Tipi di attacchi DDoS e come prevenirli

Blog

Diversi tipi di attacchi DDoS hanno provocato un notevole scompiglio nel mondo digitale: vediamo cosa sono e come prevenirli.

di Ahona Rudra

Tempo di lettura: 10 min
Tipi di attacchi DDoS e come prevenirli
Indice dei contenuti-

Tra tutte le minacce informatiche, gli attacchi DDoS (Distributed Denial of Service) e le loro tipologie sono tra le più insidiose e diffuse. Secondo un rapporto, nel 2022 si è registrato un aumento del 74% nel numero di attacchi DDoS rispetto agli anni precedenti. Anche in fase nascente, le organizzazioni dovrebbero adottare misure per prevenire gli attacchi DDoS. La protezione DDoS è importante perché consente ad attori malintenzionati di inondare una rete di traffico, causandone l'interruzione permanente o temporanea. Il sovraccarico di traffico interrompe la connettività, impedendo agli utenti legittimi di visitare il vostro sito web.

Fondamentalmente, un attacco DDoS o Distributed Denial of Service è un crimine informatico in cui gli hacker mirano a mandare in tilt una rete o un server sovraccaricandoli di traffico falso. Il picco imprevisto di messaggi, richieste di connessione o pacchetti di dati travolge il sistema preso di mira causandone il rallentamento o l'arresto. Il motivo degli autori o degli hacktivisti di diversi tipi di attacchi DDoS è spesso quello di sommergere di richieste la rete o il sistema dell'obiettivo per ostacolare le operazioni commerciali o rendere il sito web/applicazione inaccessibile agli utenti previsti.

Altri motivi possono essere la manipolazione degli obiettivi per indurli a pagare un riscatto elevato, l'interruzione del servizio per rivalità professionale, il danneggiamento dell'immagine del marchio o la distrazione del team di risposta agli incidenti per tentare un attacco più grande. Questi attacchi si sono evoluti nel corso degli anni, il che li rende più difficili da difendere. Tuttavia, con la giusta strategia e una comprensione completa di questi attacchi, è possibile mitigarne l'impatto. Questo può portare ad altre forme di crimini informatici come il phishing e lo spoofing, che possono essere mitigati se si utilizzano SPF, DKIM e DMARC.

In questo articolo vi illustreremo i vari tipi di attacchi DDoS e le strategie per salvaguardare le vostre risorse digitali e mantenere ininterrotte le operazioni aziendali nel mondo iperconnesso di oggi. L'impatto di un attacco IP DDoS può essere significativo, con perdite di fatturato, danni alla reputazione e persino responsabilità legali. Inoltre, la frequenza e l'intensità di questi attacchi sono in aumento, rendendo fondamentale per gli amministratori di rete e i professionisti della sicurezza comprenderne la natura e le conseguenze.

I punti chiave da prendere in considerazione

  1. Gli attacchi DDoS sfruttano vari livelli di rete (applicazione, protocollo, volumetrico) utilizzando tecniche come i SYN Flood, gli UDP Flood e gli attacchi di riflessione per sopraffare i sistemi.
  2. Una difesa efficace richiede un approccio a più livelli che comprende la riduzione della superficie di attacco (WAF, CDN), il monitoraggio della rete, la ridondanza dei server e solide pratiche di sicurezza.
  3. Il rilevamento dei DDoS comporta la definizione di linee di base del traffico, il monitoraggio delle anomalie (come la comunicazione con il server C&C) e l'implementazione di analisi in tempo reale.
  4. Un piano di risposta DDoS completo, che includa un team addestrato e protocolli chiari, è fondamentale per ridurre al minimo i tempi di inattività e i danni.
  5. I costi degli attacchi DDoS non si limitano ai tempi di inattività, ma comportano significative perdite finanziarie, di reputazione e operative, evidenziando la necessità di una consapevolezza e di una prevenzione proattive della cybersecurity.

Vari tipi di attacchi DDoS

Sebbene la premessa di base di tutti gli attacchi DDoS sia la stessa, ovvero intasare l'infrastruttura IT della vittima con il traffico e ostacolare le operazioni, essi possono essere eseguiti in vari modi. Questi diversi tipi di attacchi DDoS sono classificati in base ai livelli di connessione di rete che prendono di mira, il che può modificare significativamente il modo in cui vengono rilevati e difesi. In genere rientrano in tre categorie principali: Attacchi volumetrici, Attacchi di protocollo e Attacchi di livello applicativo.

  • Attacchi volumetrici: Hanno l'obiettivo di consumare tutta la larghezza di banda disponibile tra l'obiettivo e la rete Internet. Diminuiscono la larghezza di banda del vostro sito web utilizzando tecniche di amplificazione. È difficile da rilevare perché il traffico sembra provenire da più indirizzi IP. Tra gli esempi vi sono i flood UDP e i flood ICMP.
  • Attacchi di protocollo: Si concentrano sul consumo delle risorse del server o delle risorse delle apparecchiature di comunicazione intermedie, come firewall e bilanciatori di carico. Gli esempi includono gli attacchi SYN flood e Ping of Death.
  • Attacchi di livello applicativo: Questi attacchi prendono di mira applicazioni o servizi specifici sfruttando le vulnerabilità (come SIP, servizi vocali, BGP) o sommergendoli di richieste apparentemente legittime, disabilitando la capacità dell'applicazione di fornire contenuti. I flood HTTP sono un esempio comune.

Alcuni esempi comuni di tipi specifici di attacchi DDoS e i relativi esempi reali includono:

Attacco di riflessione CLDAP

L'attacco di Reflection CLDAP è uno dei tipi più comuni e fatali di attacchi DDoS, con un impatto dei nuovi exploit che negli ultimi anni è salito fino a 70 volte. 70 volte negli ultimi anni. L'attacco prende di mira il Connectionless Lightweight Directory Access Protocol (CLDAP), che è un'alternativa a LDAP (Lightweight Directory Access Protocol).

In questo attacco, l'aggressore utilizza un indirizzo IP del mittente della vittima, sottoposto a spoofing, per avviare richieste a un server LDAP vulnerabile. Il server vulnerabile risponde quindi all'IP della vittima con risposte amplificate, causando così un attacco di riflessione. Si tratta di un tipo di attacco volumetrico.

L'attacco DDoS di AWS: 2020

Nel 2020, Amazon Web Services Inc. ha rivelato di essere riuscita a schivare 2,3 terabyte al secondo di distributed denial-of-service, il più grande colpo nella storia degli attacchi DDoS. Secondo il rapporto di AWS, questo attacco si basava su un attacco CLDAP DDoS reflection, orchestrato per interrompere le operazioni dell'app o del sito web inondando l'obiettivo con un volume massiccio di richieste.

Attacco DDoS a Memcached

Come ogni altro tipo di attacco DDoS, un attacco DDoS a Memcached è un attacco in cui l'attore della minaccia sommerge il server dell'obiettivo con il traffico Internet. 

In questo attacco, l'aggressore sfrutta un indirizzo IP spoofato per sfruttare un server UDP memcached vulnerabile con piccole query per ottenere risposte amplificate dirette all'indirizzo IP della vittima, dando l'impressione che le richieste provengano dalla vittima stessa. Questo è un altro esempio di attacco volumetrico basato sulla riflessione.

L'attacco DDoS di GitHub: 2018

Nel 2018, un attacco DDoS ha preso di mira GitHub, una piattaforma di gestione del codice online utilizzata dagli sviluppatori di tutto il mondo. L'attacco ha mandato in tilt i server di GitHub con ben 1,2 Tbps di traffico, inviati alla velocità di 126,9 milioni al secondo. 1,2 Tbps di traffico, inviato a una velocità di 126,9 milioni al secondo.. La fonte dell'attacco è stata rintracciata in più di mille sistemi autonomi (ASN) distinti, distribuiti su decine di migliaia di singoli endpoint.

Attacco DDoS HTTPS

Un attacco HTTP flood, noto anche come attacco DDoS di livello 7 (un attacco di livello applicativo), sfrutta una richiesta HTTP GET o POST apparentemente legittima per appesantire un server o un'applicazione. Invece di inviare pacchetti di grandi dimensioni, l'aggressore invia molte richieste sulla connessione HTTP/HTTPS. Ciò comporta un elevato utilizzo della CPU e un consumo di memoria sull'host di destinazione, perché deve elaborare queste richieste prima di rispondere, potenzialmente con un messaggio di errore che dice "server troppo occupato" o "risorsa non disponibile". Questi tipi di attacchi DDoS si basano su una botnet, ovvero una rete di computer compromessi controllati da un'unica entità. Poiché l'aggressore utilizza richieste URL standard, il traffico falsificato è quasi indistinguibile da quello valido. 

L'attacco di Google: 2022

Un esempio notevole di attacco DDoS HTTPS è quello subito da Google il 1° giugno 2022. L'infrastruttura e i servizi di Google sono stati interrotti quando l'attaccante ha utilizzato diversi indirizzi per generare oltre 46 milioni di richieste al secondo, un numero superiore del 76% rispetto al record precedentemente riportato.

Attacco SYN Flood

Un attacco SYN flood (un tipo di attacco di protocollo) è uno dei tipi più comuni di attacchi alla rete. Con questo attacco, un aggressore invia un'ondata di pacchetti SYN (parte dell'handshake TCP) al vostro server, spesso con indirizzi IP di origine falsificati. Il server risponde con un pacchetto SYN-ACK a ogni richiesta di SYN, in attesa del pacchetto ACK finale che non arriva mai dall'indirizzo falsificato. Questo lascia molte connessioni semiaperte, che consumano le risorse del server fino a renderlo incapace di gestire le richieste legittime.

Attacco UDP Flood

In un attacco UDP flood (un attacco volumetrico), l'aggressore invia un grande volume di pacchetti User Datagram Protocol (UDP) a porte casuali del server di destinazione. Il server tenta di elaborare questi pacchetti, verificando la presenza di applicazioni in ascolto su quelle porte. Se non ne trova nessuna, risponde con un pacchetto ICMP "Destination Unreachable". Il volume dei pacchetti UDP in entrata e delle risposte ICMP in uscita può esaurire le risorse del server e la larghezza di banda della rete, causando un'interruzione del servizio.

Attacco dei puffi

Un attacco Smurf (un tipo di attacco volumetrico/di riflesso) utilizza richieste di eco ICMP (ping) falsificate. L'attaccante invia questi ping all'indirizzo di broadcast di una rete, utilizzando l'indirizzo IP della vittima come IP di origine. Tutti i dispositivi della rete broadcast rispondono quindi con risposte ICMP echo all'indirizzo spoofed della vittima. In questo modo il computer bersaglio viene inondato da migliaia di ping al secondo, potenzialmente inondandolo.

Attacco Ping of Death

L'attacco Ping of Death (un attacco di protocollo) è uno dei vecchi attacchi DDoS che sfrutta la frammentazione IP. Un aggressore invia un pacchetto IP più grande della dimensione massima consentita (65.535 byte) frammentandolo. Quando il sistema bersaglio cerca di riassemblare il pacchetto sovradimensionato, può causare buffer overflow e crash di sistema sui sistemi più vecchi e senza patch. Sebbene oggi sia meno efficace grazie a una migliore gestione del sistema operativo, il principio dello sfruttamento delle vulnerabilità del protocollo rimane rilevante.

Protezione contro gli attacchi di tipo Distributed Denial of Service 

Poiché la gravità e la frequenza di diversi tipi di attacchi DDoS sono diventati problemi pressanti per le organizzazioni e i loro team di sicurezza, è fondamentale seguire un approccio strategico per schivare e mitigare l'impatto di questi attacchi dannosi. Seguire un piano di cybersecurity completo non solo aiuta le aziende a rafforzare la loro infrastruttura di rete, ma anche a mantenere l'integrità del loro sito web/applicazione. 

Ecco alcuni modi per prevenire gli attacchi DDoS e garantire ai vostri utenti un'esperienza online senza interruzioni:

Ridurre l'esposizione della superficie di attacco

Uno dei primi passi per garantire un'infrastruttura digitale resiliente è limitare i punti di vulnerabilità che gli aggressori possono colpire. Proteggete i vostri documenti importanti, le applicazioni, le porte, i protocolli, i server e altri potenziali punti di ingresso. A tal fine, potete affidarvi a un firewall per applicazioni web (WAF) o a un servizio CDN per impedire agli attori delle minacce di accedere direttamente alle vostre risorse digitali ospitate sul server o sull'applicazione. Una CDN mette in cache i contenuti a livello globale e serve le richieste, mentre un WAF filtra le richieste dannose. È inoltre necessario utilizzare bilanciatori di carico per distribuire il traffico e proteggere i server web. Pulite regolarmente i siti web o le applicazioni eliminando i servizi irrilevanti o le porte aperte che gli hacker potrebbero sfruttare.

Monitoraggio e analisi del traffico di rete

Se notate attività insolite o anomalie nel traffico di rete, prendetelo come un segnale per analizzarle e rispondere prontamente. Un modo efficace per farlo è stabilire una linea di base o un benchmark del comportamento tipico della rete (analisi del traffico di base). Tutto ciò che si discosta significativamente da questa linea di base potrebbe indicare una potenziale violazione della sicurezza. Fate attenzione a segnali di allarme come scarsa connettività, prestazioni lente, traffico eccessivo verso un endpoint specifico, crash frequenti o modelli di traffico insoliti da un singolo indirizzo IP o gruppo. Anche gli attacchi a basso volume e di breve durata possono essere pericolosi. È indispensabile un rilevamento precoce attraverso la profilazione continua del traffico e dei pacchetti. Cercate la comunicazione con i server di comando e controllo (C&C) conosciuti e utilizzati dalle botnet. È fondamentale reagire in tempo reale, magari utilizzando sistemi di correlazione degli eventi basati su regole che rilevino e reagiscano automaticamente alle attività sospette.

Garantire una solida sicurezza di rete

Implementare più livelli di sicurezza della rete per rilevare tempestivamente gli attacchi e limitarne l'impatto. Utilizzare firewall e sistemi di rilevamento delle intrusioni (IDS) per filtrare il traffico. Utilizzate programmi antivirus e antimalware. Utilizzare strumenti per prevenire lo spoofing degli indirizzi IP verificando gli indirizzi di origine (ad esempio, filtraggio in ingresso). Assicurarsi che tutti gli endpoint della rete (desktop, laptop, dispositivi mobili) siano protetti, poiché spesso vengono sfruttati. Considerate la segmentazione della rete per suddividere i sistemi in sottoreti, limitando il raggio d'azione in caso di compromissione di un segmento. Anche la limitazione delle trasmissioni di rete può essere utile; limitate o disattivate l'inoltro delle trasmissioni e disabilitate i servizi non necessari come echo e chargen, se possibile.

Ridondanza del server

L'utilizzo di più server distribuiti rende difficile per gli aggressori colpire tutti i server contemporaneamente. Se un dispositivo di hosting viene attaccato, gli altri possono rimanere operativi e assumersi il carico di traffico finché il sistema bersaglio non si riprende. Ospitare i server in centri dati geograficamente diversi o in strutture di colocazione per evitare colli di bottiglia nella rete. Una rete di distribuzione dei contenuti (CDN) fornisce anche una ridondanza intrinseca, distribuendo i contenuti su molti server.

Passare a soluzioni basate sul cloud e sfruttare le capacità dei fornitori

Le soluzioni basate sul cloud non solo garantiscono una scalabilità continua delle risorse, ma spesso sono anche più sicure e affidabili delle tradizionali configurazioni on-premise. I fornitori di cloud dispongono in genere di una larghezza di banda molto maggiore rispetto alle singole organizzazioni, rendendo più difficile il successo degli attacchi volumetrici. Anche la natura distribuita dell'infrastruttura cloud riduce intrinsecamente la suscettibilità. Inoltre, i provider di servizi Internet (ISP) e i provider cloud svolgono un ruolo cruciale. Gli ISP possono bloccare il traffico dannoso a monte, monitorare le attività sospette, fornire larghezza di banda su richiesta durante gli attacchi e distribuire il traffico degli attacchi. Molti cloud provider offrono servizi di protezione DDoS specializzati, sfruttando la loro scala e la loro esperienza per rilevare e mitigare efficacemente gli attacchi.

Avere un piano di risposta in atto

Un piano di risposta ben strutturato è fondamentale per qualsiasi organizzazione per gestire efficacemente gli incidenti, ridurre al minimo i danni e garantire la continuità aziendale in caso di attacco. Più l'infrastruttura è complessa, più il piano deve essere dettagliato. Il piano di risposta DDoS deve includere quanto segue:

  • Una lista di controllo dei sistemi
  • Un team di risposta ben addestrato
  • Misure/protocolli di rilevamento e allerta
  • Strategie di mitigazione complete (come attivare le difese, contattare i provider, ecc.).
  • Piani di comunicazione per gli stakeholder interni ed esterni (compreso un elenco di chi deve essere informato)
  • Procedure per mantenere l'operatività aziendale durante un attacco
  • Un elenco di sistemi mission-critical

Eseguire valutazioni di vulnerabilità

Le valutazioni delle vulnerabilità consentono alle organizzazioni di esaminare sistematicamente le falle nelle loro reti, sistemi e applicazioni prima che un aggressore le sfrutti. Ciò include valutazioni della rete e del wireless, revisioni delle policy e controllo delle applicazioni web e del codice sorgente per individuare eventuali falle, spesso utilizzando strumenti di scansione automatizzati. La valutazione dei rischi, la generazione di report completi e il lavoro continuo sulla valutazione contribuiscono a una solida strategia di cybersecurity e assicurano la continuità delle operazioni. Questo approccio aiuta le organizzazioni a ridurre i pericoli degli attacchi DDoS e dei loro tipi.

Sviluppare e praticare buone abitudini di igiene informatica

Il vostro team deve essere addestrato a praticare buone abitudini di igiene informatica per evitare che i sistemi vengano compromessi e potenzialmente utilizzati nelle botnet. Queste includono:

  • Impostate password forti e uniche (almeno 12 caratteri con numeri, simboli, lettere maiuscole/minuscole) e cambiatele regolarmente.
  • Evitate di condividere e riutilizzare le password.
  • Utilizzate l'autenticazione a due fattori (2FA) quando possibile per aggiungere un ulteriore livello di sicurezza.
  • Utilizzate la crittografia dei dispositivi su computer portatili, tablet, smartphone, unità esterne e cloud storage.
  • Mantenere il software e i sistemi aggiornati con le ultime patch di sicurezza.

I costi degli attacchi DDoS

Gli attacchi DDoS stanno diventando più lunghi, più sofisticati e più grandi, aumentando in modo significativo i costi per le aziende. Secondo una ricerca del Ponemon Institute, il costo medio per minuto di inattività di un attacco DDoS può essere considerevole, raggiungendo potenzialmente i 22.000 dollari. I costi esatti dipendono da fattori quali il settore, le dimensioni dell'azienda, la durata dell'attacco e la reputazione del marchio. Tuttavia, il costo reale va ben oltre le perdite finanziarie immediate e comprende:

  • Costi diretti: Consumo di larghezza di banda, danni o sostituzione dell'hardware, costi del servizio di mitigazione.
  • Costi legali: Potenziali cause legali o multe normative in caso di compromissione di dati sensibili o di violazione degli accordi sui livelli di servizio.
  • Perdite di proprietà intellettuale: Se l'attacco funge da paravento per il furto di dati.
  • Perdite di produzione e operative: Perdita di vendite, diminuzione della produttività, abbandono dei clienti a causa dell'indisponibilità del servizio.
  • Danno alla reputazione: Perdita di fiducia da parte di clienti, partner e investitori, che può avere effetti duraturi.
  • Perdite dovute alle tecniche di recupero: Il costo dell'implementazione e della manutenzione dei centri di scrubbing, dell'hardware specializzato e delle attività di risposta agli incidenti.

In breve 

Ora che sapete che l'impatto degli attacchi DDoS (Distributed Denial of Service) è molto più costoso e dirompente che mai, è essenziale riconoscere l'urgenza della situazione e adottare misure proattive per proteggere l'identità del vostro marchio e mantenere la continuità delle operazioni aziendali. Il futuro degli attacchi IP DDoS rimane incerto, ma continueranno a rappresentare una minaccia significativa. Con il progredire della tecnologia, gli aggressori avranno accesso a strumenti sempre più sofisticati, rendendo la difesa sempre più difficile. Pertanto, le organizzazioni devono adottare un approccio proattivo alla sicurezza informatica. Adottando strumenti completi di valutazione delle vulnerabilità, protocolli proattivi di risposta agli incidenti, strumenti di monitoraggio della rete, ridondanza dei server, una solida sicurezza di rete, soluzioni cloud e promuovendo una forte consapevolezza della cybersecurity tra i dipendenti, la vostra organizzazione può contrastare l'aumento senza precedenti del traffico che si manifesta sotto forma di diversi tipi di attacchi DDoS.

Per difendere i vostri beni da hacking illegali e per una protezione completa da cyberattacchi basati sulla posta elettronica, affidatevi ai nostri esperti di PowerDMARC. Grazie alle nostre conoscenze approfondite e alla nostra vasta esperienza, garantiamo che le vostre risorse digitali rimangano al sicuro e che le vostre operazioni si svolgano senza problemi, anche di fronte agli avversari. Per saperne di più sulle nostre soluzioni di cybersecurity, contattateci con noi oggi stesso!

Ultimi messaggi di Ahona Rudra (vedi tutti)
Attacchi di phishing per dirigenti - Spunti pratici e strategie di prevenzione...Executive-Phishing: l'e-mail del vostro amministratore delegato è falsaRimanere fuori dal guinzaglio - Difendersi dal phishing degli aggressoriRimanere fuori dall'amo: Difendersi dal phishing anglosassone