Gli attacchi DDoS sono famosi per mettere fuori servizio le reti aziendali e anche le semplici reti domestiche, che vengono bloccate e non sono più accessibili.
Se non si conosce nulla su questi attacchi si rischia di subirli senza nemmeno rendersene conto, visto che sono ben poche le suite di sicurezza in grado di intervenire o quantomeno mitigare l'impatto di un attacco di questa portata.
In questa guida scopriremo da vicino il significato di attacco DDoS, come viene portato avanti e com'è possibile riconoscerlo. Per evitare attacchi futuri è possibile utilizzare alcuni semplici consigli, tra cui installare una suite di sicurezza completa sotto tutti i punti di vista.
Cos'è un attacco DDoS
La sigla DDoS sta per "Distributed Denial of Service" e identifica gli attacchi informatici basati sull'interruzione distribuita del servizio.
All'atto pratico degli hacker eseguono migliaia di accessi al secondo sullo stesso sito, sulla stessa pagina web o sulla stessa piattaforma (per gli attacchi informatici su vasta scala), così da saturare le risorse di rete e le quelle fisiche fino al blocco completo, ossia il sito o il servizio non risponde più alle richieste legittime degli utenti.
Gli attacchi Denial of Service possono essere portati avanti da un gruppo di pirati informatici o da una rete creata ad hoc per saturare le risorse dei server (botnet); questa è composta da dispositivi infettati (zombie) che rispondono al comando di un hacker e accedono tutte insieme allo stesso server o servizio.
Ciò porta a doversi difendere su due fronti: è necessario infatti sfuggire agli attacchi DDoS ma allo stesso tempo evitare che i nostri dispositivi diventino parte di una rete di zombie pronta a rispondere ai comandi remoti di un hacker.
Tipi di attacchi DDoS
In ambito informatico è possibile identificare tre tipi diversi di attacchi Denial of Service (DDoS):
- Attacchi volumetrici: questo tipo di attacco colpisce la larghezza di banda della connessione in uso da parte del server, rendendolo irraggiungibile dopo poco tempo. Questo tipo di attacco è portato avanti con il protocollo UDP (User Datagram Protocol), tramite ICMP (Internet Control Message Protocol) ed altri;
- Attacchi di frammentazione: questi occupano velocemente le risorse del server o degli apparati di comunicazione, oltre ad intasare firewall ed eventuali QoS dedicati alla suddivisione del carico. Vengono utilizzate tecniche avanzate come inondazione SYN (connessione iniziale), pacchetti frammentati, Ping of Death (pacchetti IP malformati) e simili;
- Attacchi applicativi: sfruttano le vulnerabilità di Windows, della piattaforma Apache o dei sistemi operativi utilizzati sui server (OpenBSD o Linux). Vengono lanciate richieste legittime, che portano ad attacchi con invio di richieste incomplete a livello HTTP (GET o POST, ossia richiesta di accesso a contenuti statici o dinamici).
Dei tre tipi di attacchi i più frequenti sono gli attacchi volumetrici, ma negli ultimi tempi si sono diffusi attacchi ibridi molto complessi da intercettare. Questi mettono fuori uso anche reti molto efficienti come quelle istituzionali o piattaforme utilizzate ogni giorno dalle grandi aziende.
Gli obiettivi di un DDoS attack
Gli obiettivi di un attacco DDoS sono principalmente i siti Internet, quelli dei servizi pubblici e piattaforme d'accesso per servizi di varia natura, inclusi cloud aziendali.
Attacchi Denial of Service particolarmente potenti possono compromettere anche una grande rete aziendale anche se non ha accesso libero ad Internet: in questo caso un malware viene installato al suo interno tramite varie tecniche (anche una semplice email infetta), aprendo le porte per un attacco DDoS in grado di bloccare tutto.
In ambito domestico un DDoS attack è più raro ma può portare danni pesanti, specie se si dispone di una linea con indirizzo IP statico (che non cambia nel corso del tempo).
Tra gli attacchi domestici ci sono quelli diretti al gioco online multigiocatore. In questo caso l'attacco è indirizzato a un singolo utente con lo scopo di disconnetterlo dalla partita o di portare improvvisi rallentamenti (ping molto alti), condizionando il risultato finale.
Per evitare questo tipo di attacchi in ambito domestico è fondamentale affidarsi ad una suite di sicurezza come Kaspersky, che dispone sia di un efficace firewall sia di un sistema di connessione VPN, in grado di proteggere la connessione da ogni attacco portato avanti sulla rete di gioco.
Quali sono i sintomi di un attacco DDoS
I sintomi di un DDoS attack sono facilmente riconoscibili sia per il server che per il client. I gestori del server possono rendersi subito conto dell'attacco in corso monitorando le risorse assegnate e controllando il traffico di rete. I sistemi di gestione del server mostreranno infatti accessi da una moltitudine di posizioni diverse nel mondo, spesso ripetuti anche nell'arco di pochissimi secondi.
Dal punto di vista degli utenti l'attacco DDoS è identificabile con: impossibilità di accedere ad un sito o una pagina web, pagine o elementi mancanti in una pagina, caricamento molto lento della stessa pagina o blocco dell'accesso nella pagina di login.
Un attacco informatico quando si gioca online è riconoscibile con i seguenti sintomi: ping che sale alle stelle senza motivo apparente, impossibilità a terminare una partita o di accedere ad un server e disconnessioni frequenti, associati a rallentamento della linea Internet in generale.
Come difendersi e prevenire un attacco DDoS
In ambito business esistono svariati strumenti che possono aiutare i gestori a mitigare l'effetto di un DDoS attack, bloccando gli attacchi più semplici e utilizzando sistemi di caching o di DNS contro gli attacchi più avanzati. In ambito domestico è possibile difendersi e prevenire l'attacco seguendo i seguenti consigli:
- Cambiare indirizzo IP: se si utilizza una connessione Internet con indirizzo IP dinamico è sufficiente ottenerne uno nuovo per terminare l'attacco in corso. Nel caso è sufficiente rimuovere la presa elettrica del modem, attendere 5 minuti e riconnettere la suddetta presa;
- Usare una VPN: l'uso di una VPN aiuta a prevenire gli attacchi DDoS visto che, in caso d'attacco, viene esposto agli hacker o alla rete botnet solo l'indirizzo IP mascherato. Cambiando server VPN o indirizzo IP mascherato l'attacco terminerà. Kaspersky Premium, ad esempio, include al suo interno un'ottima VPN, da utilizzare subito per nascondere la propria identità online;
- Usare un DDNS: se si utilizza un server casalingo o si vuole proteggere la connessione è possibile usare un servizio DDNS, che maschera il proprio indirizzo IP dietro un servizio dedicato all'inoltro delle richieste IP. Anche in questo caso basterà cambiare indirizzo DDNS o usare un altro servizio per deviare un attacco in corso;
- Usare firewall e antivirus: l'uso di un buon sistema antivirus permetterà di respingere i malware in grado di trasformare i PC e i dispositivi in zombie per la botnet e bloccare gli attacchi sospetti diretti verso uno specifico device o rete. In questo caso la miglior scelta è una suite come Kaspersky Premium, che include un ottimo sistema di scansione antimalware e della rete locale e uno dei migliori firewall di rete.
Queste soluzioni sono in grado di mitigare o annullare l'effetto di un attacco DDoS subito sulla rete di casa o sulla connessione Internet casalinga.
Difesa DDoS a livello aziendale
Se i server aziendali, i server web o le connessioni dedicate dell'azienda sono vittime di DDoS è necessario agire con strumenti avanzati contro le minacce informatiche, visto che i pirati informatici non molleranno volentieri la presa sul loro obiettivo.
Il primo sistema di difesa a livello aziendale è Cloudflare, che fornisce server di caching e sistemi di verifica CAPTCHA per tutte le connessioni sospette o provenienti da VPN o botnet note. Il secondo sistema di difesa è la creazione di una CDN, in particolare se si distribuisce un servizio web o un servizio ad accesso condizionato; così facendo il carico anomalo viene distribuito tra tutti i server aggiuntivi, dando più tempo al team di sicurezza per mitigare l'attacco in corso.
In ultima istanza è possibile affidarci ai professionisti della DDoS Mitigation, aziende di cybersecurity specializzati nella lotta e nel contrasto ai DDoS attack, utilizzando sistemi di rete avanzati e integrati all'interno dell'infrastruttura informatica aziendale.
Questo non esclude l'utilizzo di un sistema di sicurezza antivirus dedicato alle aziende. Per esempio il piano Kaspersky Next offre soluzioni endpoint per proteggere tutte le postazioni aziendali e i server connessi alla rete, utilizzando per lo scopo una console di controllo (da far usare solo all'amministratore di rete o alla società di sicurezza assegnata al compito).
Quanto sono pericolosi gli attacchi DDoS oggi?
Gli attacchi Denial of Service (DDoS) sono diventati più pericolosi nel corso del tempo soprattutto perché i pirati informatici usano nuove tecniche più potenti e capaci di colpire sempre più siti e infrastrutture.
Un grande passo è stato compiuto sulla velocità dei DDoS. Gli hacker al giorno d'oggi usano tattiche più rapide: è il caso degli attacchi DDoS stop and go, interrotti dopo pochi minuti e ripresi ad intervalli regolari, rendendo così meno efficaci i sistemi di protezione.
Oltre alla velocità è importante capire che i pirati informatici possono colpire anche servizi ed infrastrutture insospettabili come quelle dedicate ai videogiochi o alle criptovalute, senza dimenticare i server d'accesso ai servizi bancari e ai servizi di pubblica amministrazione, rendendo impossibile accedere ad essi finché il DDoS attack non è mitigato.
Consigli finali
Gli attacchi DDoS non sono diretti solo i server aziendali o le grandi reti connesse ad Internet: possono colpire qualsiasi tipo di utente che troverà rallentamenti e blocchi della connessione sia sui computer sia sui dispositivi mobile. Questo perché l'attacco è diretto (nella maggior parte dei casi) verso la larghezza di banda massima supportata dalla connessione in uso, saturandola velocemente e impedendo ulteriori nuove connessioni.
Per fortuna è possibile utilizzare una suite di sicurezza come Kaspersky per contrastare e impedire nuovi attacchi di questo tipo, specie se ci si connette spesso a reti esposte pubblicamente per giocare online o per l'accesso a servizi personali (banking online o e-shopping).