DDoS: cos’è e cosa significa

Definizione Distributed Denial-of-Service

Distributed Denial-of-Service (o DDoS in acronimo) indica un attacco informatico effettuato con più di un dispositivo su un singolo bersaglio.

Gli attacchi DDoS (Distributed Denial-of-Service) sono un fenomeno “occulto” (nel senso di non propriamente visibile all’utente medio) quanto molto diffuso, e possono rappresentare un problema serio in molte circostanze.

L’obiettivo di questo tipo di attacchi, che non sono altro che un insieme di richieste fake, veloci e numerose, recapitate contemporaneamente ad un server obiettivo, con lo scopo di sovraccaricarlo e renderlo inutilizzabile, è quello di rendere inagibile uno o più siti vittima.

Cosa provoca un DDoS sul bersaglio?

Se il bersaglio del DDoS è un sito web, il DDoS provoca il downtime del server vittima e, come conseguenza, del sito che lo ospita che smette di funzionare o da’ vari generi di errore. Sotto attacco di questo tipo non sarà possibile accedere al sito nè modificarlo, ovviamente.

Per risolvere questo genere di situazioni è opportuno mettere offline la macchina, prendere provvedimenti atti a rafforzare la sicurezza dell’hosting e successivamente riavviare il servizio. Di solito questo genere di lavori viene effettuato da personale specializzato, che può anche impostare dei firewall o delle protezioni specifiche per evitare o quantomeno limitare casi del genere.

Come avviene un DDoS?

Essenzialmente mediante l’invio di pacchetti “falsificati” ad una macchina obiettivo; in caso si DDoS, a differenza del DoS singolo, i pacchetti sono smistati secondo una logica idonea atta ad espandere esponenzialmente, ad ogni livello successivo, l’effetto dell’attacco. La ricerca di nodi “schiavi” opportuni passa per l’analisi di falle informatiche da sfruttare per l’attaccante, spesso all’insaputa del computer vittima (computer “zombi”, cosiddetti in questo caso).

Cosa cambia tra DoS e DDoS

Il DoS “ordinario” opera con un singolo computer, mentre il DDoS opera con una rete di attaccanti, che sono detti “computer zombi” o dispositivi zombi.

Come funzionano gli attacchi DDoS

Un modo piuttosto comune per attaccare i siti web con modalità DDoS consiste nel saturare la macchina target con un gran numero di richieste (di solito mediante appositi script in Python, Perl o PHP), in modo tale da riempirne la memoria o sovraccaricarne la CPU, provocare errori irreversibili, floodare la macchina destinazione e/o saturare la rete della macchina destinazione. Alcuni tipi di attacchi DDoS, inoltre, possono riguardare l’abuso di DNS di una macchina ospitante, così come avvenuto nel caso degli spammer che hanno attaccato spamhaus.org mediante CloudFlare. A parte i boicottaggi di natura commerciale, per così dire, non è infrequente che casi del genere vadano a colpire siti e servizi web per motivi politici o come forma di protesta sociale.

visualizationLe richieste vengono distribuite da vari “punti di attacco” in modo da vanificare il ban di un singolo IP, oppure basandosi sul fatto che il firewall della macchina destinazione non filtri adeguatamente i pacchetti in ingresso. Negli attacchi DDoS (distribuiti, a differenza dei DoS) quello che succede di solito è che un “computer master” “schiavizza” una gerarchia di “schiavi” che saranno poi incaricati di smistare le richieste illecite di traffico (immagini tratte da linuxaria).

Schema generale di un attacco DDoS

In genere un attacco DDoS può seguire uno schema gerarchico come quello indicato qui sopra: in alto vediamo il PC dell’attaccante (attacker) che è colui il quale controlla alcuni computer master, che sono quelli in grado di orchestrare l’attacco sui vari PC o smartphone schiavi (slaves). I dispositivi in questione sono stati, il più delle volte, infettati da un malware appositamente progettato per consentire questi attacchi, anche se in alcuni casi possono anche essere PC messi generosamente a disposizione all’attaccante da parte di eventuali “simpatizzanti” la causa dell’attacco.

Tutto il traffico viene incanalato sul PC della vittima (victim), che può essere un sito (ad esempio istituzionale o di un’azienda), il server di qualche app ed altro ancora.

Come combattere questi attacchi

Se ne caso del DoS era piuttosto semplice bannare l’IP attaccante, nel caso distribuito le cose possono non essere così immediate. La logica di sicurezza per evitare situazioni di questo tipo, in queste situazioni, consiste nel bloccare anzitutto i servizi inessenziali che girino sul nostro server, bloccare le porte non indispensabili, aggiornare spesso il sistema operativo, disabilitare l’IP broadcast, usare firewall ben configurati, usare blacklist ed altro ancora.

Per quanto inoltre esistano misure di sicurezza potenziate (si veda Cloudflare, oppure GlobalDots) per vari servizi web, nessuna di queste potrà mai dare la certezza assoluta di non avere mai problemi in questo senso.

0 voti