DDoS (Distributed Denial of Service)

Un attacco DDoS è un tentativo di esaurire le risorse disponibili di una rete, un'applicazione o un servizio in modo che gli utenti non possano accedere.

Iniziati nel 2010, e sotto la spinta della crescita degli attacchi informatici, abbiamo assistito ad una rinascita degli attacchi DDoS che ha portato all'innovazione degli strumenti, degli obiettivi e delle tecniche. Oggi, è sempre più complicato cercare di definire cosa sia un attacco DDoS. I criminali informatici utilizzano una combinazione di attacchi di ampia portata, oltre a infiltrazioni più raffinate e difficili da rilevare che mirano alle applicazioni e all’infrastruttura di sicurezza della rete esistente, come firewall e IPS.

Quali sono i diversi tipi di attacchi DDoS?

Gli attacchi DDoS (Distributed Denial of Service) variano significativamente l'uno dall'altro e ci sono migliaia di modi diversi con cui può essere effettuato un attacco (vettori di attacco) ma i vettori di attacco rientrano in genere in una di queste categorie:

Attacchi volumetrici
Attacchi di tipo “TCP State-Exhaustion”
Attacchi a livello delle applicazioni

Attacchi volumetrici

Gli attacchi volumetrici tentano di consumare la larghezza di banda all'interno della rete/servizio target oppure tra la rete/servizio target e il resto di Internet. Questi attacchi causano semplicemente un sovraccarico.

Attacchi di tipo “TCP State-Exhaustion”

Gli attacchi di tipo “TCP State-Exhaustion” tentano di consumare le tabelle dello stato di connessione presenti in molti componenti dell'infrastruttura come i bilanciatori del carico, i firewall e i server stessi delle applicazioni. Anche i dispositivi ad alta capacità in grado di mantenere lo stato su milioni di connessioni possono essere colpiti da questi attacchi.

Attacchi a livello applicativo

Gli attacchi a livello applicativo mirano ad alcuni aspetti di un'applicazione o di un servizio di tipo layer-7. Sono gli attacchi più letali in quanto possono essere molto efficaci anche solo con una macchina che genera un traffico lento (ciò rende questi attacchi molto difficili da rilevare e attenuare in modo proattivo). Gli attacchi a livello applicativo sono diventati molto diffusi negli ultimi tre o quattro anni e gli attacchi di tipo “flood” a livello applicativo (flood HTTP GET, ecc.) sono stati alcuni dei più comuni attacchi Denial of Service di cui si è avuto notizia.

I pirati informatici più raffinati del giorno d'oggi combinano un unico attacco prolungato con attacchi di tipo volumetrico nonché attacchi “state exhaustion” e quelli a livello applicativo contro i dispositivi dell’infrastruttura. Questi attacchi informatici sono diffusi perché è difficile difendersi e spesso sono molto efficaci.

Il problema non finisce qui. Secondo Frost & Sullivan, gli attacchi DDoS sono “sempre più utilizzati come una tattica diversiva per attacchi persistenti e mirati”. I pirati informatici utilizzano gli strumenti DDoS per distrarre la rete e i team di sicurezza mentre tentano contemporaneamente di inviare minacce persistenti avanzate come i malware in rete, con l'obiettivo di rubare IP e/o informazioni finanziarie o critiche per i clienti.

Glossario sugli attacchi DDoS

Perché gli attacchi DDos sono così pericolosi?

Gli attacchi DDoS rappresentano una minaccia significativa per la continuità dell'attività aziendale. Rispetto al passato, le organizzazioni dipendono maggiormente da Internet, dalle applicazioni e dai servizi web, pertanto la disponibilità è diventata di essenziale importanza quanto lo è l'energia elettrica.

I DDoS non sono solo una minaccia per i rivenditori, i servizi finanziari e le aziende di gaming che hanno un ovvio bisogno di disponibilità. Mirano anche alle applicazioni aziendali fondamentali per l'attività delle imprese alle quali le organizzazioni si affidano per gestire le operazioni quotidiane, come ad esempio e-mail, automazione del reparto commerciale, CRM e molti altri. Inoltre, altri settori industriali come l’industria manifatturiera, farmacologica e sanitaria, hanno patrimoni web interni sui quali fanno affidamento le catene di approvvigionamento e altri partner commerciali per le operazioni commerciali quotidiane. Questi sono tutti obiettivi dei pirati informatici odierni.

I computer teschio degli attacchi flood HTTP si concentrano sui siti Web

Quali sono le conseguenze di un attacco DDos andato a segno?

Quando un sito web o un’applicazione pubblica non è disponibile, può verificarsi insoddisfazione tra i clienti, perdita di fatturato e danni al marchio. Quando le applicazioni fondamentali per l'azienda non sono indisponibili, le operazioni e la produttività vengono interrotte. La mancanza di disponibilità dei siti web interni a cui si affidano i partner implica un’interruzione della catena di approvvigionamento e della produzione.

Una campagna DDoS di successo implica anche il fatto che l'organizzazione ha consentito il verificarsi di diversi attacchi. Ci si può aspettare che gli attacchi continuino finché non saranno messe in atto difese più efficaci contro i DDoS.

Attacchi flood SVN con frecce verdi e grigie si concentrano sui dispositivi

Quali sono le soluzioni a disposizione per proteggersi da DDoS?

Data la natura di alto profilo degli attacchi DDoS e le loro conseguenze potenzialmente devastanti, molti fornitori di sicurezza hanno improvvisamente iniziato ad offrire soluzioni di protezione DDoS. Essendo così tanti i fattori che influiscono la decisione, è fondamentale capire i punti di forza e le debolezze delle opzioni.

Segni di un attacco slow read con frecce intrecciate che arrivano da sinistra

Soluzioni infrastrutturali esistenti

(Firewall, sistemi di rilevamento/protezione dalle intrusioni, application delivery controller/bilanciatori di carico)

I dispositivi IPS, i firewall e altri prodotti di sicurezza sono elementi essenziali di una strategia di difesa a più livelli ma sono progettati per risolvere problemi di sicurezza fondamentalmente diversi rispetto a quanto avviene con prodotti dedicati per il rilevamento e l'attenuazione dei DDoS. I dispositivi IPS, ad esempio, bloccano i tentativi di interruzione che causano il furto dei dati. Nel frattempo, un firewall funge da attuatore dei criteri per impedire l'accesso non autorizzato ai dati. Mentre tali prodotti di sicurezza affrontano efficacemente “l’integrità e la riservatezza della rete”, non riescono a far fronte a una preoccupazione fondamentale per quanto riguarda gli attacchi DDoS, la “disponibilità della rete”. Inoltre, i dispositivi IPS e i firewall sono soluzioni incorporate stateful e ciò significa che sono vulnerabili agli attacchi DDoS e spesso diventano loro stessi obiettivi degli attacchi.

Simili a IDS/IPS e firewall, gli ADC e i bilanciatori del carico non hanno una maggiore visibilità del traffico di rete né una threat intelligence integrata e sono peraltro dispositivi stateful vulnerabili ad attacchi che puntano a deteriorarne lo stato. L'aumento delle minacce volumetriche mirate a deteriorare lo stato dei dispositivi e gli attacchi misti a livello di applicazione, rende gli ADC e i bilanciatori del carico una soluzione limitata e parziale per i clienti che richiedono una protezione ottimale dai DDoS.

Attacco Slow Post timer rete CDN

Reti di distribuzione di contenuti (CDN)

A conti fatti, una CDN fa fronte ai sintomi di un attacco DDoS ma lo fa semplicemente assorbendo questi grandi volumi di dati. Lascia passare tutte le informazioni. Sono tutte ben accette. Ciò comporta tre problemi. Il primo è che ci deve essere una larghezza di banda disponibile per assorbire questo elevato traffico di dati, alcuni di questi attacchi volumetrici sono superiori a 300 Gbps, e le capacità costano. In secondo luogo, è possibile aggirare la CDN. Non tutte le pagine web e non tutte le risorse utilizzeranno la CDN. In terzo luogo, una CDN non può proteggere da un attacco basato su applicazioni. Quindi lasciate che la CDN faccia quello per cui è stata progettata.

Firewall per applicazioni Web che proteggono dagli attacchi

Web Application Firewall (WAF)

Un WAF è un dispositivo di elaborazione dei pacchetti con stato progettato, per bloccare gli attacchi alle applicazioni basate su Web, pertanto non ferma tutti i tipi di attacchi DDoS, come ad esempio gli attacchi TCP-state exhaustion. Qualsiasi tipo di attacco flood di riflesso o amplificazione che usa numerose diverse origini sovraccaricherebbe un WAF, rendendo l'intera soluzione inutilizzabile. La conclusione è che queste due tecnologie sono complementari nel loro uso per proteggere le organizzazioni dagli attacchi, ma un WAF non proteggerà dai vettori estesi degli attacchi Ddos.

Qual è l'approccio di NETSCOUT alla protezione dai DDoS?

È da oltre un decennio che la soluzione Arbor DDoS di NETSCOUT protegge le reti più grandi e più esigenti del mondo da attacchi DDoS. Crediamo fermamente che il modo migliore per proteggere le risorse dai moderni attacchi DDoS avvenga attraverso una distribuzione multi-livello di soluzioni di attenuazione DDoS appositamente progettate.

Solo con una difesa strettamente integrata multi-livello è possibile proteggere adeguatamente la propria organizzazione da qualsiasi tipo di attacco DDoS.

I clienti NETSCOUT godono di un notevole vantaggio competitivo, in quanto beneficiano sia di un'analisi dettagliata della propria rete, attraverso i nostri prodotti, unita a una panoramica di insieme del traffico Internet globale attraverso NETSCOUT Cyber Threat Horizon, interfaccia per la threat intelligence di ATLAS e per la visualizzazione della mappa degli attacchi DDoS.