Sicurezza

Attacco DDoS: come si fa e come difendersi

Sicurezza Informatica - Copertina DDoS

Gli attacchi DDoS rappresentano una minaccia informatica abbastanza diffusa e pericolosa. Vediamo in cosa consistono e come difenderci.

Attenzione: le procedure e le informazioni qui presenti sono solo a scopi educativi e non vogliono assolutamente incoraggiare nessuno a farne un cattivo uso.

Quanto può essere pericoloso una attacco DDoS? Paragoniamo un computer, un server, uno smartphone o qualsiasi dispositivo connesso in rete ad una persona qualsiasi. Stressare questa persona, fisicamente o mentalmente, può indebolire le sue difese immunitarie e la sua resa in termini di forza e lucidità.

Gli attacchi DoS

Gli attacchi Denial of Service (DoS), dal quale il DDoS deriva, agiscono in questo modo. Non sono altro che una tempesta di richieste ad un server, un computer o qualsiasi dispositivo fino a farlo crollare. Questo può, quindi, recare danno ad aziende, istituzioni e infrastrutture anche molto sensibili.

Esempi

Un esempio di attacco DoS può essere un invio di centinaia di e-mail ad un solo destinatario fino a mandare completamente in tilt il server di posta. Si possono fare anche numerosissime richieste di accesso ad un sito web ad intervalli molto brevi fino ad occupare completamente la larghezza di banda disponibile.

Hping3: i DoS si fanno con il PING

Con il programma hping3, utilizzabile su Linux, è possibile fare un attacco di tipo Ping Flood. Esso consiste nell’inviare pacchetti in cui si richiede il tempo impiegato per ogni pacchetto ad arrivare e ritornare indietro al mittente. Attenzione: questa operazione, in genere utilizzata per testare la disponibilità di un dispositivo di rete, si chiama ping e non è malevola. Diventa un Ping Flood solo se i pacchetti diventano numerosi e vengono inviati ad intervalli molto brevi o se le dimensioni dei pacchetti sono abbastanza consistenti.

Il comando per un attacco flood ping con hping3 è il seguente:

Dove per -c si indica il numero di pacchetti da inviare, -d la dimensione di ogni pacchetto, -w la dimensione della finestra TCP, -p la porta di destinazione, --flood che si tratta di inviare numerose richieste senza avere output sullo schermo, --rand-source che gli indirizzi dal quale far partire i ping sono casuali e per www.hping3testsite.com l’obiettivo dell’attacco.

Il DDoS (Distributed Denial of Service) è una versione più elaborata in cui l’attacco viene realizzato con un elevato numero di richieste da fonti diverse e che hanno come bersaglio anche interi data center o reti di distribuzione.

Botnet: gang di computer!

La botnet è una rete di computer, spesso di proprietà di persone estranee ai fatti, affetti da un malware che permette ai malintenzionati di sfruttarli per qualsiasi operazione desiderata. Quindi, è possibile lanciare da questi PC tutti gli attacchi possibili e immaginabili alle infrastrutture. E’ possibile notare in questo caso ilpassaggio da DoS a DDoS. Si parla di attacchi lanciati da milioni di dispositivi verso una singola infrastruttura.

Quanti attacchi esistono

Ci sono diversi tipi di attacchi DDoS in base al modo in cui vengono effettuati e al loro target. Ci sono attacchi che compromettono le singole applicazioni (dunque è possibile mettere KO il CMS di un sito web di notizie o bloccare una piattaforma digitale istituzionale) o che mirano a sovraccaricare le risorse dei loro obiettivi. E’ possibile inviare richieste di connessione TCP, iniziando il processo di handshaking senza mai concluderlo.

Come difendersi

E’ possibile difendersi dagli attacchi DDoS. La prevenzione è sicuramente importante. Difatti, è meglio armarsi di servizi di blocco e bypass degli attacchi come CloudFlare che garantisce una forte resistenza ai sovraccarichi e una protezione sulla larghezza di banda.

Sinkholling

Durante un attacco, è possibile attuare una strategia di sinkholling, con il quale è possibile deviare l’intero traffico ad un punto morto per rendere inaccessibile il server o il sito web. Ovviamente, anche chi vuole accedere realmente al servizio verrà inoltrato verso questo punto. Dunque, è una soluzione temporanea.

Configurazione dei server

Una buona manutenzione e una configurazione dei server adeguata può evitare il crollo totale dell’infrastruttura. E’ possibile attuare una politica di gestione delle risorse in cui limitare i danni soltanto ai servizi che possono essere attaccati dall’esterno e non sull’intero sistema informativo.

Rete distribuita

Distribuire la potenza di calcolo su varie sedi, creando una rete distribuita di server a specchio, è possibile fronteggiare gli attacchi deviando il traffico verso le altre unità di calcolo in modo tale da potenziare la larghezza di banda e poter bypassare, eventualmente, il traffico.