Un attacco DoS (Denial of Service) si propone di impedire l’uso di una risorsa di rete, ad esempio un sito web.

Quando all’attacco partecipano molti sistemi, spesso dell’ordine di decine di migliaia, si parla di DDoS (Distributed DoS): è facile capire perché sia molto più devastante e difficile da bloccare.

I partecipanti sono di solito nodi compromessi, che agiscono direttamente sulla vittima principale (anche loro naturalmente sono vittime, ma secondarie) o tramite server mal configurati: in questo caso si parla di DRDoS (Distributed Reflected DoS). Tanto per dare un’idea della rilevanza del fenomeno, secondo Arbor Network [v.gd/ P8MDJE] per i primi 9 mesi del 2013: il 54% degli attacchi ha superato 1 Gb/s (33% nel 2012), il 37% era tra 2 e 10 Gb/s (15% nel 2012), per un valore medio di 2.64 Gb/s (+78% rispetto al 2012), con un massimo verificato di 191 Gb/s (altre fonti parlano di 300 Gb/s).

Attacchi DDoS sono utilizzati per distrarre l’attenzione da altre attività criminali simultanee, ad esempio truffe bancarie, oppure contro istituzioni governative o finanziare, come quelli rivendicati da Anonymous, o anche contro siti di e-commerce per motivi di concorrenza. Da un punto di vista tassonomico si possono distinguere tre tipologie: attacchi volumetrici, che cercano di saturare la banda della vittima, attacchi di protocollo, che consumano le risorse del server e attacchi a livello applicativo, ad esempio saturando di richieste un server web. Spesso i tre tipi sono mescolati.

Tra gli attacchi volumetrici i più utilizzati sono gli UDP e ICMP flood, in cui vengono inviati un gran numero di pacchetti udp o icmp (di solito ”ping“) che hanno il doppio risultato di saturare la banda del ricevente e le sue risorse, quando cerca di elaborare i dati in arrivo. Si noti anche che il mittente è praticamente sempre falsificato, con il risultato che nodi del tutto innocenti ricevono risposte a pacchetti che non hanno inviato. Gli attacchi di protocollo sfruttano caratteristiche dei protocolli IP. Il più utilizzato è il SYN flood, in cui la vittima viene subissata da un gran numero di richieste di apertura di connessioni TCP (pacchetti SYN), che non vengono concluse perché il pacchetto di risposta è inviato al mittente falsificato, lasciando così impegnate le risorse del server, fino a bloccarlo completamente.

Secondo Prolexic [v.gd/Cq9hZi], nel terzo trimestre di questo anno, gli attacchi dei primi due tipi erano circa il 75.5% del totale, di cui un 18% di SYN flood. Un ultimo tipo di attacco di cui voglio parlare perché purtroppo ci vede come parte attiva è il DRDoS, in cui, oltre ai nodi compromessi, si sfruttano servizi mal configurati su altre macchine: ultimamente molto utilizzati sono SNMP, DNS e CHARGEN (oltre il 12% del totale secondo Prolexic). Il concetto è semplice: si invia al server una richiesta il cui mittente (falsificato) è la vittima principale, che riceve una risposta, non richiesta, molto più grande del pacchetto originario. In altri termini, il server mal configurato funge da amplificatore dell’attacco. Maggiori informazioni sul sito di GARR-CERT . Sul sito www.digitalattackmap.com trovate la mappa in tempo reale di alcuni degli attacchi in corso.