DDoS: definizione, caratteristiche e metodi di protezione


Cos’è un attacco DDoS?

Un attacco di tipo Distributed Denial of Service (DDoS) è un'arma di sicurezza informatica che mira a interrompere le attività aziendali o estorcere denaro alle organizzazioni prese di mira. Le motivazioni di questi attacchi possono essere legate a ragioni di carattere politico, religioso, competitivo o di profitto finanziario.

Un attacco DDoS è tecnicamente la versione distribuita del Denial of Service (DoS), che ha lo scopo di interrompere i servizi di un’azienda. I malintenzionati utilizzano enormi volumi di traffico per sovraccaricare i normali carichi di lavoro, server o interconnessioni di rete per renderli inutilizzabili. Se l’effetto degli attacchi DoS è quello di interrompere un servizio, gli attacchi distribuiti (DDoS) vengono invece eseguiti su scala molto più estesa, con il conseguente arresto di intere infrastrutture e servizi scalabili (servizi Cloud).

What_is-DDOS

Il DDoS ha un serio impatto sul business

Icons/concept/infinite@3x Created with Sketch.
Downtime dei siti

Un DDoS che colpisce un server Web che espone la home page aziendale rende la pagina irraggiungibile ai clienti legittimi e può portare a una compromissione della reputazione del marchio e una perdita di fiducia.

Icons/concept/Warning Created with Sketch.
Attivazione dello SLA

L’irraggiungibilità di un servizio da parte dei clienti può generare diversi problemi e rendere necessaria l’applicazione degli accordi sul livello del servizio, con un impatto economico sull’azienda.

Icons/concept/Curve Created with Sketch.
Reazione a catena

Quando da un servizio dipende il funzionamento di diversi siti, eventuali problemi possono comportare la loro mancata disponibilità per un periodo di tempo più o meno lungo.

Alcuni esempi di attacchi DDoS

  • Nell'agosto 2020, la Borsa neozelandese è stata vittima di un attacco DDoS volumetrico che ha interrotto il servizio per tre giorni consecutivi causando la perdita di milioni di dollari.
  • Nel febbraio 2020, un hyperscaler globale ha segnalato un attacco alla propria infrastruttura con 2,3 Tbps di traffico malevolo e 20,6 milioni di richieste al secondo.
  • Nei mesi di febbraio e marzo 2018, diverse aziende hanno segnalato un nuovo vettore di attacco basato su una vulnerabilità di memcached che utilizzava tecniche di amplificazione e riflessione. OVHcloud ha osservato e filtrato attacchi con dimensioni fino a 1,3 Tbps.
  • Nell'ottobre 2016, un attacco informatico di tipo Dyn DDoS ha causato l'interruzione dei principali servizi Internet con una serie di attacchi DDoS mirati a sistemi gestiti dal provider DNS Dyn.
  • Nel settembre 2016 la botnet Mirai, composta da oltre 600.000 dispositivi IoT compromessi (come le telecamere), è stata utilizzata contro una nota pagina di notizie sulla sicurezza, Krebs on Security. Questo attacco ha colpito la vittima con ben 620 Gbps di traffico durante il suo picco maggiore. Contemporaneamente, OVHcloud ha segnalato un attacco di oltre 1 Tbps.

Tipi di attacco DDoS

DDoS_attacks

Attacchi volumetrici

Gli attacchi DDoS volumetrici sono i più diffusi. L'intento di un attacco di questo tipo è quello di rendere server, servizi o infrastrutture irraggiungibili, inondandoli con enormi quantità di richieste. In questo modo, la connessione di rete o le risorse risultano sature: gli utenti legittimi non riescono ad accedere ai servizi e i server non sono più in grado di gestire i flussi di traffico né di rispondere alle richieste. Le macchine compromesse (o altri dispositivi connessi come IoT e videocamere), chiamati botnet, possono essere utilizzati dagli hacker per rendere un attacco più distribuito e quindi efficace. Una delle tecniche più utilizzate dagli hacker è quella di inviare da un indirizzo IP falsificato (IP spoofing) grandi quantità di pacchetti di piccole dimensioni alle botnet, che a loro volta rispondono con pacchetti più grandi direttamente alla vittima (all'IP falsificato). I bersagli colpiti da questa quantità imprevista di traffico solitamente non sono in grado di rispondere alle richieste e le loro connessioni Internet sono completamente congestionate dal traffico dannoso che occupa tutta la banda disponibile. Questa tecnica è chiamata attacco di riflessione e amplificazione.

Attacchi ai protocolli

Questi tipi di attacco colpiscono i protocolli utilizzati per la comunicazione di rete e sfruttano le vulnerabilità per rendere indisponibili i server o i servizi della vittima. Questo scenario in alcuni casi può portare al sovraccarico dei dispositivi che collegano questi servizi a Internet.

Un esempio di attacco basato sui protocolli è lo Smurf DDoS, un Denial of Service distribuito a livello di rete.

Un pacchetto inviato da un hacker a un indirizzo di rete broadcast genera una risposta automatica da parte di ogni host. Utilizzando questo metodo e falsificando l’IP sorgente (spoofing), gli aggressori possono deviare un gran numero di risposte e sommergere una vittima con il traffico. Con la giusta quantità di risposte ICMP, un bersaglio può essere tenuto offline.

Protocol_attack
Application_layer_attack

Attacchi a livello di applicazione (L7)

Le applicazioni implementano la logica più avanzata e sono generalmente quelle che utilizzano una quantità maggiore di risorse, le più specifiche e probabilmente le meno testate. Queste caratteristiche le rendono un bersaglio perfetto per un attacco.

I metodi di attacco sferrati a questo livello di solito richiedono una minima quantità di risorse e, per la maggior parte, possono passare inosservati ai firewall e ai sistemi di protezione DoS generali.

Un esempio è un attacco a un server game (come i server Minecraft) che rende un gioco inaffidabile, con molte intermittenze, giocatori che perdono la connessione o causano anche downtime. Questo rende i server game inutilizzabili, quindi la piattaforma perde il suo rank e l'immagine del proprietario ne risulta danneggiata, con la conseguente perdita di giocatori e soldi.

Per difendersi al meglio da questi tipi di attacco è necessaria una buona comprensione della logica delle applicazioni e dei suoi utilizzi specifici.

Maggiori informazioni sulle soluzioni anti-DDoS di OVHcloud

I nostri servizi di Cloud pubblico e privato

Server Bare Metal

Dall’hosting di siti Web al deploy di infrastrutture ad alta resilienza, esiste un server dedicato perfetto per qualsiasi esigenza e obiettivo. La macchina può essere personalizzata in base al progetto, in pochi click.

  • Consegna in 120 secondi
  • Traffico illimitato su tutti i nostri server*
  • Spese di installazione gratis sottoscrivendo un impegno contrattuale

*Esclusi i datacenter in Asia Pacifica.

Scopri i nostri server

Hosted Private Cloud

Per accelerare la trasformazione digitale, le nostre soluzioni scalabili Hosted Private Cloud costituiscono l’opzione ideale. I prodotti OVHcloud sono flessibili, innovativi e offrono una sicurezza ottimale dei dati, per potersi concentrare totalmente sul proprio business.

  • Risorse on demand
  • Hosting Cloud di fiducia
  • Ambienti multicloud
  • Piani di Disaster Recovery

Scopri di più

Public Cloud

Il Public Cloud di OVHcloud offre un’ampia scelta di soluzioni Cloud con fatturazione a consumo. La nostra infrastruttura è configurata in modo semplice per accompagnare la crescita delle aziende: grazie alla flessibilità delle risorse on demand è possibile passare facilmente da piccoli progetti a deploy su larga scala.

  • Managed Kubernetes
  • IOPS
  • Managed Private Registry
  • Object Storage

Scopri le nostre soluzioni