DDoS Attacks

Qual è il motivo di un attacco DDoS?

Le motivazioni di un attacco DDoS sono molteplici. Per i criminali informatici, queste includono tipicamente il guadagno vendendo attacchi DDoS come servizio, il ricatto di potenziali obiettivi per il pagamento di un riscatto, l'hacktivismo e l'ottenimento di un vantaggio competitivo.

I gruppi di minaccia più sofisticati sono noti per utilizzare gli attacchi DDoS principalmente come parte o come distrazione da altre attività più gravi, come il cyberspionaggio e il cybersabotaggio.

Come funziona un attacco DDoS?

Gli autori degli attacchi DDoS utilizzano reti di dispositivi distribuiti e compromessi per interrompere i sistemi prendendo di mira uno o più componenti necessari per stabilire una connessione (vedi modello OSI) a una risorsa di rete.

Gli attacchi volumetrici sono uno dei tipi più vecchi di attacchi DDoS. Utilizzano grandi volumi di traffico per riempire la capacità di banda tra la rete della vittima e Internet o la capacità all'interno della rete della vittima. Gli attacchi volumetrici più grandi sono (attualmente) misurati in Terabit al secondo (Tbps), equivalenti a circa 9.000 connessioni Internet medie. Ad esempio, durante un attacco di tipo UDP (User Datagram Protocol), gli aggressori sovraccaricano il server remoto preso di mira richiedendo informazioni a un'applicazione in ascolto su una porta specifica. Il server controlla e/o risponde a ogni richiesta, finendo per esaurire la larghezza di banda e diventare irraggiungibile.

Attacchi di protocollo. Come dice il nome, gli attacchi di protocollo sfruttano in modo improprio il design del protocollo di comunicazione sottostante (livelli 3 e 4 del modello OSI) per esaurire le risorse del sistema preso di mira. Un esempio di attacco protocollare è il SYN flood, che invia un gran numero di richieste specifiche al server preso di mira, ma lascia le risposte a tali richieste senza ulteriori azioni, mantenendo l'"handshake a tre vie" incompleto. Quando il numero di connessioni non completate esaurisce la capacità del server, questo diventa irraggiungibile per le connessioni legittime. Gli attacchi di protocollo utilizzano pacchetti appositamente creati per raggiungere i loro obiettivi malevoli e sono quindi misurati in pacchetti al secondo (PPS). I più grandi attacchi registrati hanno raggiunto le centinaia di milioni.

Gli attacchi di livello applicativo (livello 7 del modello OSI) prendono di mira le applicazioni rivolte al pubblico attraverso un elevato volume di traffico spoofato o fasullo. Un esempio di attacco DDoS di livello applicativo è un HTTP flood, che inonda uno specifico server Web con richieste HTTP GET e HTTP POST altrimenti legittime. Anche se il server può disporre di una larghezza di banda sufficiente, è costretto a elaborare un gran numero di richieste fasulle invece delle loro controparti legittime, esaurendo così la capacità di elaborazione. Gli attacchi di livello applicativo si misurano in decine di milioni di richieste al secondo (RPS).

Denial of service (DoS) vs Distributed denial of service (DDoS)

Come suggerisce il nome, la differenza sta soprattutto nel numero di macchine attaccate. Nel caso del DoS, l'attacco utilizza tipicamente uno script o uno strumento, proviene da un singolo dispositivo e ha come obiettivo un server o un endpoint specifico. Al contrario, gli attacchi DDoS vengono eseguiti da un'ampia rete di dispositivi compromessi controllati dall'aggressore, noti anche come botnet, e possono essere utilizzati per sovraccaricare dispositivi, applicazioni, siti web, servizi o persino le intere reti delle vittime.

Come puoi sapere se la tua organizzazione sta subendo un attacco DDoS?

Il segno più evidente di un attacco DDoS è la scarsa prestazione o l'indisponibilità del sistema o del servizio preso di mira. Nel caso di un sito web, ciò potrebbe tradursi in lunghi tempi di caricamento o inaccessibilità per le persone all'interno e all'esterno dell'organizzazione. Esistono anche servizi pubblici di monitoraggio degli attacchi DDoS, come downforeveryoneorjustme.com o downdetector.com

7 motivi per cui alla tua organizzazione dovrebbero importare gli attacchi DDoS

Un'organizzazione sottoposta a un attacco DDoS perderà sempre fatturato a causa della mancata risposta del suo sito web, dei suoi servizi o dei suoi sistemi. La mitigazione di un incidente, inoltre, grava ulteriormente sul budget destinato alla sicurezza.
Secondo diversi fornitori affermati che monitorano la scena DDoS, il numero di incidenti è cresciuto rapidamente negli ultimi tre anni.
Gli attacchi DDoS stanno inoltre diventando sempre più potenti; alcuni sono persino abbastanza forti da interrompere i servizi globali. Mentre nel 2020 gli attacchi più grandi (a livello di rete) hanno superato la soglia di 1 Tbps, nel 2021 alcuni incidenti degni di nota hanno già superato i 2-3 Tbps. Se si contano le richieste al secondo (RPS), almeno due attacchi DDoS nel 2021 (segnalati da Cloudflare e Yandex) hanno superato i 15 milioni di RPS.

Cosa può fare la tua organizzazione per proteggersi sa un attacco DDoS?

Gli attacchi DDoS possono essere difficili da mitigare per le organizzazioni che non dispongono di risorse adeguate, come hardware o larghezza di banda sufficiente. Tuttavia, anche le piccole e medie imprese possono fare qualcosa per aumentare la loro protezione:

Monitora il traffico di rete e impara a identificare le anomalie nel traffico Internet. In questo modo, potrai identificare le richieste false o fasulle che stanno inondando i tuoi sistemi e bloccarle.
Stuttura di un piano di ripristino di emergenza nel caso in cui un attacco DDoS colpisca il tuo sito web o i tuoi sistemi. Questo potrebbe includere server di backup, siti web e canali di comunicazione alternativi.
Considera il passaggio al cloud. Questo non elimina la minaccia, ma può contribuire a mitigare gli attacchi grazie alla maggiore larghezza di banda e alla resilienza dell'infrastruttura cloud.
Se sei già stati presi di mira da un DDoS o sei a rischio, prendi in considerazione l'utilizzo di servizi di protezione DoS e DDoS che può aiutarti a mitigare l'impatto di un attacco.
Non lasciare che i tuoi dispositivi diventino parte di una botnet che può contribuire a un attacco DDoS. Assicurati di seguire le regole di una buona "igiene informatica", di mantenere aggiornati tutti i tuoi dispositivi e il loro software e di proteggerli installando una soluzione di sicurezza a più livelli.

Prevent DDoS attacks now

ESET PROTECT
Advanced

Ottieni una protezione efficace che può mitigare i rischi legati agli attacchi DDoS. Le soluzioni ESET per la sicurezza multi-livello degli endpoint utilizzano una sofisticata tecnologia di protezione dagli attacchi di rete con filtraggio avanzato e ispezione dei pacchetti per prevenire le interruzioni.

Scopri di più