Con la crescita esponenziale del volume di dati online, gli attacchi distribuiti per l’interruzione del servizio (DDoS, dall’inglese Distributed Denial of Service) sono sempre più frequenti.
Lo scopo fondamentale di questi elementi malevoli è quello di disattivare i singoli siti web o intere reti sommergendoli di traffico generato da migliaia di computer infettati, noti collettivamente come botnet. I bersagli principali dei DDoS risultano essere i siti bancari, di informazione e quelli governativi, mediante un’interruzione nel servizio da loro fornito.
Considerato che sia l’obiettivo dell’attacco sia i computer utilizzati per lo stesso sono entrambi vittime, i singoli utenti diventano danni collaterali dell’attacco, vedendo i propri PC rallentati o bloccati a causa del lavoro che devono svolgere per gli hacker.
Perché vengono creati
Gli hacker che progettano un attacco DDoS possono avere diverse motivazioni: dal guadagno economico, alla vendetta, fino al semplice comportamento da “troll”. La loro causa principale, tuttavia, è quasi sempre legata al denaro, in quanto durante un’offensiva, i siti web interessati vengono bloccati e i relativi servizi online diventano indisponibili per i singoli utenti, che perdono quindi la fiducia confronti dell’organizzazione e possono decidere di utilizzare i servizi della concorrenza. Ciò comporta una perdita nelle entrate, assieme a un danno della reputazione dell’organizzazione.
Diverse tipologie di attacchi
A seconda degli obiettivi che si prefiggono, gli hacker possono decidere di condurre il loro attacco sfruttando diverse tecniche e differenti strategie.
Pertanto, i DDoS possono essere raggruppati in quattro macro-categorie: attacchi alla connessione TCP, attacchi volumetrici, attacchi di frammentazione e attacchi applicativi.
- Nel primo caso i pirati informatici sfruttano le funzionalità del protocollo TCP(acronimo di Transmission Control Protocol) per saturare velocemente le risorse di rete dell’obiettivo, sia esso un data center o una rete di distribuzione. In particolare, la botnet inonda il server di richieste di connessione, senza però arrivare mai a conclusione del processo: in questo modo le risorse del sistema informatico si esauriscono in fretta, rendendo di fatto impossibile l’accesso ai contenuti da parte di qualunque utente.
- Gli attacchi volumetrici, invece, puntano a saturare la banda di comunicazione a disposizione di un nodo della rete facendo pervenire, contemporaneamente, un grande numero di richieste di accesso ai contenuti più vari. In questo modo gli hacker creano un volume di traffico abnorme e ingestibile, tanto che il server o la rete di distribuzione sono costretti a rifiutare qualunque altro tentativo di connessione.
- Diverso è il discorso per gli attacchi di frammentazione: in quanto anziché puntare a saturare la rete, questi provano a consumare tutte le risorse di calcolo del sistema informatico con un escamotage piuttosto arguto. Le richieste di accesso che arrivano non sono complete, ma frammentate (da qui il nome): il server o la rete di distribuzione impiega gran parte della propria potenza di calcolo nel tentativo di ricostruire i pacchetti incompleti, senza mai riuscirci.
- A volte, però, per rendere inutilizzabile un server non è necessario colpire l’intera infrastruttura. È sufficiente sfruttare una falla o un particolare malfunzionamento di uno degli applicativi che ne consentono il funzionamento per renderlo instabile e, di conseguenza, inutilizzabile. È questo il caso degli attacchi applicativi che, come detto, puntano a mandare KO un server o una rete di distribuzione colpendoli in particolari punti deboli.
Riconoscere e prevenire un DDoS
Un attacco DDoS riuscito è semplice da riconoscere, ma difficile da prevenire. Quando una rete viene improvvisamente sommersa da un traffico web persistente che dura giorni, settimane o perfino mesi e diventa inutilizzabile per l’utente comune, è molto probabile che la causa sia un attacco DDoS. È leggermente più difficile riconoscere se il proprio PC sia stato “arruolato” in una botnet: tuttavia, se inizia improvvisamente a rallentare, visualizza messaggi di errore o si blocca in modo casuale, ci sono buone possibilità che si trovi all’interno di una botnet.
Proteggersi da un DDoS è impossibile per un utente comune, dato che soltanto l’amministratore del sito web può accorgersi di picchi di traffico improvvisi e imprevisti e prendere le necessarie contromisure. I singoli utenti possono fare la loro parte utilizzando un potente antivirus, in grado di rilevare e rimuovere il malware che ha inserito il proprio PC in una botnet, in questo modo eviteranno rallentamenti, blocchi o che il PC sia utilizzato per colpire altri utenti.
Come evitare l’inserimento in una botnet
Così come per la prevenzione, difendersi da un attacco DDoS è molto difficile. Tuttavia, si può evitare di essere inseriti all’interno di una botnet attraverso alcuni accorgimenti, come:
- assicurarsi di proteggere il proprio computer con un antivirus affidabile;
- non scaricare software sconosciuti nel proprio computer che potrebbero agire da vettori per un virus;
- restare in allerta in modo da accorgersi subito se il proprio PC inizi a comportarsi in modo strano o a rallentarsi.
Allo stesso tempo, una possibile contromossa nei confronti dei DDoS può essere attuata attraverso delle piattaforme specializzate nella distribuzione di contenuti via internet come Akamai, che riceve tutto il traffico indirizzato al sistema informatico in questione, lo pulisce ed invia solo quello adatto.
Continua a seguire il blog targato Musa Formazione per altri articoli e contenuti di sicurezza informatica e scopri il corso di Ethical Hacker & Security Manager per diventare un professionista del settore.
Alla prossima!