Attacco DDoS: cos’è, come funziona e come difendersi

Attacco DDoS: cos’è, come funziona e come difendersi

Premessa fondamentale per tutti coloro che decidono di intraprendere o hanno già intrapreso un business online: nel quadrante “Minacce” della nota Swot Analysis, va senza dubbio inserito l’attacco DDoS, argomento di cui ci occuperemo nelle righe che seguono.

Nello specifico vedremo in cosa consiste un attacco DDoS, chi lo commissiona e perché, quante diverse tipologie di attacchi DDoS esistono, e soprattutto approfondiremo quali sono le migliori strategie per difendersi da questa insidiosa minaccia informatica, grazie all’aiuto di esperti nella realizzazione di siti web professionali.

Cos’è un attacco DDoS e come funziona
DDoS è un acronimo che sta per Distributed Denial of Service, traducibile in italiano come “Interruzione distribuita del servizio”. Consapevoli che la traduzione italiana non aiuti molto a comprenderne il significato, possiamo semplificare che tale attacco informatico consiste nel tempestare di richieste un sito fino a farlo “ingolfare” (in altri termini, ne viene saturata la banda di comunicazione), rendendolo quindi irraggiungibile, di difficile accesso o addirittura compromettendolo del tutto.

Come anticipato nella nostra premessa, i bersagli tipici degli attacchi DDoS sono tutti quei siti di aziende che forniscono servizi online come siti di shopping, siti di agenzie di scommesse/ casinò online o qualsiasi comune sito aziendale come quello su cui state leggendo questo articolo.

Il “progenitore” dell’attacco DDoS è l’attacco DoS (con una sola D), cioè Denial of Service: la D in più sta per “distributed” e caratterizza la peculiarità dell’attacco DDoS che, al contrario del suo “progenitore”, deriva da più sorgenti. La quasi totalità degli attacchi DDoS viene implementata tramite una “botnet”, una rete di bot o una rete connessa a IOT (internet di dispositivi, da poche decine a milioni!) “infettati” controllati da un hacker. Risulta evidente che un attacco DDoS per essere efficace ha bisogno di molto meno tempo rispetto ad un “semplice” attacco DoS, mentre gli effetti nefasti del DDoS durano decisamente più a lungo. Il danno che riescono a creare questo tipo di attacchi informatici è studiato appositamente per sfruttare una criticità intrinseca di ogni server, ovvero il numero limitato di richieste che gli stessi server sono in grado di soddisfare contemporaneamente.

Da chi e perché vengono commissionati gli attacchi DDoS
Anche ai neofiti dell’informatica risulterà evidente che chiunque metta in atto un attacco DDoS è necessariamente un individuo con notevoli capacità tecniche in ambito informatico, ossia un hacker. Se questa caratteristica del “sicario” è abbastanza ovvia, meno evidenti sono l’identità e la motivazione di chi commissiona tali azioni criminose. Premesso che l'obiettivo finale dell'autore dell' attacco è quello impedire del tutto il funzionamento normale della risorsa web, bisogna capire qual è il suo guadagno a proposito. Spesso la motivazione è prettamente legata al vil denaro: l'autore intende semplicemente ricattare il proprietario del sito/server al fine di ottenere un riscatto in denaro.

In altre circostanze gli attacchi DDoS sono utilizzati per distrarre l’attenzione da attività criminali di ben altra entità che si stanno commettendo ai danni di banche, di istituzioni governative o finanziarie: che si tratti di truffa, spionaggio o furto di dati, lo scopo dell’attacco DDoS è soltanto funzionale a questa tipologia di crimine. Infine un’altra possibile motivazione alla base dell’attacco DDoS può essere quello di screditare o danneggiare un’azienda concorrente: in questo caso sarebbe l’azienda rivale di quella danneggiata ad essere responsabile del “gioco sporco”.

Le diverse tipologie di attacco DDoS
In differenti modi è possibile condurre un attacco DDoS, perché sono diverse le variabili in gioco: in primis gli obiettivi dell’hacker ( che si concretizzeranno in differenti strategie) e in secondo luogo le sue conoscenze specifiche ( che influenzeranno le tecniche prescelte). Per chiarezza espositiva raggrupperemo gli attacchi DDoS in quattro grandi categorie: attacchi alla connessione TCP; attacchi volumetrici; attacchi applicativi; attacchi di frammentazione.

Vediamo ora nel dettaglio come funziona ogni tipologia di attacco:
1) Attacchi alla connessione TCP: sfruttando le peculiarità del protocollo TCP (semplificando un po’, lo possiamo considerare come l’autostrada che permette di velocizzare lo scambio di informazioni), la botnet tempesta il server di richieste di connessione, ma facendo in modo che il processo non giunga mai a termine. Questo stop and go inevitabilmente fa esaurire piuttosto in fretta le risorse del sistema, rendendo impossibile l’accesso al sito da parte degli utenti;

2) Attacchi volumetrici: sono attacchi che mirano a superare l’infrastruttura di rete, consumando larghezza di banda. La saturazione della banda di comunicazione avviene facendo pervenire, in contemporanea, un grande numero di richieste di accesso a tutti i contenuti del sito. Anche in questo caso si viene a creare un volume di traffico sproporzionato, che il server non riesce a gestire, trovandosi quindi “obbligato” a respingere qualunque altro tentativo di connessione;

3) Attacchi applicativi: in questo caso gli attacchi invece di colpire il server o la rete di distribuzione nella sua interezza, si focalizzano su particolari punti deboli o vere e proprie falle del server/rete di distribuzione.

4) Attacchi di frammentazione: il meccanismo di quest’attacco si differenzia dai precedenti perché invece di saturare la rete, il suo scopo è quello di esaurire le risorse di calcolo del sistema in una maniera a suo modo ingegnosa. Le richieste di accesso che arrivano, infatti, non sono complete, ma frammentate per cui il server attaccato utilizza gran parte della propria potenza di calcolo nel tentativo di ricostruire i “pacchetti di informazioni” incompleti, senza però riuscirci; Non è raro che alcuni hacker decidano di usare contemporaneamente due o più tipi di attacchi, per avere una maggiore sicurezza sull’esito della loro azione criminosa.


Alcuni esempi di attacchi DDoS piuttosto comuni
Chiarite quelle che sono le macrocategorie di riferimento, senza alcuna pretesa di esaustività, vediamo ora alcuni esempi specifici di attacchi DDoS piuttosto comuni:

1) UDP flooding: l’User Datagram Protocol (UDP) è un protocollo di comunicazione (analogo al TCP citato nelle righe precedenti) che permette ad un’applicazione di collegarsi ad internet inviando pacchetti di dati, in questo caso l’autore dell’attacco invia informazioni false ai pacchetti UDP: la risorsa di rete presa di mira non potrà quindi associare il pacchetto UDP alle applicazioni corrette restituendo di conseguenza un messaggio di errore. Se tale processo viene ripetuto più e più volte la conseguenza inevitabile è che il sistema si sovraccaricherà, smettendo di funzionare;

2) DNS flooding: i Domain Name Servers (DNS) sono server informatici che traducono gli URL dei siti web ( il nome per esteso che si digita nella barra di navigazione) nei rispettivi indirizzi IP ( le “etichette” numeriche associate ad ogni sito)In questo caso l’attacco DNS flooding sovraccarica i server DNS affinché non possano svolgere la loro funzione;

3) ICMP (Ping) flooding: l’ICMP (Internet Control Message Protocol) è un protocollo di segnalazione degli errori utilizzato comunemente dall’ utilità di diagnostica ping, che a sua volta è uno strumento diagnostico usato per risolvere i problemi di connessione a Internet. In altri termini, si esegue il “ping” di un sito web per verificare se è possibile accedervi e nel caso ciò non fosse possibile verrebbero comunicati quelli che sono i problemi nella connettività, facilitando in questo modo la soluzione. Il ping flooding consiste quindi in una inondazione di richieste ping, che alla lunga finiscono con l’intasare la larghezza di banda della rete del sistema.


Come difendersi da un attacco DDoS
La domanda da un milione di dollari a questo punto appare scontata: come fare a capire se si è vittima di un attacco DDoS?

Da questa domanda però ne nascerebbero altre a grappoli: come comportarsi se l’attacco DDoS è già avvenuto? E nel caso si volesse prevenire un attacco DDoS, come bisogna procedere? etc.

Potremmo continuare all’infinito, ma procediamo con ordine, cominciando a rispondere alla prima delle domande che ci siamo posti.

Qualsiasi azienda in primo luogo dev’essere in grado di distinguere il traffico web regolare da un attacco DDoS. In questi casi è fondamentale determinare in anticipo il volume potenziale del traffico regolare per poter riconoscere eventuali anomalie. Quindi, come fa un’azienda a distinguere un aumento improvviso ma comunque legittimo delle richieste da un attacco DDoS?

Di solito un’interruzione che deriva da un traffico legittimo dura per un breve lasso di tempo e inoltre è possibile individuarne facilmente la causa , come ad esempio un ordine massiccio di merce da parte di un rivenditore o un numero elevato di utenti che decide di provare online il nuovo gioco proposto da un sito di gaming. Al contrario, quando è in corso un attacco DDoS, esistono diversi parametri che permettono “all’occhio esperto” di capire che si tratta di un attacco fraudolento come picchi improvvisi di traffico anomalo che provocano interruzioni regolari, oppure il rallentamento generale dei servizi del sito che avviene all’improvviso.


Come comportarsi se l’attacco DDos è già avvenuto.
Nel caso si sospetti o si ha la certezza di essere stati colpiti da un attacco DDoS, bisogna procedere seguendo nel modo più rapido possibile alcuni passaggi-chiave:

- Individuare quando sono iniziati i problemi;
- Identificare quali sono i nuclei essenziali colpiti tra servizi, applicazioni, server etc.;
- Capire quali problemi specifici stanno creando agli utenti del sito;
- Comunicare l’attacco al proprio provider, dal momento che è verosimile che anche questo sia oggetto dell’attacco DDoS;
- Cambiare l’IP - se il provider permette di farlo - permette di ridurre l’impatto dell’attacco DDoS perché il medesimo sarebbe indirizzato verso la direzione sbagliata.
- Comunicare in modo opportuno agli utenti del servizio quello che sta succedendo, utilizzando i social media per diffondere il messaggio;
- Installare un sito temporaneo che informi gli utenti sulle cause del malfunzionamento e che dia agli stessi semplici e chiare istruzioni per l’utilizzo del servizio.


Come proteggersi dagli attacchi DDoS
Volendo prevenire il problema, le aziende lungimiranti dovrebbero seguire alcune semplice precauzioni:

1) Suddividere in sistemi distinti le risorse online a disposizione: in questo modo si complica il lavoro degli hacker, che, al contrario, sarebbero avvantaggiati dal poter individuare un unico obiettivo su cui sferrare l’attacco;

2) Monitorare il traffico web: conoscere le caratteristiche del traffico sul proprio sito può avere un ruolo decisivo nella protezione del medesimo, perché permette di notare in anticipo possibili anomalie, e quindi prevenire un
eventuale attacco DDoS. Volendo, è anche possibile impostare allarmi che inviino delle notifiche se il numero di richieste dovesse essere superiore ad una certa soglia prestabilita: tali notifiche non sarebbero necessariamente sintomatiche di attacchi fraudolenti, ma sarebbero comunque utili per segnalare che qualcosa di anomalo sta succedendo;

3) L’utilizzo di uno stresser IP, ovvero uno strumento progettato per testare la robustezza di una rete o di un server. L'amministratore può eseguire uno stress test per determinare se le risorse esistenti (larghezza di banda, CPU,ecc.) sono sufficienti per gestire un carico aggiuntivo;

4) Limitare la velocità del router permette di prevenire il sovraccarico del proprio server.


L'efficiacia dei servizi di mitigazione degli attacchi DDoS
Uno spazio a parte nella trattazione meritano i servizi di mitigazione degli attacchi DDoS ovvero quegli strumenti che proteggono la rete dagli attacchi DDoS tramite la deviazione del traffico sospetto dalla rete della vittima.
Come funzionano tali servizi? In primo luogo, un servizio di mitigazione riesce a distinguere se un sospetto attacco DDoS costituisca in effetti un attacco fraudolento o se si tratta semplicemente di un volume di traffico insolitamente elevato, ma pur sempre regolare.

Per farlo, i servizi di mitigazione DDoS prendono in considerazione l’IP da cui proviene la maggior parte del traffico: nel caso l’IP coinvolto fosse associato ad un posto insolito, risulterebbe alquanto probabile che si tratta di un attacco. A supporto di tale eventualità, i servizi di mitigazione sfruttano una sorta di “database” degli eventi avversi passati, che permette loro di evidenziare eventuali modelli comuni associati al traffico fraudolento. Se si individua la presenza di un attacco DDoS, entra in azione un servizio di protezione che tenta di assorbire e deviare il traffico fittizio. Tra i migliori provider dei servizi di mitigazione degli attacchi DDoS vi sono Akamai e
Cloudfare.


Considerazioni finali
Siamo quindi giunti al termine del nostro approfondimento sugli attacchi DDoS, insidiosa e pervasiva minaccia quanto mai attuale per tutte le aziende di medie/grosse dimensioni che hanno il web come focus del loro business.
Per quanto tale minaccia non vada assolutamente sottovalutata, abbiamo visto, soprattutto nell’ultimo paragrafo, come anch’essa possa essere affrontata in modo appropriato.

A tal riguardo, prima di salutare i lettori, rinnoviamo il nostro invito iniziale: in caso di potenziali attacchi DDoS non ha senso improvvisarsi informatici della domenica ma occorre rivolgersi a professionisti del settore che possano prendersi cura in modo accurato e professionale del vostro sito.
  • Ti piace l'articolo? Condividilo sui social
Davide Bertagna

Titolare di DOWEB

Chiedi informazioni

Compila il form, ti rispondiamo in giornata!

Vuoi scrivere per DOWEB?

Ti piace il web? La tecnologia? Cerchiamo te! Inviaci una email a info@doweb.srl con oggetto "Candidatura Blog" e proponi un titolo, se sarà valutato positivamente ti daremo la possibilità di scrivere su questo sito e ricevere centinaia di visite. Inseriremo un link alla tua pagina social in modo da poter essere contattato da eventuali interessati.

Realizziamo siti internet e siti Ecommerce per la vendita online progettati per essere posizionati in prima pagina di Google in modo organico per farti attrarre più clienti e superare la concorrenza tramite la nostra piattaforma UNICA sul mercato.

Contattaci subito per avere maggiori informazioni.

800 93 11 96
Cookie