DDOS sta per Distributed Denial-Of-Service. È un tipo di crimine informatico in cui una o più parti cercano di interrompere il traffico di un server o di un sito web. Per essere efficaci, non usano solo un computer per attaccare, ma spesso un'intera rete di essi.
Tuttavia, non si tratta solo delle macchine dell'attaccante: esistono tipi di malware e virus che possono influenzare il computer di un normale utente e trasformarlo in parte dell'attacco. Anche i dispositivi IoT non sono sicuri: se hai un dispositivo intelligente in casa, potrebbe teoricamente essere utilizzato per un tale attacco.
Come funziona?
Il modo più semplice per spiegare gli attacchi DDOS è confrontarli con gli ingorghi. Il normale flusso del traffico viene interrotto perché decine (o centinaia, migliaia, ecc.) di auto improvvise si immettono nella strada principale senza lasciar passare altre auto.
L'inceppamento emergente impedisce ai normali driver di raggiungere il loro obiettivo: in un evento DDOS, questo sarebbe il server o il sito Web che stanno cercando.
Esistono diversi tipi di attacco che prendono di mira diversi elementi della normale comunicazione client-server.
Attacchi a livello di applicazione cercare di esaurire le risorse del target costringendolo a caricare ripetutamente file o query di database: questo rallenta il sito e può, in casi estremi, causare problemi con il server surriscaldandolo o aumentando la potenza utilizzo. È difficile difendersi da questi attacchi perché sono difficili da individuare: non è facile dire se un picco di utilizzo è dovuto a un aumento del traffico effettivo o a un attacco dannoso.
Attacchi Flood HTTP vengono eseguiti essenzialmente aggiornando una pagina del browser più e più volte, tranne milioni di volte. Questa marea di richieste a un server spesso si tradurrà in esso essere sopraffatto e non rispondere più alle richieste (autentiche). Le difese includono la disponibilità di server di backup e una capacità sufficiente per gestire gli overflow delle richieste. Ad esempio, un attacco del genere quasi sicuramente non funzionerebbe contro Facebook perché la loro infrastruttura è così forte da poter gestire attacchi simili.
Attacchi al protocollo cercare di esaurire un server consumando tutta la capacità che hanno cose come le applicazioni web, quindi ripetendo le richieste a un elemento di un sito o servizio. In questo modo l'applicazione Web smette di rispondere. Spesso vengono utilizzati filtri che bloccano le richieste ripetute dagli stessi indirizzi IP per evitare attacchi e mantenere attivo il servizio per gli utenti normali.
Attacchi Flood SYN vengono fatti, in sostanza, chiedendo ripetutamente al server di recuperare un elemento e quindi non confermando la ricezione dello stesso. Ciò significa che il server trattiene gli elementi e attende la ricevuta che non arriva mai, fino a quando alla fine non può più trattenerli e inizia a lasciarli cadere per prenderne altri.
Attacchi volumetrici prova a creare artificialmente congestione occupando in modo specifico tutta la larghezza di banda che ha un server. Questo è simile agli attacchi HTTP Flood tranne per il fatto che invece di richieste ripetute, vengono inviati dati a il server, mantenendolo così troppo occupato per rispondere al traffico normale. Le botnet vengono solitamente utilizzate per eseguire questi attacchi e spesso utilizzano anche l'amplificazione DNS.
Suggerimento: l'amplificazione DNS funziona come un megafono: una richiesta o un pacchetto di dati più piccolo viene presentato come molto più grande di quello che è. Potrebbe essere l'attaccante che richiede tutto ciò che un server ha da offrire e poi gli chiede di ripetere tutto ciò che l'aggressore ha chiesto: una richiesta relativamente piccola e semplice finisce per occupare molto risorse.
Come difendersi dagli attacchi DDOS?
Il primo passo per affrontare questi attacchi è assicurarsi che stiano realmente accadendo. Individuarli non è sempre facile, poiché i picchi di traffico possono essere un comportamento normale a causa di fusi orari, comunicati stampa e altro. Per far funzionare i loro attacchi, gli aggressori DDOS cercano di nascondere il più possibile il loro comportamento nel traffico normale.
Altre routine per mitigare gli attacchi DDOS sono i buchi neri, la limitazione della velocità e i firewall. I buchi neri sono una misura piuttosto estrema: non cercano di separare il traffico reale da un attacco, ma piuttosto reindirizzano ogni richiesta lontano dal server e poi la rilasciano. Questo può essere fatto in preparazione di un attacco previsto, per esempio.
La limitazione della velocità è un po' meno dura per gli utenti: imposta un limite artificiale per il numero di richieste che un server accetterà. Questo limite è sufficiente per consentire il passaggio del traffico normale, ma troppe richieste vengono automaticamente reindirizzate e scartate: in questo modo, il server non può essere sopraffatto. È anche un modo efficace per fermare i tentativi di cracking delle password con la forza bruta: dopo, ad esempio, cinque tentativi, l'indirizzo IP viene semplicemente bloccato.
I firewall non sono utili solo per la protezione sul tuo computer, ma anche sul lato server del traffico web. I firewall delle applicazioni Web in particolare sono installati tra Internet e un server e proteggono da diversi tipi di attacchi. I buoni firewall sono anche in grado di impostare rapidamente risposte personalizzate agli attacchi non appena si verificano.
Suggerimento: se stai cercando di proteggere il tuo sito o server da una sorta di attacco DDOS, vorrai una disposizione di diverse soluzioni (molto probabilmente incluso un firewall). Il modo migliore per farlo sarebbe consultare un consulente di sicurezza informatica e fargli elaborare un piano personalizzato adatto alle tue esigenze. Non esiste una soluzione valida per tutti!