Cos'è un attacco Denial-Of-Service (negazione del servizio, DOS)?
Un attacco Denial-Of-Service (negazione del servizio, DOS) ha l’obiettivo di mettere fuori uso una macchina o una rete, rendendole inaccessibili ai loro utenti. Per farlo, gli attacchi DoS inondano il bersaglio di traffico o gli inviano informazioni che innescano un blocco del sistema. In entrambi i casi, questi attacchi privano gli utenti legittimi (ovvero dipendenti, membri o titolari di account) del servizio o della risorsa che intendevano utilizzare.
Spesso le vittime di attacchi DoS sono server Web di organizzazioni di alto profilo come società bancarie, commerciali e di comunicazione o organizzazioni governative e del commercio. Anche se in genere questi attacchi non portano al furto o alla perdita di informazioni importanti o altre risorse, la loro gestione può essere molto dispendiosa in termini di tempo e denaro.
Ci sono due metodi generali per gli attacchi DoS: il flooding oppure il blocco dei servizi. Gli attacchi di flooding avvengono quando il sistema riceve troppo traffico per il buffer del server, causandone il rallentamento o addirittura l’interruzione. Attacchi di flooding popolari includono:
- Attacchi buffer overflow, il tipo più comune. Il concetto è inviare a un indirizzo di rete più traffico di quello che i programmatori avevano previsto per il sistema. Include gli attacchi elencati di seguito, oltre ad altri progettati per sfruttare bug specifici di alcune applicazioni o reti
- Flooding ICMP: sfrutta i dispositivi di rete configurati in modo errato inviando pacchetti ingannevoli che effettuano il ping di ogni computer della rete bersaglio, anziché di una singola macchina specifica. A questo punto, la rete è innescata per amplificare il traffico. Questo attacco è anche conosciuto come attacco smurf o ping of death.
- Flooding SYN: invia una richiesta di connessione a un server, ma non completa mai il processo di handshake. L’attacco continua finché tutte le porte aperte sono sature di richieste e non sono più disponibili per la connessione degli utenti legittimi.
Altri attacchi DoS sfruttano semplicemente vulnerabilità che portano al blocco del sistema o servizio preso di mira. In questi attacchi viene inviato un input che approfitta di bug nell’obiettivo, che successivamente mandano in blocco o destabilizzano gravemente il sistema in modo che sia impossibile accedervi o utilizzarlo.
Un altro tipo di attacco DoS è il cosiddetto distributed denial of service (denial-of-service distribuito, DDoS). Un attacco DDoS si verifica quando più sistemi organizzano un'aggressione DoS sincronizzata a un singolo obiettivo. La differenza sostanziale è che anziché essere attaccato da un’unica posizione, l’obiettivo è aggredito da più posizioni contemporaneamente. La distribuzione degli host che definisce un DDoS fornisce all’aggressore diversi vantaggi:
- Può sfruttare il maggior volume di macchine per eseguire un attacco estremamente dannoso
- La posizione dell'aggressione è difficile da rilevare a causa della distribuzione casuale dei sistemi di attacco (spesso di livello globale)
- Arrestare molte macchine è più difficile rispetto ad arrestarne una soltanto
- Il vero gruppo di attacco è molto difficile da identificare, perché si camuffa dietro molti sistemi (per lo più compromessi)
Le tecnologie di sicurezza moderne hanno sviluppato meccanismi per difendersi dalla maggior parte degli attacchi DoS, ma a causa delle sue caratteristiche uniche il DDoS viene ancora considerato una minaccia grave e crea maggiori preoccupazioni alle organizzazioni che temono di essere colpite da un simile attacco.