]

Attacco con doppia “D”, è un tipo di strumento di attacco più evoluto, dove è rivolto soprattutto ad organizzazioni più importanti come le banche. Rispetto alla minaccia con il DoS, l’attacco DDoS è quando più sistemi utilizzano un singolo sistema con attacco DoS.

Visto per la prima volta nella metà degli anni ’90, è uno strumento dannoso in cui la vittima viene tempestato da numerose richieste, rallentando così i server in modo da sovraccaricare il computer.

L’obiettivo del cyber criminale è quello di utilizzare la tecnica dello defacing (defacciare), ovvero di sostituire la home page di un sito web legittimo con quello illegittimo utilizzando il metodo dello spoofing, rimpiazzandolo con una copia contraffatta del sito dell’originale.

Defacement a cosa serve

[torna all’indice]

Il defacement o defacing, è una tecnica utilizzata per la prima volta nel lontano 2011 in modo da aggirare la sicurezza online, tecnica adottata dalla crew “Masters Italian Hackers Team”, dove due anni dopo furono arrestati dalla CNAIPIC1 della Polizia Postale per aver bypassato la sicurezza della NASA.

Nel 1996, ci fu un attacco contro Panix, il più antico Internet Service Provider (ISP) di New York, cancellando i dati informatici con un SYN flood. Infatti, non è stato un lavoro facile, poiché Panix ha impiegato circa 36 ore per ristabilire i server.

Per un’organizzazione rivelante, come ad esempio un istituto bancario o finanziario, un attacco di tipo DDoS può avvertire effetti devastanti, poiché causa grandi perdine economiche dovute a riduzioni ridotte dei siti web.

Per poter eseguire un attacco di tipo DDoS su scala universale, vengono utilizzate le botnet, ovvero delle reti nascoste formati da computer infettati da virus “dormienti” chiamati bot.

Come funziona l’attacco botnet

[torna all’indice]

Diventato virale agli inizi del 2000, con il termine botnet (rete di robot) sta ad indicare un insieme di computer compromessi dai malware dove un cyber criminale è in grado di gestire un dispositivo da remoto, prendendo lui il comando senza che la vittima se ne accorga.

Una volta presi di mira i computer della vittima, il malware è in grado di inviare spam, diffondere virus o lanciare attacchi di tipo DDoS, senza che la vittima ne sia al corrente.

Ogni qualvolta che la rete o il server viene preso di mira dal botnet, ogni bot invia richieste all’indirizzo IP, generando sovraccarichi del serve o della rete, portando interruzioni e anomalie del sito.

Identificare un attacco Dos e DDoS

[torna all’indice]

Sono disponibili numerosi strumenti di analisi del traffico in grado di individuare un attacco DDoS:

  • Un aumento di traffico derivante da un singolo indirizzo IP o da un intervallo di indirizzi IP
  • un flusso di traffico da utenti che condividono un unico profilo comportamentale, come il tipo di dispositivo, la geolocalizzazione o la versione del browser Web
  • un aumento delle richieste a una singola pagina o endpoint
  • strani schemi di traffico, come picchi in ore inconsuete del giorno o sequenze che sembrano innaturali (ad es. un picco ogni 10 minuti)
  • sfruttamento di errori nei software e delle falle di sicurezza

Difendersi dagli attacchi Dos e DDoS

[torna all’indice]

Difendersi dagli attacchi di tipo DDoS non è semplice, poiché qualsiasi azienda dev’essere in grado di identificare questo attacco una volta che si notano sbalzi di traffico web. Per prevenire, le aziende dovrebbero eseguire alcune semplici attenzioni, come:

  • suddividere in sistemi distinti le risorse online a disposizione
  • monitorare il traffico web
  • l’utilizzo di uno stresser IP, utilizzare uno strumento per testare la resistenza di una rete o di un server
  • limitare la velocità del router permette di prevenire il sovraccarico del proprio server

Soltanto il mese scorso, un gruppo di hacker russi hanno preso sotto attacco diverse istituzioni italiane, portando numerosi siti offline per qualche ora, anche se per buona sorte è tornato tutto alla normalità, senza creare “grandi” complicazioni per alcuni siti.

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.