Attacco DDoS - Marka Service

Attacco DDoS – Cosa sono e come proteggersi

L’inizio del 2025 è stato segnato da un attacco DDoS in Italia da parte di un gruppo di hacker filorusso che ha messo in seria difficoltà grandi colossi dell’economia italiana, tra i quali Intesa San Paolo.

Cosa è successo a questo istituto bancario?

La tecnica utilizzata è quella di inviare un’enorme quantità di traffico ai server di un’organizzazione, con l’obiettivo di sovraccaricare l’infrastruttura e renderla inaccessibile. Questo tipo di attacco non mira direttamente al furto di dati, ma può creare gravi disservizi per gli utenti che cercano di accedere ai propri conti bancari, effettuare pagamenti o gestire operazioni finanziarie online.

L’incidente ha sollevato preoccupazioni tra i clienti e ha messo in evidenza la vulnerabilità anche delle più grandi istituzioni finanziarie di fronte alle minacce informatiche; senza soffermarsi al caso specifico, è importante capire cosa sia davvero un attacco DDoS e cosa si può fare per proteggersi.

Che cos’è un attacco DDoS?

Un attacco DDoS (Distributed Denial of Service) è un tentativo ostile di bloccare il normale traffico di un server, servizio o rete sovraccaricando l’infrastruttura informatica di un’azienda inondandola di traffico Internet.

Gli attacchi DDoS raggiungono l’efficacia sfruttando come fonti più sistemi informatici compromessi. Le macchine utilizzate per tali scopi possono essere computer e altre risorse di rete come i dispositivi IoT (dai fitness tracker e smartwatch ai frigoriferi intelligenti, cuffie, fotocamere, lavatrici, automobili, semafori, motori di aerei e sistemi di sicurezza domestica, etc.)

Come funziona un attacco DDoS?

Computer e/o altre macchine vengono infettati da malware che ne permette il controllo a distanza da parte di un utente malintenzionato. Questi singoli dispositivi sono bot (o zombie) e/o botnet, ovvero un gruppo di bot.

L’Hacker è in grado di indirizzare un attacco a ciascun bot inviando istruzioni remote, trasmettendo molteplici richieste all’indirizzo IP della vittima, causando così un sovraccarico del server o della rete, con conseguente interruzione del servizio rispetto al traffico normale.

Poiché ogni bot è un dispositivo Internet legittimo, può essere difficile separare il traffico di attacco dal traffico regolare.

Come identificare un attacco DDoS?

Il primo aspetto che può saltare all’occhio è l’improvvisa lentezza o indisponibilità del sitoweb o del servizio. Questo però non aiuta a identificare subito un attacco DDoS perché anche il traffico “normale” potrebbe subire un boost esterno (es. una campagna di sponsorizzazione), quindi come si può fare? Partire da questi 4 punti di analisi:

  • Quantità sospette di traffico proveniente da un singolo indirizzo IP o da un intervallo di indirizzi IP
  • Un flusso di traffico da utenti che condividono un unico profilo comportamentale, come il tipo di dispositivo, la geolocalizzazione o la versione del browser Web
  • Un aumento inspiegabile delle richieste a una singola pagina o endpoint
  • Strani schemi di traffico, come picchi in ore inconsuete del giorno o sequenze che sembrano innaturali (ad es. un picco ogni 10 minuti)

Per affrontare un attacco DDoS in modo efficace, è fondamentale avere sia sistemi di rilevazione automatica che procedure di analisi dei log. Ecco alcune soluzioni e approcci:

Sistemi di rilevazione automatica degli attacchi DDoS

    • IDS/IPS (Intrusion Detection/Prevention Systems)
    • WAF (Web Application Firewall)
    • Sistemi di monitoraggio del traffico
    • Behavioral Analysis
      • Strumenti che usano machine learning per rilevare pattern anomali

    Sistemi di rilevazione automatica degli attacchi DDoS

    • Centralizzazione dei log
    • SIEM (Security Information and Event Management)
    • Automazione con script

    Quali sono i tipi di attacchi DDoS più comuni?

    Tipi diversi di attacchi DDoS prendono di mira componenti differenti di una connessione di rete, per capire come funzionano è necessario sapere prima come viene stabilita una connessione di rete.

    Una connessione di rete su Internet è composta da numerose componenti o “livelli”, ogni livello ha una funzione diversa. Per questo motivi ci si rifà al “Modello OSI” che descrive la connettività di rete in 7 livelli distinti.

    Attacchi al livello applicativo

    Scopo dell’attacco: Esaurire le risorse della vittima in modo da creare una interruzione dei servizi.

    Gli attacchi colpiscono il livello in cui le pagine Web vengono generate sul server e recapitate in risposta a richieste HTTP. È difficile difendersi dagli attacchi di livello 7, poiché può essere difficile differenziare il traffico dannoso da quello legittimo.

    Flood HTTP

    Questo attacco equivale a premere ripetutamente il tasto per aggiornare una pagina Web su più computer contemporaneamente: un enorme numero di richieste HTTP travolge il server, con conseguente diniego del servizio o denial-of -service.

    Attacchi al protocollo

    Scopo dell’attacco: noti anche come attacchi di tipo state-exhaustion o esaurimento dello stato, causano un’interruzione del servizio per via del consumo eccessivo di risorse del server e/o delle risorse delle apparecchiature di rete come firewall e bilanciatori di carico.

    Gli attacchi al protocollo sfruttano i punti deboli del livello 3 e 4 dello stack di protocollo per rendere inaccessibile la vittima.

    Flood SYN

    Questo tipo di attacco sfrutta l’handshake TCP, ovvero la sequenza di comunicazioni mediante la quale due computer iniziano una connessione di rete, inviando a un bersaglio un gran numero di pacchetti SYN di richiesta di connessione iniziale (Initial Connection Request) TCP con indirizzi IP di origine contraffatti.

    La macchina designata risponde a ogni richiesta di connessione e quindi attende il passaggio finale del processo di handshake, che non si verifica mai, esaurendo le risorse della vittima.

    Attacchi volumetrici

    Scopo dell’attacco: creare congestione consumando tutta la larghezza di banda disponibile tra il bersaglio e Internet. Alla vittima vengono inviate grandi quantità di dati utilizzando una forma di amplificazione o un altro mezzo per creare traffico massiccio.

    Amplificazione DNS

    Effettuando una richiesta a un server DNS aperto con un indirizzo IP contraffatto (ovvero quello della vittima designata), sarà quest’ultimo indirizzo IP a ricevere la risposta dal server.

    A questo punto è importante capire cosa possiamo muoverci e quali strumenti utilizzare quando ci troviamo di fronte a queste situazioni, anche se la cosa più importante sarebbe prevenire e tutelarsi prima che questi scenari si presentano.

    Possiamo mitigare un attacco DDoS? Come?

    Nella mitigazione di un attacco DDoS, il problema principale è riuscire a distinguere tra traffico dell’attacco e traffico normale. Un attacco DDoS multi-vettore utilizza percorsi di attacco multipli al fine di sopraffare la vittima in diversi modi, possibilmente contrastando gli sforzi di mitigazione in ogni direzione.

    Un attacco che colpisce contemporaneamente più livelli dello stack di protocollo, quale un’amplificazione DNS (che mira ai livelli 3/4) combinata a un flood HTTP (che mira al livello 7) è un esempio di attacco DDoS multi-vettore.

    Mitigare un attacco DDoS multi-vettore richiede una varietà di strategie per contrastare percorsi di infezione diversi.

    In generale, quanto più complesso è l’attacco, tanto più sarà difficile distinguerlo dal traffico regolare. L’obiettivo dell’aggressore è infatti quello di mimetizzarsi al meglio, rendendo gli sforzi di mitigazione il più inefficienti possibile.

    Conseguenze legali e normative degli attacchi DDoS

    Un attacco DDoS può comportare gravi conseguenze legali a livello nazionale e internazionale. In molte giurisdizioni, tra cui Stati Uniti, Regno Unito e Unione Europea, lanciatori di attacchi sono puniti con sanzioni penali (detenzione fino a diversi anni) e civili (risarcimenti e multe). Ad esempio, negli USA un attacco DDoS rientra sotto il Computer Fraud and Abuse Act (CFAA), che prevede migliaia di dollari di multa e anni di carcere.

    Obblighi di segnalazione e NIS2

    Le organizzazioni classificate come “entità essenziali” o “importanti” devono segnalare senza ingiustificato ritardo qualsiasi incidente significativo, come un DDoS con impatto rilevante, al proprio CSIRT o autorità competente secondo l’Articolo 23 della Direttiva NIS2.

    Early warning entro 24 ore dall’identificazione dell’incidente

    Incident notification entro 72 ore, con dettagli preliminari (gravità, impatto, IOCs)

    Oltre alla segnalazione alle autorità, è previsto l’aggiornamento degli utenti interessati, sia su rischi potenziali sia sulle contromisure disponibili.

    Sanzioni e responsabilità

    La mancata segnalazione o la segnalazione tardiva può comportare pesanti sanzioni amministrative, che possono arrivare fino al 10 milioni di euro o al 2% del fatturato annuo globale, oltre a potenziali responsabilità personali per i componenti del management.

    Per maggiori approfondimenti: NIS2 – REGISTRAZIONE PORTALE ACN

    Ecco alcune soluzioni agli attacchi DDoS

    Routing a un buco nero

    Una soluzione disponibile praticamente per tutti gli amministratori di rete è quella di creare un buco nero o blackhole e incanalare il traffico verso tale percorso.

    Se una proprietà Internet è vittima di un attacco DDoS, come difesa il provider di servizi Internet (ISP) della proprietà potrà inviare tutto il traffico del sito in un buco nero. Questa non è una soluzione ideale, in quanto offre all’aggressore l’obiettivo desiderato su un piatto d’argento: rendere la rete inaccessibile.

    Limitazione della frequenza

    Limitare il numero di richieste che un server può accettare in un determinato intervallo di tempo è pure un modo per mitigare gli attacchi denial-of-service.

    Sebbene la tecnica della limitazione della frequenza sia utile per rallentare il furto di contenuti da parte dei pirati del Web e mitigarne i tentativi di accesso in maniera forzata, da sola è probabilmente insufficiente a gestire con efficacia un attacco DDoS complesso.

    Web Application Firewall

    Un Web Application Firewall (WAF) è uno strumento che può aiutare a mitigare un attacco DDoS al livello 7. Frapponendo un WAF tra Internet e un server di origine, il WAF può fungere da proxy inverso, proteggendo il server designato da determinati tipi di traffico dannoso.

    Dissipazione attraverso la rete Anycast

    Questo approccio di mitigazione si avvale di una rete Anycast per disperdere il traffico di attacco attraverso una rete di server distribuiti in modo che venga assorbito dalla rete.

    Il team IT e Cyber Security di Marka Service può fornire la soluzione ideale per la protezione del tuo business, per questo un’analisi approfondita dello stato di fatto della tua infrastruttura informatica può preservare ma soprattutto proteggere la tua azienda dagli attacchi esterni, siano questi DDoS o di altro tipo.

    Il mondo dell’hacking è in continua evoluzione e stare al passo è una missione quotidiana, per questo non è possibile arrancare “mettendo una pezza” ma studiare una vera e propria strategia strutturata. Fondamentale è tener presente che gli attacchi non colpiscono solo le grandi aziende, come Banca Intesa in questo caso, ma tutti! Nessuno escluso!

    Prenota un’analisi gratuita con un nostro tecnico ⬇️
    support.it@markaservice.it

    Pubblicato in:
    Cyber Security