Home > Guide > Internet > Attacco DDoS: cos’è e come difendersi

Attacco DDoS: cos’è e come difendersi

Giu 18, 2018

Dal DoS al DDoS: storia e funzionamento

Il DoS (Denial of Service) è un tipo di attacco informatico che mira a rendere irraggiungibile un servizio o una pagina web tramite una procedura di flooding. Questa prevede l’invio di un enorme quantitativo di richieste, tale da far sì che il server vittima rimanga impegnato a rispondere alle richieste dell’attaccante e non sia più in grado di gestire quelle legittime, rendendolo, di fatto, irraggiungibile. Il DoS prevede l’utilizzo di un singolo computer attaccante che, avendo a disposizione una connessione dati piuttosto performante, inizia ad inviare stream di pacchetti a ritmi molto elevati e protratti nel tempo.

Il primo esempio di DoS risale al 1997, quando, ad una convention di hacking, venne svelato un codice sorgente dimostrativo. Inizialmente però questo tipo di attacchi veniva utilizzato perlopiù come un atto di protesta o di dissenso, mentre più recentemente si è cominciato ad usarlo per danneggiare servizi e compagnie, magari rendendo inaccessibile un servizio alla clientela.

Un DoS normale però è piuttosto semplice da fermare, è sufficiente infatti bloccare le connessioni in ingresso dall’indirizzo IP sorgente per risolvere il problema. Per questo motivo la tecnica si è evoluta nel DDoS, ovvero il DoS “distribuito”. L’attacco DDoS punta inizialmente a creare una botnet di computer, in maniera tale da poter perpetrare l’attacco da più punti. Per creare questa rete, è sufficiente infettare i computer vittima installando un software dormiente che possa comunicare con un nodo master. Una volta che la rete è considerata sufficientemente grande, si lancia l’offensiva al momento più opportuno. A questo punto un singolo server riceverà un quantitativo enorme di richieste contemporanee da molteplici sorgenti, andando in crash o rallentandosi a tal punto da non essere più fruibile.

ddos
Come funziona un attacco DDoS? Ce lo spiega un’infograficaPerché non sempre le conseguenze si fermano al 'sito web che non funziona'...
Internet

Attacchi: conseguenze e come proteggersi

“Ma tutto questo, che ha a che fare con me?”. Non è semplice rendersi conto di come un attacco DDoS possa influenzare la vita di tutti i giorni, pertanto andiamo ad analizzare come esso possa colpire anche i comuni utenti, direttamente o indirettamente.

Attacco ad un sito in nostro possesso

Supponiamo di possedere un dominio e aver realizzato un sito su cui carichiamo le foto delle piante del nostro bellissimo giardino. Ad un certo punto della giornata, l’indirizzo IP del server su cui è ospitato viene preso di mira da un DDoS, il sito non è più raggiungibile e tutti gli estimatori del tuo giardino che cercheranno di connettersi riceveranno un messaggio di errore sul proprio browser.

Errore di sito non raggiungibile (Firefox Quantum)
Errore di sito non raggiungibile (Firefox Quantum)

In questo caso esistono almeno tre soluzioni.

  1. La più semplice e completa si applica nel caso in cui il sito sia ospitato su un servizio di hosting o su una VPS: in questo caso è sufficiente richiedere l’abilitazione della protezione da DDoS, che, in genere, prevede un piccolo esborso ulteriore se non inclusa nel pacchetto di hosting acquistato.
  2. Se il sito fosse invece ospitato su un server proprietario, la soluzione più semplice è quella di dotarsi di una VPN con protezione da DDoS e PureVPN è una di queste. Con una piccola spesa mensile è possibile ottenere una connessione cifrata da e per il proprio server con una protezione da DDoS.
  3. Un’ultima possibile soluzione è quella di configurare il server in maniera tale da ridurre il numero di connessioni contemporanee attive. Purtroppo questa soluzione, per quanto gratis e di semplice implementazione, non è applicabile per tutti i servizi, infatti in alcuni casi molteplici connessioni contemporanee sono necessarie. In genere però farsi supportare da servizi esterni è la scelta migliore. Queste aziende soddisfano determinate caratteristiche che le rendono solide in caso di attacchi: dispongono di reti in grado di gestire quantità massive di dati (nell’ordine dei Tbps) e hanno ottimizzato i propri sistemi per la diagnostica e la gestione di eventuali picchi anomali nell’attività del sistema protetto; in questo modo riescono a individuare e bloccare le connessioni malevoli prima che raggiungano il server di destinazione, evitando così che il servizio diventi irraggiungibile.

Attacco al nostro indirizzo IP

Cosa succederebbe se gli attaccanti prendessero di mira l’indirizzo IP della nostra connessione di casa?

Lo United States Computer Emergency Readiness Team ha stilato una lista dei possibili sintomi di un attacco DDoS, tra cui i principali sono:

  • rete locale e internet piuttosto rallentata
  • impossibilità di accedere a uno o più o qualunque servizio Web
  • connessione instabile anche sulla rete locale

Bisogna precisare però che, per quanto riguarda l’Italia, si tratta di un caso piuttosto raro. Generalmente i nostri provider forniscono un indirizzo IP dinamico, che quindi cambia ad ogni connessione; in queste condizioni diventare obiettivo di un attacco DDoS è piuttosto improbabile. Inoltre alcuni provider assegnano un indirizzo non pubblico, pertanto non raggiungibile direttamente dall’esterno. In questi casi si è “naturalmente” protetti da un attacco, alla peggio, cambiare indirizzo IP con un riavvio del router è più che sufficiente per risolvere il problema.

Nel caso fossimo dotati invece di indirizzo IP statico, presente soprattutto in contesti di Home-Office, la soluzione migliore rimane quella di una VPN con protezione DDoS.

rete ip
Indirizzo IP: differenza tra statico, dinamico, pubblico e privatoSappiamo cosa è l'indirizzo IP ma abbiamo sentito accostargli degli aggettivi che non ci sono molto chiari? Scopriamo le differenze!
Internet

Attacco dal nostro indirizzo IP

Nel caso uno dei nostri computer venisse infettato da un virus che lo renda parte di una botnet, rendersene conto potrebbe essere piuttosto complicato. Il sintomo più evidente sarebbe una connessione rallentata in certi momenti (che potrebbero essere del tutto casuali), ma potrebbe comunque non essere tale da farci sospettare qualcosa. Una prima soluzione è sicuramente quella di avere sempre un antivirus attivo e aggiornato con le ultime definizioni. I software antivirus sono in grado di diagnosticare attività sospette di applicativi che consideriamo leciti, ma che in realtà potrebbero averci reso parte di una botnet. Purtroppo però non sempre sono in grado di tirarci fuori dai pasticci, in questo caso potrebbe essere necessario indagare più a fondo usando alcuni software specifici:

  • KasperskyAvira DE-Cleaner: tool realizzato dalle due famose compagnie di sicurezza; si occupa di scansionare il sistema per verificare la presenza di software malevoli e di botnet
  • Wireshark: tool che permette di analizzare, questa volta in maniera manuale, tutto il traffico di rete in ingresso e in uscita dal nostro computer, allo scopo di individuare picchi di trasmissioni o trasmissioni ripetute innumerevoli volte verso servizi o domini che non conosciamo

Attacco a un servizio che utilizziamo

Immaginate di voler acquistare il biglietto per il concerto del vostro artista preferito. Vi siete preparati il timer sul telefono, avete comprato un mouse nuovo per cliccare più velocemente e state facendo “Aggiorna” in maniera compulsiva sulla pagina di prevendita. Ecco che, nel momento in cui i biglietti entrano in vendita, il sito non si carica più, non riuscite nemmeno a visualizzare la pagina, figuriamoci a fare il login. Continuando, esasperati, dopo 5 minuti riuscite ad entrare, ma ormai i biglietti sono finiti. Ecco, questo è quello che succede quando un server ha molte più richieste da gestire rispetto a quello per cui è stato progettato. Nel caso di un attacco DDoS, sarà praticamente impossibile accedere al sito. Immaginate cosa succederebbe se i big come Facebook, Google o Instagram non fossero protetti da attacchi DDoS e, per svariate ore, non poteste caricare quel selfie con il vostro gatto che tanto vi piace!

Il caso Mirai, botnet di IoT

Il 21 ottobre del 2016 è avvenuto un massiccio attacco DDoS a DynDNS, società di servizi internet che si occupa di ospitare server DNS. Questo attacco ha fatto sì che siti del calibro di Spotify, Netflix e Paypal fossero irraggiungibili per svariate ore da determinate aree del globo. L’attacco è stato piuttosto intelligente poiché non è andato a colpire direttamente i servizi in questione (che ovviamente sono protetti e ridondanti), ma ha impedito ai browser degli utenti di abbinare l’indirizzo mnemonico con l’indirizzo IP, di fatto rendendo impossibile raggiungere i propri siti preferiti perché i browser e le app non sapevano dove andare.

Al di là dell’attacco in sé, questo evento è stato importante perché ha portato alla luce un problema piuttosto importante, la scarsa sicurezza dei dispositivi IoT. In questo caso, infatti, l’attacco è stato portato a termine da migliaia di dispositivi connessi a internet, ma nessuno di loro era un computer. La botnet del virus Mirai prende di mira i sistemi connessi come videocamere IP o videoregistratori digitali usando una falla presente in alcuni di questi dispositivi. Dopo essere stati infettati i dispositivi rimangono dormienti fino al momento dell’attacco, quando iniziano ad inviare richieste senza controllo al sistema vittima. Purtroppo non c’è modo di rendersi conto che i dispositivi sono stati infettati, quindi è fondamentale che i dispositivi connessi (IoT, domotica, ecc..) non abbiano falle attaccabili dall’esterno. Per questo motivo è importante che anche tutti noi utenti facciamo la nostra parte: cercate di comprare sempre dispositivi che provengano da produttori noti e venditori affidabili, così da avere dispositivi aggiornati regolarmente e con protocolli di sicurezza avanzati.

10
Tapparelle Smart e Sonoff: quale acquistare e come installarloVoglia di portare la tecnologia in casa e renderla intelligente? Hai mai pensato a delle tapparelle smart? In questa guida vediamo come gestirle direttamente da smartphone con un po' di "fai da te"!
Guide di acquisto
cucina smart
Cucina Smart: i migliori prodotti da comprareState progettando una casa intelligente? Una delle prime stanze dalla quali partire è la cucina: ecco tutti i dispositivi con i quali comporla!
Guide di acquisto
smart home
Prese Intelligenti: le migliori da comprareCon una presa intelligente è possibile controllare da remoto il funzionamento di un qualunque dispositivo elettronico di casa, compresi i consumi per poter risparmiare e inquinare meno!
Guide di acquisto

Un po’ di numeri

Ok, abbiamo capito di cosa si tratta, però non è che se ne vedano molti di questi attacchi, vero? Beh, non è proprio così. Stando agli ultimi rapporti di OVH, nota società di hosting, nel 2017 solo sui propri indirizzi IP si sono consumati in media 1800 attacchi al giorno. La stessa compagnia è inoltre riuscita a mitigare l’attacco record da 1.3Tbps di traffico avvenuto a inizio marzo del 2018. Questo valore di traffico supera addirittura quello della botnet Mirai di cui abbiamo appena parlato.

Picco di 1.3Tbps di traffico dati durante l'attacco a OVH. Fonte: OVH.com
Picco di 1.3Tbps di traffico dati durante l’attacco a OVH. Fonte: OVH.com

Per capire la portata sociale di questo fenomeno, basti pensare che è stato creato un sito, WebStresser, che permetteva di commissionare un attacco DDoS a un indirizzo IP qualsiasi, con il semplice pretesto di testarne la sicurezza e la resistenza. Il sito è stato chiuso dall’Europol dopo tre anni di attività e oltre 4 milioni di attacchi stimati.

Potremmo andare avanti ore a citare dati legati al DDoS, quindi se volete saziare la vostra curiosità, vi consiglio di andare sul sito di Akamai che fornisce una mappa in tempo reale di tutti gli attacchi web.

Akamai - Mappa Live sulla distribuzione degli attacchi nel mondo
Akamai – Mappa Live sulla distribuzione degli attacchi nel mondo.

Concludendo..

Il DDoS è un pericolo concreto e presente e sarà ancora più cruciale negli anni a venire. Quando ogni casa sarà dominata dalla domotica e quando ogni auto sarà connessa, sarà bene essere protetti da questo tipo di attacchi, per evitare inconvenienti o addirittura mettere in pericolo la vita delle persone. Con questo però non voglio spaventare nessuno, le soluzioni ci sono e sono anche piuttosto semplici: ora che sappiamo di cosa si tratta non abbiamo più scuse per non prendere precauzioni. Ricordate, la conoscenza del problema è sempre il primo tassello per risolverlo.

2016 11 28 17 24 06 computer virus.png 625×468
Virus, spyware, malware e altri: le differenzeSono tutti dei virus? Che tipo d'infezione abbiamo preso sul PC? Un piccolo glossario per riconoscere facilmente tutte le minacce della rete.
Internet

Serie Doogee S89: la serie di telefoni rugged con batteria da 12.000 mAh e luci RGB!

2 giorni fa

Il Nothing Phone (1) è stato recentemente nell’occhio del ciclone per il suo design insolito. E sta già ispirando altri marchi… Doogee prevede di lanciare la versatile serie S89, dove vedremo smartphone rugged con effetti leggi di più…

Doogee S89

Migliori smartphone 200 euro 2022: quale comprare

2 settimane fa

Trovare il miglior smartphone 200 euro è una richieste che più riceviamo quotidianamente da tutti voi poiché si tratta di un segmento di mercato molto richiesto. In questa fascia, infatti, gli smartphone sono ancora da leggi di più…

miglior smartphone 200 euro

Migliori Smartphone 250 euro 2022: quale comprare

2 settimane fa

La fascia dei migliori smartphone a 250 euro è probabilmente tra le più affollate e interessanti sul mercato, con tante proposte interessanti di smartphone appena usciti, ma anche di telefoni usciti qualche tempo fa che leggi di più…

smartphone 250 euro

Migliori smartphone 300 euro 2022: quale comprare

2 settimane fa

Dopo aver visto i migliori smartphone sotto i 250€, ora è il turno della fascia di prezzo degli smartphone 300 euro che possiamo definire ottimi affari. Questo perché in questo segmento di mercato troviamo telefoni leggi di più…

smartphone 300

Notebook 500 euro: i migliori da comprare

2 settimane fa

Un portatile 500 euro comincia ad avere prestazioni accettabili anche in utilizzi più intensi, permettendo quindi di avere più prestazioni ad un prezzo non altissimo. Non possiamo più parlare di notebook economici, ma rimaniamo comunque entro leggi di più…

miglior portatile