Denial of Service o DoS è un termine utilizzato per descrivere un attacco digitale a una macchina o rete inteso a renderlo inutilizzabile. In molti casi, ciò significa inondare il destinatario con così tante richieste o così tanto traffico da causare un malfunzionamento. A volte, può anche significare inviare una quantità minore di informazioni specifiche e dannose per innescare un arresto anomalo, ad esempio.
Per spiegare il processo in modo più dettagliato, una macchina connessa a una rete può gestire (vale a dire, inviare e ricevere) una certa quantità di traffico e continuare a funzionare. La quantità di traffico dipende da molteplici fattori, come la dimensione delle richieste effettuate e le informazioni trasferite. Così come la qualità e la forza della connettività di rete.
Quando vengono fatte troppe richieste, la rete farà fatica a tenere il passo. In alcuni casi, le richieste verranno ritirate o rimarranno senza risposta. Se l'eccesso è troppo alto, la rete o la macchina ricevente possono subire problemi, inclusi errori e arresti.
Tipi di attacchi
Esistono molti tipi diversi di attacchi DoS, con obiettivi e metodologie di attacco diversi. Alcuni dei più popolari includono:
SYN Flood
Un flusso SYN (pronunciato “peccato”) è un attacco in cui l'autore dell'attacco invia richieste di connessione rapide e ripetute senza finalizzarle. Ciò costringe la parte ricevente a utilizzare le proprie risorse per aprire e mantenere nuove connessioni, in attesa che si risolvano. Questo non accade. Ciò consuma risorse e rallenta o rende il sistema interessato completamente inutilizzabile.
Pensalo come rispondere ai DM: se un venditore riceve cento richieste su un'auto che vuole vendere. Devono dedicare tempo e fatica per rispondere a tutti. Se 99 di loro lasciano la lettura del venditore, il singolo acquirente autentico potrebbe non ricevere una risposta o riceverla troppo tardi.
L'attacco SYN flood prende il nome dal pacchetto utilizzato nell'attacco. SYN è il nome del pacchetto utilizzato per stabilire una connessione tramite il Transmission Control Protocol o TCP che è alla base della maggior parte del traffico Internet.
Attacco di overflow del buffer
Un buffer overflow si verifica quando un programma che utilizza la memoria disponibile di un sistema supera la sua allocazione di memoria. Quindi, se è invaso da così tante informazioni, la memoria allocata non è sufficiente per gestirle. Pertanto, sovrascrive anche le posizioni di memoria adiacenti.
Esistono diversi tipi di attacchi di overflow del buffer. Ad esempio, inviare una piccola quantità di informazioni per indurre il sistema a creare un piccolo buffer prima di inondarlo con una quantità maggiore di informazioni. O quelli che inviano un tipo di input non corretto. Qualsiasi forma di esso può causare errori, arresti e risultati errati in qualunque sia il programma interessato.
Ping della morte
L'attacco PoD dal nome relativamente umoristico invia un ping malformato o dannoso a un computer per causarne il malfunzionamento. I normali pacchetti di ping sono al massimo di circa 56-84 byte. Tuttavia, questo non è il limite. Possono essere grandi fino a 65k byte.
Alcuni sistemi e macchine non sono progettati per essere in grado di gestire quel tipo di pacchetto, il che porta a un cosiddetto buffer overflow che di solito provoca il crash del sistema. Può anche essere utilizzato come strumento per iniettare codice dannoso, in alcuni casi in cui un arresto non è l'obiettivo.
Attacchi DoS distribuiti
Gli attacchi DDoS sono una forma più avanzata di attacco DoS: comprendono più sistemi che lavorano insieme per eseguire un attacco DoS coordinato su un singolo bersaglio. Invece di un attacco 1-a-1, questa è una situazione Molti-a-1.
In generale, è più probabile che gli attacchi DDoS abbiano successo in quanto possono generare più traffico, sono più difficili da evitare e prevenire e possono essere facilmente mascherati da traffico "normale". Gli attacchi DDoS possono essere eseguiti anche tramite proxy. Supponiamo che una terza parte riesca a infettare la macchina di un utente "innocente" con malware. In tal caso, possono utilizzare la macchina di quell'utente per contribuire al loro attacco.
Difendersi dagli attacchi (D)DoS
Gli attacchi DoS e DDoS sono metodi relativamente semplici. Non richiedono un livello eccezionalmente alto di conoscenza tecnica o abilità da parte dell'attaccante. Quando hanno successo, possono avere un impatto enorme su siti e sistemi importanti. Tuttavia, anche i siti web del governo si sono trovati in questo modo cancellati.
Esistono diversi modi per difendersi dagli attacchi DoS. La maggior parte di essi funziona in modo simile e richiede il monitoraggio del traffico in entrata. Gli attacchi SYN possono essere bloccati bloccando l'elaborazione di una specifica combinazione di pacchetti che non si verifica in quella combinazione nel traffico regolare. Una volta identificato come DoS o DDoS, il blackholing viene utilizzato per proteggere un sistema. Sfortunatamente, tutto il traffico in entrata (comprese le richieste autentiche) viene deviato ed eliminato per preservare l'integrità del sistema.
È possibile configurare router e firewall per filtrare i protocolli noti e gli indirizzi IP problematici utilizzati negli attacchi precedenti. Non aiuteranno contro attacchi più sofisticati e ben distribuiti. Ma sono ancora strumenti essenziali per fermare semplici attacchi.
Sebbene non sia tecnicamente una difesa, assicurarsi che ci sia molta larghezza di banda di riserva e dispositivi di rete ridondanti nel sistema può anche essere efficace nel prevenire il successo degli attacchi DoS. Si basano sul sovraccarico della rete. Una rete più forte è più difficile da sovraccaricare. Un'autostrada a 8 corsie richiede più auto da bloccare rispetto a un'autostrada a 2 corsie, qualcosa del genere.
Una buona parte degli attacchi DoS può essere prevenuta applicando patch al software, inclusi i sistemi operativi. Molti dei problemi sfruttati sono bug nel software che gli sviluppatori risolvono o almeno offrono mitigazioni. Tuttavia, alcuni tipi di attacco, come DDoS, non possono essere risolti applicando le patch.
Conclusione
In effetti, qualsiasi rete che difende con successo dagli attacchi DoS e DDoS lo farà combinando una serie di diverse misure preventive e contromisure che funzionano bene insieme. Man mano che gli attacchi e gli aggressori si evolvono e diventano più sofisticati, così fanno anche i meccanismi di difesa.
Una corretta configurazione, configurazione e manutenzione può proteggere un sistema relativamente bene. Ma anche il sistema migliore probabilmente eliminerà del traffico legittimo e lascerà passare alcune richieste illegittime, poiché non esiste una soluzione perfetta.