Che cos'è un attacco Distributed Denial of Service (DDoS)?

Una panoramica sugli attacchi DDoS

Un attacco Distributed Denial-of-Service (DDoS) è una variante di un attacco DoS che impiega un numero molto elevato di computer attaccanti per sommergere l'obiettivo con traffico fasullo. Per raggiungere la scala necessaria, i DDoS sono spesso eseguiti da botnet che possono cooptare milioni di macchine infette per partecipare inconsapevolmente all'attacco, anche se non sono l'obiettivo dell'attacco stesso. Invece, l'attaccante sfrutta il numero massiccio di macchine infette per inondare di traffico l'obiettivo remoto e causare un DoS.

Sebbene l'attacco DDoS sia un tipo di attacco DoS, è significativamente più popolare nel suo utilizzo grazie alle caratteristiche che lo differenziano e lo rafforzano da altri tipi di attacchi DoS:

• La parte attaccante può eseguire un attacco di scala dirompente grazie all'ampia rete di computer infetti, in pratica un esercito di zombie, sotto il suo comando .
• La distribuzione (spesso mondiale) dei sistemi di attacco rende molto difficile individuare dove si trova l'effettivo attaccante .
• È difficile per il server di destinazione riconoscere il traffico come illegittimo e rifiutare l'ingresso a causa della distribuzione apparentemente casuale dei sistemi attaccanti .
• Gli attacchi DDoS sono molto più difficili da spegnere rispetto ad altri attacchi DoS, a causa del numero di macchine che devono essere spente, rispetto a una sola.

Gli attacchi DDoS spesso prendono di mira organizzazioni specifiche (aziendali o pubbliche) per motivi personali o politici, oppure per estorcere pagamenti all'obiettivo in cambio dell'interruzione dell'attacco DDoS. I danni di un attacco DDoS sono tipicamente rappresentati dal tempo e dal denaro persi a causa dei conseguenti tempi di inattività e della perdita di produttività.

Gli esempi di attacchi DDoS sono numerosi. Nel gennaio 2012, il gruppo di hacktivisti Anonymous ha condotto un attacco contro i principali sostenitori dello Stop Online Piracy Act (SOPA). In dissenso al SOPA, Anonymous ha eseguito attacchi DDoS che hanno disabilitato i siti web del Dipartimento di Giustizia degli Stati Uniti, del Federal Bureau of Investigations (FBI), della Casa Bianca, della Motion Picture Association of America (MPAA), della Recording Industry Association of America (RIAA), di Universal Music Group e di Broadcast Music, Inc (BMI). Per facilitare l'attacco, Anonymous ha costruito la sua botnet utilizzando un modello non convenzionale che ha permesso agli utenti che desideravano sostenere l'organizzazione di offrire i loro computer come bot per gli attacchi. Gli utenti che volevano offrire un supporto volontario potevano unirsi alla botnet di Anonymous cliccando sui link che l'organizzazione pubblicava in vari luoghi online, come Twitter.

L'attacco DDoS viene sfruttato anche come arma di guerra cibernetica. Ad esempio, nel 2008 durante la guerra dell'Ossezia del Sud, i siti web del governo georgiano sono stati paralizzati da quelle che si ritiene siano bande criminali russe sotto l'egida dei servizi di sicurezza russi. L'attacco è stato effettuato poco prima degli attacchi iniziali della Russia sul territorio georgiano.

Esistono diverse tecniche di mitigazione DDoS che le organizzazioni possono implementare per ridurre al minimo la possibilità di un attacco. L'infrastruttura di sicurezza di rete dovrebbe includere strumenti di rilevamento DDoS in grado di identificare e bloccare sia gli exploit che gli strumenti che gli aggressori utilizzano per lanciare un attacco. Inoltre, gli amministratori di rete possono creare profili per osservare e controllare specifici flussi di traffico (ad esempio, flussi SYN, UDP e ICMP). Osservando tutto il traffico in aggregato, si possono impostare soglie per monitorare e tagliare i comportamenti che indicano un possibile attacco DDoS.