Un attacco è una tipologia di attacco informatico in cui gli autori cercano di interrompere o bloccare un sito web, una rete o un altro servizio online sovraccaricandolo con un elevato volume di richieste false o indesiderate.
Le motivazioni di un attacco DDoS sono molteplici. Per i criminali informatici, queste includono tipicamente il guadagno vendendo attacchi DDoS come servizio, il ricatto di potenziali obiettivi per il pagamento di un riscatto, l'hacktivismo e l'ottenimento di un vantaggio competitivo.
I gruppi di minaccia più sofisticati sono noti per utilizzare gli attacchi DDoS principalmente come parte o come distrazione da altre attività più gravi, come il cyberspionaggio e il cybersabotaggio.
Gli autori degli attacchi DDoS utilizzano reti di dispositivi distribuiti e compromessi per interrompere i sistemi prendendo di mira uno o più componenti necessari per stabilire una connessione (vedi modello OSI) a una risorsa di rete.
Gli attacchi volumetrici sono uno dei tipi più vecchi di attacchi DDoS. Utilizzano grandi volumi di traffico per riempire la capacità di banda tra la rete della vittima e Internet o la capacità all'interno della rete della vittima. Gli attacchi volumetrici più grandi sono (attualmente) misurati in Terabit al secondo (Tbps), equivalenti a circa 9.000 connessioni Internet medie. Ad esempio, durante un attacco di tipo UDP (User Datagram Protocol), gli aggressori sovraccaricano il server remoto preso di mira richiedendo informazioni a un'applicazione in ascolto su una porta specifica. Il server controlla e/o risponde a ogni richiesta, finendo per esaurire la larghezza di banda e diventare irraggiungibile.
Attacchi di protocollo. Come dice il nome, gli attacchi di protocollo sfruttano in modo improprio il design del protocollo di comunicazione sottostante (livelli 3 e 4 del modello OSI) per esaurire le risorse del sistema preso di mira. Un esempio di attacco protocollare è il SYN flood, che invia un gran numero di richieste specifiche al server preso di mira, ma lascia le risposte a tali richieste senza ulteriori azioni, mantenendo l'"handshake a tre vie" incompleto. Quando il numero di connessioni non completate esaurisce la capacità del server, questo diventa irraggiungibile per le connessioni legittime. Gli attacchi di protocollo utilizzano pacchetti appositamente creati per raggiungere i loro obiettivi malevoli e sono quindi misurati in pacchetti al secondo (PPS). I più grandi attacchi registrati hanno raggiunto le centinaia di milioni.
Gli attacchi di livello applicativo (livello 7 del modello OSI) prendono di mira le applicazioni rivolte al pubblico attraverso un elevato volume di traffico spoofato o fasullo. Un esempio di attacco DDoS di livello applicativo è un HTTP flood, che inonda uno specifico server Web con richieste HTTP GET e HTTP POST altrimenti legittime. Anche se il server può disporre di una larghezza di banda sufficiente, è costretto a elaborare un gran numero di richieste fasulle invece delle loro controparti legittime, esaurendo così la capacità di elaborazione. Gli attacchi di livello applicativo si misurano in decine di milioni di richieste al secondo (RPS).
Come suggerisce il nome, la differenza sta soprattutto nel numero di macchine attaccate. Nel caso del DoS, l'attacco utilizza tipicamente uno script o uno strumento, proviene da un singolo dispositivo e ha come obiettivo un server o un endpoint specifico. Al contrario, gli attacchi DDoS vengono eseguiti da un'ampia rete di dispositivi compromessi controllati dall'aggressore, noti anche come botnet, e possono essere utilizzati per sovraccaricare dispositivi, applicazioni, siti web, servizi o persino le intere reti delle vittime.
Il segno più evidente di un attacco DDoS è la scarsa prestazione o l'indisponibilità del sistema o del servizio preso di mira. Nel caso di un sito web, ciò potrebbe tradursi in lunghi tempi di caricamento o inaccessibilità per le persone all'interno e all'esterno dell'organizzazione. Esistono anche servizi pubblici di monitoraggio degli attacchi DDoS, come downforeveryoneorjustme.com o downdetector.com
Un attacco DDoS può essere identificato anche attraverso il monitoraggio e l'analisi del traffico di rete, che individua richieste fasulle o indesiderate che sovraccaricano uno o più sistemi aziendali. In alcuni casi, anche un messaggio di estorsione può indicare un attacco DDoS possibile o in corso, chiedendo un riscatto per eliminare la vostra organizzazione dall'elenco dei futuri obiettivi o per far cessare un attacco in corso.
4. Non è necessario che le organizzazioni siano l'obiettivo principale per sentire l'impatto di un attacco DDoS, soprattutto se questo interrompe le parti vitali dell'infrastruttura Internet, come gli ISP locali o regionali. Nel 2016, i criminali hanno invaso i server del principale provider DNS Dyn. Altri importanti servizi online sono diventati indisponibili a causa di questo attacco DDoS, tra cui Twitter, Reddit, Netflix e Spotify.
5. Alcuni criminali informatici minacciano di utilizzare le loro botnet per un attacco DDoS contro una specifica organizzazione a meno che non venga effettuato un pagamento. Questi attacchi sono chiamati attacchi DDoS ransom e non richiedono che l'attaccante ottenga l'accesso alle reti dei suoi obiettivi.
6. Dal 2020, gli attacchi DDoS contro i siti web delle vittime sono diventati parte dello schema di "tripla estorsione" utilizzato dalle bande di ransomware di alto profilo, aggiungendo il DDoS al furto e alla crittografia dei dati degli obiettivi.
7. Esistono Servizi di DDoS a pagamento sul dark web che consentono anche ad attori inesperti che hanno i soldi e la motivazione, ad esempio per ottenere un vantaggio su un concorrente, di organizzare un attacco DDoS.
Gli attacchi DDoS possono essere difficili da mitigare per le organizzazioni che non dispongono di risorse adeguate, come hardware o larghezza di banda sufficiente. Tuttavia, anche le piccole e medie imprese possono fare qualcosa per aumentare la loro protezione:
Ottieni una protezione efficace che può mitigare i rischi legati agli attacchi DDoS. Le soluzioni ESET per la sicurezza multi-livello degli endpoint utilizzano una sofisticata tecnologia di protezione dagli attacchi di rete con filtraggio avanzato e ispezione dei pacchetti per prevenire le interruzioni.
