Notizia di ieri, l’attacco DDoS in Italia da parte di un gruppo di hacker filorusso che ha messo in seria difficoltà grandi colossi dell’economia italiana tra i quali Intesa San Paolo.
Non vogliamo entrare nel dettaglio di quanto successo, perché la dinamica è ancora da chiarire, vorremmo però soffermarci sulla tipologia di attacco e spiegarne alcuni aspetti importanti.
A. Che cos’è un attacco DDoS?
Un attacco DDoS (Distributed Denial of Service) è un tentativo ostile di bloccare il normale traffico di un server, servizio o rete sovraccaricando l’infrastruttura informatica di un’azienda inondandola di traffico Internet.
Gli attacchi DDoS raggiungono l’efficacia sfruttando come fonti più sistemi informatici compromessi. Le macchine utilizzate per tali scopi possono essere computer e altre risorse di rete come i dispositivi IoT (dai fitness tracker e smartwatch ai frigoriferi intelligenti, cuffie, fotocamere, lavatrici, automobili, semafori, motori di aerei e sistemi di sicurezza domestica, etc.)
B. Come funziona un attacco DDoS?
Computer e/o altre macchine vengono infettati da malware che ne permette il controllo a distanza da parte di un utente malintenzionato. Questi singoli dispositivi sono bot (o zombie) e/o botnet, ovvero un gruppo di bot.
L’Hacker è in grado di indirizzare un attacco a ciascun bot inviando istruzioni remote, trasmettendo molteplici richieste all’indirizzo IP della vittima, causando così un sovraccarico del server o della rete, con conseguente interruzione del servizio rispetto al traffico normale.
Poiché ogni bot è un dispositivo Internet legittimo, può essere difficile separare il traffico di attacco dal traffico regolare.
C. Come identificare un attacco DDoS?
Il primo aspetto che può saltare all’occhio è l’improvvisa lentezza o indisponibilità del sitoweb o del servizio. Questo però non aiuta a identificare subito un attacco DDoS perché anche il traffico “normale” potrebbe subire un boost esterno (es. una campagna di sponsorizzazione), quindi come si può fare? Partire da questi 4 punti di analisi:
- Quantità sospette di traffico proveniente da un singolo indirizzo IP o da un intervallo di indirizzi IP
- Un flusso di traffico da utenti che condividono un unico profilo comportamentale, come il tipo di dispositivo, la geolocalizzazione o la versione del browser Web
- Un aumento inspiegabile delle richieste a una singola pagina o endpoint
- Strani schemi di traffico, come picchi in ore inconsuete del giorno o sequenze che sembrano innaturali (ad es. un picco ogni 10 minuti)
D. Quali sono i tipi di attacchi DDoS più comuni?
Tipi diversi di attacchi DDoS prendono di mira componenti differenti di una connessione di rete, per capire come funzionano è necessario sapere prima come viene stabilita una connessione di rete.
Una connessione di rete su Internet è composta da numerose componenti o “livelli”, ogni livello ha una funzione diversa. Per questo motivi ci si rifà al “Modello OSI” che descrive la connettività di rete in 7 livelli distinti.
- Attacchi al livello applicativo
Scopo dell’attacco: Esaurire le risorse della vittima in modo da creare una interruzione dei servizi.
Gli attacchi colpiscono il livello in cui le pagine Web vengono generate sul server e recapitate in risposta a richieste HTTP. È difficile difendersi dagli attacchi di livello 7, poiché può essere difficile differenziare il traffico dannoso da quello legittimo.
Flood HTTP
Questo attacco equivale a premere ripetutamente il tasto per aggiornare una pagina Web su più computer contemporaneamente: un enorme numero di richieste HTTP travolge il server, con conseguente diniego del servizio o denial-of -service.
- Attacchi al protocollo
Scopo dell’attacco: noti anche come attacchi di tipo state-exhaustion o esaurimento dello stato, causano un’interruzione del servizio per via del consumo eccessivo di risorse del server e/o delle risorse delle apparecchiature di rete come firewall e bilanciatori di carico.
Gli attacchi al protocollo sfruttano i punti deboli del livello 3 e 4 dello stack di protocollo per rendere inaccessibile la vittima.
Flood SYN
Questo tipo di attacco sfrutta l’handshake TCP, ovvero la sequenza di comunicazioni mediante la quale due computer iniziano una connessione di rete, inviando a un bersaglio un gran numero di pacchetti SYN di richiesta di connessione iniziale (Initial Connection Request) TCP con indirizzi IP di origine contraffatti.
La macchina designata risponde a ogni richiesta di connessione e quindi attende il passaggio finale del processo di handshake, che non si verifica mai, esaurendo le risorse della vittima.
- Attacchi volumetrici
Scopo dell’attacco: creare congestione consumando tutta la larghezza di banda disponibile tra il bersaglio e Internet. Alla vittima vengono inviate grandi quantità di dati utilizzando una forma di amplificazione o un altro mezzo per creare traffico massiccio.
Amplificazione DNS
Effettuando una richiesta a un server DNS aperto con un indirizzo IP contraffatto (ovvero quello della vittima designata), sarà quest’ultimo indirizzo IP a ricevere la risposta dal server.
A questo punto è importante capire cosa possiamo muoverci e quali strumenti utilizzare quando ci troviamo di fronte a queste situazioni, anche se la cosa più importante sarebbe prevenire e tutelarsi prima che questi scenari si presentano.
Possiamo mitigare un attacco DDoS? Come?
Nella mitigazione di un attacco DDoS, il problema principale è riuscire a distinguere tra traffico dell’attacco e traffico normale. Un attacco DDoS multi-vettore utilizza percorsi di attacco multipli al fine di sopraffare la vittima in diversi modi, possibilmente contrastando gli sforzi di mitigazione in ogni direzione.
Un attacco che colpisce contemporaneamente più livelli dello stack di protocollo, quale un’amplificazione DNS (che mira ai livelli 3/4) combinata a un flood HTTP (che mira al livello 7) è un esempio di attacco DDoS multi-vettore.
Mitigare un attacco DDoS multi-vettore richiede una varietà di strategie per contrastare percorsi di infezione diversi.
In generale, quanto più complesso è l’attacco, tanto più sarà difficile distinguerlo dal traffico regolare. L’obiettivo dell’aggressore è infatti quello di mimetizzarsi al meglio, rendendo gli sforzi di mitigazione il più inefficienti possibile.
ECCO ALCUNE SOLUZIONI
- Routing a un buco nero
Una soluzione disponibile praticamente per tutti gli amministratori di rete è quella di creare un buco nero o blackhole e incanalare il traffico verso tale percorso.
Se una proprietà Internet è vittima di un attacco DDoS, come difesa il provider di servizi Internet (ISP) della proprietà potrà inviare tutto il traffico del sito in un buco nero. Questa non è una soluzione ideale, in quanto offre all’aggressore l’obiettivo desiderato su un piatto d’argento: rendere la rete inaccessibile.
- Limitazione della frequenza
Limitare il numero di richieste che un server può accettare in un determinato intervallo di tempo è pure un modo per mitigare gli attacchi denial-of-service.
Sebbene la tecnica della limitazione della frequenza sia utile per rallentare il furto di contenuti da parte dei pirati del Web e mitigarne i tentativi di accesso in maniera forzata, da sola è probabilmente insufficiente a gestire con efficacia un attacco DDoS complesso.
- Web Application Firewall
Un Web Application Firewall (WAF) è uno strumento che può aiutare a mitigare un attacco DDoS al livello 7. Frapponendo un WAF tra Internet e un server di origine, il WAF può fungere da proxy inverso, proteggendo il server designato da determinati tipi di traffico dannoso.
- Dissipazione attraverso la rete Anycast
Questo approccio di mitigazione si avvale di una rete Anycast per disperdere il traffico di attacco attraverso una rete di server distribuiti in modo che venga assorbito dalla rete.
Il team IT e Cyber Security di Marka Service può fornire la soluzione ideale per la protezione del tuo business, per questo un’analisi approfondita dello stato di fatto della tua infrastruttura informatica può preservare ma soprattutto proteggere la tua azienda dagli attacchi esterni, siano questi DDoS o di altro tipo.
Il mondo dell’hacking è in continua evoluzione e stare al passo è una missione quotidiana, per questo non è possibile arrancare “mettendo una pezza” ma studiare una vera e propria strategia strutturata. Fondamentale è tener presente che gli attacchi non colpiscono solo le grandi aziende, come Banca Intesa in questo caso, ma tutti! Nessuno escluso!
Prenota un’analisi gratuita con un nostro tecnico ⬇️
support.it@markaservice.it