Gli attacchi DoS (Denial of Service) e DDoS (Distributed Denial of Service) stanno diventando sempre più comuni e potenti. Gli attacchi Denial of Service si presentano in molte forme, ma condividono uno scopo comune: impedire agli utenti di accedere a una risorsa, che si tratti di una pagina web, di un'e-mail, di una rete telefonica o di qualcos'altro. Diamo un'occhiata ai tipi più comuni di attacchi contro obiettivi web e a come i DoS possono diventare DDoS.
I tipi più comuni di attacchi Denial of Service (DoS)
Fondamentalmente, un attacco Denial of Service viene in genere eseguito inondando un server, ad esempio il server di un sito web, così tanto da non essere in grado di fornire i propri servizi a utenti legittimi. Ci sono alcuni modi in cui questo può essere eseguito, i più comuni sono gli attacchi di inondazione TCP e gli attacchi di amplificazione DNS.
Attacchi di inondazione TCP
RELAZIONATO: Qual è la differenza tra TCP e UDP?
Quasi tutto il traffico web (HTTP / HTTPS) viene eseguito utilizzando l'estensione Protocollo di controllo della trasmissione (TCP) . TCP ha più overhead dell'alternativa, UDP (User Datagram Protocol), ma è progettato per essere affidabile. Due computer collegati tra loro tramite TCP confermeranno la ricezione di ciascun pacchetto. Se non viene fornita alcuna conferma, il pacchetto deve essere inviato nuovamente.
Cosa succede se un computer viene disconnesso? Forse un utente perde l'alimentazione, il suo ISP ha un guasto o qualsiasi applicazione che sta utilizzando si chiude senza informare l'altro computer. L'altro client deve smettere di inviare nuovamente lo stesso pacchetto, altrimenti spreca risorse. Per evitare una trasmissione infinita, viene specificata una durata di timeout e / o viene posto un limite al numero di volte in cui un pacchetto può essere nuovamente inviato prima di interrompere completamente la connessione.
TCP è stato progettato per facilitare la comunicazione affidabile tra le basi militari in caso di disastro, ma proprio questo design lo rende vulnerabile agli attacchi di negazione del servizio. Quando è stato creato TCP, nessuno immaginava che sarebbe stato utilizzato da oltre un miliardo di dispositivi client. La protezione contro i moderni attacchi Denial of Service non faceva parte del processo di progettazione.
L'attacco Denial of Service più comune contro i server Web viene eseguito inviando spam ai pacchetti SYN (sincronizzazione). L'invio di un pacchetto SYN è il primo passo per avviare una connessione TCP. Dopo aver ricevuto il pacchetto SYN, il server risponde con un pacchetto SYN-ACK (sincronizza il riconoscimento). Infine, il client invia un pacchetto ACK (riconoscimento), completando la connessione.
Tuttavia, se il client non risponde al pacchetto SYN-ACK entro un tempo prestabilito, il server invia nuovamente il pacchetto e attende una risposta. Ripeterà questa procedura più e più volte, il che può sprecare memoria e tempo del processore sul server. In effetti, se fatto abbastanza, può sprecare così tanta memoria e tempo del processore che gli utenti legittimi interrompono le sessioni o le nuove sessioni non possono essere avviate. Inoltre, il maggiore utilizzo della larghezza di banda da tutti i pacchetti può saturare le reti, rendendole incapaci di trasportare il traffico che effettivamente desiderano.
Attacchi di amplificazione DNS
RELAZIONATO: Che cos'è il DNS e devo utilizzare un altro server DNS?
Anche gli attacchi Denial of Service possono mirare Server DNS : i server che traducono i nomi di dominio (come howtogeek.com ) negli indirizzi IP (12.345.678.900) che i computer utilizzano per comunicare. Quando digiti howtogeek.com nel tuo browser, viene inviato a un server DNS. Il server DNS ti indirizza quindi al sito web effettivo. La velocità e la bassa latenza sono i principali problemi del DNS, quindi il protocollo funziona su UDP anziché su TCP. Il DNS è una parte fondamentale dell'infrastruttura di Internet e la larghezza di banda consumata dalle richieste DNS è generalmente minima.
Tuttavia, il DNS è cresciuto lentamente, con nuove funzionalità che sono state gradualmente aggiunte nel tempo. Questo ha introdotto un problema: il DNS aveva un limite di dimensione del pacchetto di 512 byte, che non era sufficiente per tutte quelle nuove funzionalità. Quindi, nel 1999, l'IEEE ha pubblicato la specifica per meccanismi di estensione per DNS (EDNS) , che ha aumentato il limite a 4096 byte, consentendo di includere più informazioni in ogni richiesta.
Questa modifica, tuttavia, ha reso il DNS vulnerabile agli "attacchi di amplificazione". Un aggressore può inviare richieste appositamente predisposte ai server DNS, chiedendo grandi quantità di informazioni e chiedendo che vengano inviate all'indirizzo IP di destinazione. Viene creata una "amplificazione" perché la risposta del server è molto più grande della richiesta che la genera e il server DNS invierà la sua risposta all'IP contraffatto.
Molti server DNS non sono configurati per rilevare o eliminare richieste errate, quindi quando gli aggressori inviano ripetutamente richieste contraffatte, la vittima viene invasa da enormi pacchetti EDNS, congestionando la rete. Incapace di gestire così tanti dati, il loro traffico legittimo andrà perso.
Cos'è un attacco Distributed Denial of Service (DDoS)?
Un attacco Denial of Service distribuito è uno che ha più aggressori (a volte inconsapevoli). I siti Web e le applicazioni sono progettati per gestire molte connessioni simultanee: dopotutto, i siti Web non sarebbero molto utili se solo una persona alla volta potesse visitarli. Servizi giganti come Google, Facebook o Amazon sono progettati per gestire milioni o decine di milioni di utenti simultanei. Per questo motivo, non è possibile per un singolo utente malintenzionato abbatterli con un attacco Denial of Service. Ma molti gli aggressori potrebbero.
RELAZIONATO: Cos'è una botnet?
Il metodo più comune per reclutare gli aggressori è tramite un file botnet . In una botnet, gli hacker infettano tutti i tipi di dispositivi connessi a Internet con malware. Questi dispositivi possono essere computer, telefoni o anche altri dispositivi nella tua casa, come DVR e telecamere di sicurezza . Una volta infettati, possono utilizzare quei dispositivi (chiamati zombi) per contattare periodicamente un server di comando e controllo e chiedere istruzioni. Questi comandi possono variare da mining di criptovalute a, sì, partecipare ad attacchi DDoS. In questo modo, non hanno bisogno di un sacco di hacker per riunirsi: possono utilizzare i dispositivi insicuri dei normali utenti domestici per fare il loro lavoro sporco.
Altri attacchi DDoS possono essere eseguiti volontariamente, solitamente per motivi politicamente motivati. Ai clienti piace
Cannone ionico a orbita bassa
rendono semplici gli attacchi DoS e sono facili da distribuire. Tieni presente che lo è
illegale nella maggior parte dei paesi
partecipare (intenzionalmente) a un attacco DDoS.
Infine, alcuni attacchi DDoS possono essere involontari. Originariamente denominato Effetto Slashdot e generalizzato come "abbraccio della morte", enormi volumi di traffico legittimo possono paralizzare un sito web. Probabilmente l'hai già visto accadere prima: un sito popolare si collega a un piccolo blog e un enorme afflusso di utenti ha accidentalmente bloccato il sito. Tecnicamente, questo è ancora classificato come DDoS, anche se non è intenzionale o dannoso.
Come posso proteggermi dagli attacchi Denial of Service?
Gli utenti tipici non devono preoccuparsi di essere l'obiettivo di attacchi di negazione del servizio. Con l'eccezione di streamer e giocatori professionisti , è molto raro che un DoS venga indirizzato a un individuo. Detto questo, dovresti comunque fare il meglio che puoi proteggi tutti i tuoi dispositivi da malware che potrebbe renderti parte di una botnet.
Se sei un amministratore di un server web, tuttavia, sono disponibili moltissime informazioni su come proteggere i tuoi servizi dagli attacchi DoS. La configurazione del server e le appliance possono mitigare alcuni attacchi. Altri possono essere prevenuti assicurando che gli utenti non autenticati non possano eseguire operazioni che richiedono notevoli risorse del server. Sfortunatamente, il successo di un attacco DoS è spesso determinato da chi ha il tubo più grande. Servizi come Cloudflare e Incapsula offrire protezione stando davanti ai siti web, ma può essere costoso.
