DDoS (Distributed Denial of Service)

Cos’è un attacco DDoS?

Il termine DDoS fa capolino ogni volta che il cyber-attivismo viene affrontato. Questi tipi di attacco vanno a finire nelle prime pagine internazionali per diverse ragioni. I problemi che scatenano gli attacchi DDoS sono spesso controversi e altamente politici. Dal momento che la maggior parte degli user regolari risentono di questi attacchi, si tratta di un problema che concerne parecchie persone.
Forse, più probabilmente, molte persone non sanno cosa costituisce un attacco DDoS. Nonostante la sua crescente frequenza, leggendo le testate giornalistiche, gli attacchi DDos possono spaziare dal vandalismo digitale ad un vero e proprio cyber-terrorismo.
Dunque cosa implica un attacco DDoS, anche detto Distributed Denial of Service? Come funziona? E quali sono le conseguenze per il bersaglio dell’attacco e per gli utenti? Queste sono domande importanti ed è ciò di cui tratteremo adesso.

twitter-fail-whale

Denial Of Service

Prima di affrontare il problema degli attacchi DDoS, o Distributed Denial of Service, diamo un’occhiata al più ampio gruppo dei problemi legati al Denial of Service (DoS).
Il Denial of Service è un problema di massa. In parole semplici, un sito web subisce problemi di DoS quando non può più offrire un servizio ai suoi utenti regolari. Quando troppe persone si ammassano su Twitter, arriva la Fail Whale, che indica che il sito internet ha superato la sua capacità massima. In poche parole Twitter ha subito un DoS.
Nella maggior parte dei casi, questi problemi si verificano senza intenti dannosi. Un grande website si collega ad uno più piccolo, che non è costruito per lo stesso livello di traffico.

Video introduttivo

Di seguito un breve video che spiega per sommicapi cos’è un attacco DDoS.

Un attacco di tipo Denial of Service, quindi, indica un intento dannoso. Chi crea gli attacchi spende parecchie energie a provocare problemi di DoS. Le tecniche utilizzate qui variano molto – un attacco DoS si riferisce al risultato programmato dell’attacco, non al modo in cui viene eseguito. Di solito, monopolizzare le risorse di sistema può far sì che il sistema non sia raggiungibile dagli utenti abituali per poi addirittura mandare il sistema in crash e chiuderlo definitivamente.

Attacchi Distribuiti (DDoS)

La differenza tra gli attacchi distribuiti -Distributed Denial of Service -(DDoS) e quelli DoS regolari, è il raggio d’attacco. Se un DoS viene effettuato da un singolo hacker che usa un singolo sistema, un attacco distribuito viene effettuato attraverso sistemi di attacco multipli.

Partecipanti che intervengono volontariamente.

A volte hacker multipli si uniscono, ognuno partecipando volontariamente all’attacco. Viene installato su ogni sistema un software utilizzato per eseguire uno stress-test sui sistemi, o un software programmato appositamente per creare danni. Per fare in modo che l’attacco funzioni, è necessario essere coordinati. Coordinati tramite chat rooms IRC, forum, o anche i feed Twitter, gli hacker si gettano in massa su un singolo bersaglio e cercano di sommergerlo di attività per bloccargli l’uso del mezzo o per collassare il sistema.

cia

Quando PayPal, Visa e MasterCard hanno iniziato a boicottare WikiLeaks alla fine del 2010, i supporter di WikiLeaks hanno effettuato un DDoS coordinato, hanno temporaneamente chiuso l’homepage di molti siti web. Attacchi simili hanno preso di mira altre banche e anche le Agenzie per la Sicurezza Nazionale.

E’ importante tenere a mente che in questi casi è la pagina del sito ad essere bloccata e chiusa, mentre i network interni di banche e agenzie di sicurezza di solito rimangono inalterati, come spiegato nella vignetta XKCD 932 mostrata sopra.

Sistemi Zombie o Botnets

Un attacco Distributed Denial of Service implica diversi sistemi di attacco. Di solito non è necessario che ci sia più di un hacker. Spesso, gli attacchi su larga scala non sono eseguiti sul computer personale dell’hacker, ma attraverso un grande numero di sistemi zombie infettati. Gli hacker possono approfittare di una vulnerabilità zero day ed utilizzare un worm o un trojan horse per ottenere il controllo di un gran numero di sistemi compromessi. L’hacker poi utilizza questi sistemi infetti per creare un attacco ai danni del bersaglio. I sistemi infetti utilizzati in questo modo sono spesso chiamati bots o sistemi zombie. Un gruppo di bots si chiama botnet.
Anche se il sito web bersagliato dall’attacco DDoS è, di solito, rappresentato come vittima singola, ne risentono allo stesso modo gli utenti con sistemi infettati facenti parte della botnet. Non solo i loro computer vengono utilizzati per attacchi illeciti, ma le loro risorse di rete rimangono in larga parte occupate dall’attacco in corso.

Tipi di Attacco

Come accennato sopra, un attacco DDoS illustra solo l’intento dell’attacco – derubare un sistema delle sue resources e renderlo impossibilitato ad eseguire il servizio programmato. Ci sono vari modi per raggiungere quest’obiettivo. L’hacker può monopolizzare le risorse di sistema o addirittura spingere il sistema a crashare. In gravi casi, un attacco Denial of Service Permanente (PDoS), anche chiamato asphlashing, distrugge così significativamente il suo bersaglio che le componenti dell’hardware devono essere completamente sostituite prima di poter riprendere una normale operazione.
Ora vedremo due metodi d’attacco importanti. Questa lista non è del tutto completa.

ICMP Flood

L’ICMP (o Internet Control Message Protocol, meno conosciuto) è una parte integrante del protocollo internet. Un attacco ICMP viene eseguito bombardando un network con dei network packages, consumando le risorse del sistema constringendolo al crash. Un tipo di attacco è il Ping Flood, un attacco DoS semplice in cui l’hacker sommerge efficacemente il suo bersaglio di pacchetti ‘ping’. Il motivo è che la banda larga dell’hacker è più ampia di quella del bersaglio.

Un attacco Smurf è un modo più efficace di fare un ICMP. Alcuni network permettono ai clienti del network di inviare messaggi a tutti gli altri clienti inviandolo ad un singolo indirizzo broadcast. Un attacco Smurf aggredisce questo indirizzo broadcast e fa in modo che i suoi pacchetti risultino provenire dal bersaglio stesso. Il bersaglio invia questi pacchetti a tutti gli altri clienti del network, trasformandosi a tutti gli effetti in un amplificatore dell’attacco.

(S)SYN Flood

Un (S)SYN Flood si basa su un principio operativo essenziale della comunicazione di rete. Durante le operazioni normali, un client inizia una comunicazione inviando al server un pacchetto TCP/SYN, dicendo in sostanza al server che desidera comunicare. Il server, una volta ricevuto il pacchetto, crea una connessione per comunicare con il client e invia un messaggio di consenso e una fonte al canale di comunicazione.
Il client allora invia a sua volta un messaggio di consenso e inizia una comunicazione con il server. Tuttavia, se il client non risponde con il secondo consenso, il server presuppone che non sia arrivato correttamente (come succede piuttosto spesso) e lo invia nuovamente.

TCP-SYN-attack-comic

Un (S)SYN Flood approfitta di questo meccanismo inviando innumerevoli pacchetti TCP/SYN (ognuno diverso e con un’origine specificata fasulla). Ogni pacchetto induce il server a creare una connessione e continuare a mandare avvisi di consenso. In poco tempo il server esaurisce le sue stesse resources con connessioni semi-aperte. Questo principio è illustrato nella vignetta sopra.
Come spiegato sopra, gli attacchi DDoS sono vari, ma hanno un unico scopo: (temporaneamente) impedire agli user reali di usare il sistema attaccato. Tutto ciò corrisponde con l’idea che avevi degli attacchi DDoS? Facci sapere nella sezione dei commenti.

Torna all'inizio