In un attacco DDoS (Distributed Denial-of-Service), un tipo di attacco informatico, un criminale sovraccarica un sito web, un server o una risorsa di rete con traffico dannoso. Di conseguenza, il sistema preso di mira si blocca o non riesce a funzionare, negando il servizio agli utenti legittimi e impedendo al traffico legittimo di arrivare a destinazione.
Ad un livello elevato, un attacco DDoS o DoS è come un ingorgo del traffico causato da centinaia di richieste fittizie ai servizi di "car sharing". Le richieste sembrano legittime ai servizi di "car-sharing", che mandano i loro conducenti per prelevare i clienti, bloccando inevitabilmente le strade cittadine e impedendo, in tal modo, al traffico legittimo di arrivare a destinazione.
Un attacco DDoS al sito web di un'azienda, a un'applicazione web, alle API, a una rete o all'infrastruttura di un data center può causare problemi di downtime e impedire agli utenti legittimi di acquistare prodotti, utilizzare servizi, ottenere informazioni o accedere ad altre risorse.
Creazione di una botnet - Per sferrare un attacco DDoS, i criminali utilizzano il malware per creare una rete di botnet, ossia dispositivi connessi a Internet e infettati dal malware, che i criminali possono sfruttare per inviare un afflusso di traffico ai sistemi presi di mira. Questa rete di bot o botnetpuò includere gli endpoint come dispositivi IoT (Internet of Things), smartphone, personal computer, router e server di rete. Ogni dispositivo infettato diventa così in grado di diffondere il malware ad altri dispositivi per amplificare la portata di un attacco.
Se volessimo far riferimento qui ad un cult popolare, potremmo pensare al Re della Notte, il personaggio della serie Trono di Spade trasmessa sul canale HBO che ha creato un esercito di Camminatori Bianchi. Il Re della Notte ha creato una serie iniziale di Camminatori Bianchi, che hanno attaccato gli umani per trasformarli in nuovi Camminatori Bianchi, facendo crescere sempre più l'esercito, e ogni membro di questo esercito era controllato dal Re della Notte.
Come viene sferrato un attacco - Una volta che un criminale ha costruito una botnet, invia le istruzioni da remoto ai bot, indirizzandoli ad inviare le richieste e il traffico ai sistemi presi di mira (server, siti o applicazioni web, API oppure risorse di rete). In tal modo, si crea un'enorme quantità di traffico che porta al rifiuto di un servizio, impedendo, così, al traffico normale di accedere al sistema di destinazione.
DDoS-as-a-Service - A volte le botnet, con le loro reti di dispositivi compromessi, vengono affittate per sferrare altri potenziali attacchi tramite servizi di hacking "su commissione". Ciò consente alle persone malintenzionate, ma prive di formazione o esperienza in merito, di sferrare facilmente attacchi DDoS anche da soli.
Lo scopo degli attacchi DDoS è rallentare gravemente o impedire del tutto al traffico legittimo di raggiungere la sua destinazione. Degli esempi potrebbero essere il fatto di negare a un utente di accedere a un sito web, acquistare un prodotto o servizio, guardare un video o interagire sui social media. Inoltre, non rendendo più disponibili le risorse o riducendone le performance, un attacco DDoS può causare l'arresto completo di un'azienda. Ne conseguirebbe l'impossibilità dei dipendenti di accedere alle e-mail o ad applicazioni web o, semplicemente, di lavorare come al solito.
Gli attacchi DDoS vengono sferrati per varie ragioni.
Esistono molti tipi diversi di attacchi DDoS e i criminali informatici spesso ne utilizzano vari per danneggiare i sistemi presi di mira. Gli attacchi DDoS, di solito, prendono di mira uno dei sette diversi livelli di una rete informatica come descritto nel modello OSI (Open Systems Interconnection). Ogni livello del modello OSI ha uno scopo univoco, come i piani di un edificio in cui ogni ufficio svolge la propria funzione individuale. I malintenzionati prendono di mira i vari livelli, a seconda del tipo di risorsa web o su Internet che desiderano intralciare.
I quattro tipi principali di attacchi sono:
Gli attacchi DDoS a livello di applicazione (attacchi DDoS di livello 7) mirano a specifiche vulnerabilità presenti nelle applicazioni web per impedirne il funzionamento previsto. Questi attacchi DDoS, spesso, prendono di mira i protocolli di comunicazione coinvolti nello scambio di dati tra due applicazioni su Internet. Seppure siano difficili da prevenire e mitigare, sono tra gli attacchi DDoS più semplici da sferrare.
Gli attacchi ai protocolli prendono di mira i punti deboli e le vulnerabilità presenti nei protocolli di comunicazione Internet ai livelli 3 e 4 del modello OSI. Questi attacchi tentano di consumare ed esaurire la capacità di elaborazione di varie risorse dell'infrastruttura di una rete, come server o firewall, inviando richieste di connessione dannosa che sfruttano i protocolli TCP (Transmission Control Protocol) o ICMP (Internet Control Message Protocol).
Gli attacchi di amplificazione/riflessione DDoS al DNS (Domain Name System) sono tipi specifici di vettori di attacco DDoS volumetrici in cui gli hacker eseguono lo spoofing dell'indirizzo IP della loro vittima per inviare grandi quantità di richieste ai server DNS aperti. A loro volta, questi server DNS rispondono alle richieste dannose fatte dall'indirizzo IP contraffatto, creando, così, un attacco al target prescelto attraverso un afflusso di risposte DNS. Il grande volume di traffico creato dalle risposte DNS sovraccarica molto rapidamente i servizi dell'organizzazione vittima, rendendoli non più disponibili e impedendo al traffico legittimo di raggiungere la destinazione prevista.
Per spiegare questo tipo di attacco con l'analogia del car-sharing, possiamo immaginare come se venissero effettuate centinaia o migliaia di richieste di car-sharing per inviare le auto all'indirizzo della vittima. Le auto in car-sharing ora bloccano le strade che conducono alla casa della vittima, impedendo ai visitatori legittimi di raggiungere l'indirizzo della persona. Questa analogia può essere utilizzata anche per spiegare gli attacchi DDoS volumetrici nella prossima sezione.
Gli attacchi DDoS basati sul volume vengono diretti ai livelli 3 e 4 del modello OSI, sovraccaricando il sistema preso di mira con un afflusso di traffico proveniente da più fonti, finché alla fine non viene esaurita tutta la larghezza di banda disponibile nel sistema preso di mira, causandone il rallentamento o l'interruzione. Gli attacchi volumetrici vengono spesso utilizzati per distogliere l'attenzione da altri tipi di attacchi DDoS o da altri attacchi informatici più pericolosi.
Le organizzazioni possono proteggersi e limitare le interruzioni causate dagli attacchi DDoS con una solida strategia DDoS, servizi di mitigazione degli attacchi DDoS di livello superiore e avanzati controlli di cybersicurezza.
Le soluzioni basate su cloud offrono una protezione dagli attacchi DDoS ad alta capacità, elevate performance e always-on, che può impedire che il traffico dannoso raggiunga un sito web o interferisca con le comunicazioni tramite un'API web, limitando l'impatto dell'attacco, ma consentendo, al contempo, al traffico normale di fluire come di consueto.
Nell'ambito di un panorama di attacchi in costante evoluzione, la protezione dagli attacchi DDoS attraverso un provider per la mitigazione che adotti un approccio di difesa approfondita, può tenere al sicuro organizzazioni e utenti finali. Un servizio di mitigazione degli attacchi DDoS individuerà e bloccherà gli attacchi DDoS il prima possibile, in teoria, in zero secondi o poco più a partire dal momento in cui il traffico di attacco raggiunge i centri di scrubbing del provider di mitigazione. Poiché i vettori di attacco continuano a cambiare con una portata sempre maggiore, per ottenere il miglior livello di protezione dagli attacchi DDoS, un provider deve continuamente investire nelle capacità di difesa. Per tenere il passo con gli attacchi più ampi e complessi, sono necessarie le tecnologie giuste a rilevare traffico dannoso e intraprendere solide contromisure di difesa per mitigare rapidamente gli attacchi.
I provider di soluzioni per la mitigazione degli attacchi DDoS filtrano il traffico degli attacchi per evitare che raggiunga la risorsa presa di mira. Il traffico degli attacchi viene bloccato da un servizio di protezione web basato su CDN, un servizio di scrubbing DDoS o un servizio DNS basato su cloud.
Durante la mitigazione, il vostro provider di protezione dagli attacchi DDoS implementerà una sequenza di contromisure atte ad arrestare e ridurre l'impatto di un attacco DDoS (Distributed Denial-of-Service). Con i moderni attacchi che diventano più avanzati, la protezione offerta dalla mitigazione degli attacchi DDoS basata sul cloud aiuta a fornire un grado di sicurezza basato su una difesa approfondita su vasta scala, mantenendo disponibili i servizi dell'infrastruttura di back-end e su Internet e garantendo performance ottimali.
Con i servizi di protezione contro gli attacchi DDoS le organizzazioni sono in grado di:
Akamai fornisce servizi di mitigazione e difesa approfondita dagli attacchi DDoS attraverso una mesh trasparente di sistemi di difesa dedicati dell'edge, del DNS distribuito e dello scrubbing su cloud. Questi servizi sul cloud appositamente studiati sono concepiti per rafforzare le strategie di sicurezza DDoS e della rete, riducendo, al contempo, le superfici di attacco, migliorando la qualità della mitigazione e riducendo i falsi positivi, aumentando, così, la resilienza rispetto agli attacchi più vasti e complessi. Inoltre, è possibile ottimizzare le soluzioni in base ai requisiti specifici delle applicazioni web e dei servizi basati su Internet.
Un attacco DoS (Denial-of-Service) è progettato per rendere un sito web, un router, un server o una rete non disponibili per gli utenti legittimi. Un attacco DoS viene sferrato da un solo computer, mentre un attacco DDoS (Distributed Denial-of-Service) utilizza una botnet o una rete distribuita di indirizzi IPv4 o Ipv6 (una rete informatica di dispositivi IoT, sistemi o computer dirottati) per attaccare il suo obiettivo da più posizioni.
Un attacco DoS o DDoS tenta di sovraccaricare un server, un sito web, un dispositivo di rete o un sistema con una quantità di traffico dannoso tale da renderli inutilizzabili. In un attacco volumetrico, come un attacco ICMP flood o UDP flood, i criminali sommergono il loro obiettivo con una quantità di traffico enorme, sovraccaricando il sistema o il relativo percorso di rete, impedendo, pertanto, al traffico e agli utenti legittimi di accedere a tale risorsa.
Un attacco ai protocolli come un attacco SYN flood tenta di consumare ed esaurire la capacità di elaborazione delle risorse dell'infrastruttura di una rete, come firewall o sistemi di bilanciamento del carico, inviando richieste di connessione dannosa che sfruttano le comunicazioni con i protocolli. In un attacco a livello delle applicazioni come Slowloris, i criminali sfruttano la capacità di un server web, un server applicazioni o un database esaurendo la quantità di richieste che possono gestire con bassi volumi di richieste per rendere tali risorse non disponibili per gli utenti.
La migliore protezione dagli attacchi DoS e DDoS è un sistema multilivello in grado di proteggere siti web, applicazioni, API, DNS autoritativi e risorse di rete tramite tecnologie di comprovata validità nel bloccare questi eventi.
Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, l'innovativa intelligence sulle minacce e il team presente su scala globale forniscono una difesa approfondita in grado di proteggere applicazioni e dati critici ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere le loro attività senza rischi.
Bloccate gli attacchi DDoS con la difesa più rapida ed efficace, su larga scala.
Affidatevi a un DNS altamente sicuro per una disponibilità ininterrotta di API e app web.
Sicurezza centralizzata senza compromessi per siti web, applicazioni e API.
Non tutte le soluzioni di mitigazione degli attacchi DDoS sono progettate in modo uguale. Scoprite come molti provider di servizi cloud non si rivelano all'altezza e cosa cercare.
La nostra ricerca più recente vi fornisce le informazioni necessarie per difendervi meglio dal crescente numero di attacchi DDoS nell'area EMEA.
Anche se è una delle infrastrutture Internet più antiche, il DNS registra comunque un notevole traffico relativo agli attacchi. Scoprite di più sulle minacce più comuni e su molti altri argomenti in questo rapporto.
Scoprite ulteriori informazioni sugli argomenti correlati e sulle tecnologie nelle pagine elencate di seguito.
