Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy

Che cos'è un attacco DDoS?

Scritto da Roberto Cecchini Il . Inserito in risponde cecchini . Visite: 21623

Che cos'è un attacco DDoS?

Un attacco DoS (Denial of Service) si propone di impedire l’uso di una risorsa di rete, ad esempio un sito web. Quando all’attacco partecipano molti sistemi, spesso dell’ordine di decine di migliaia, si parla di DDoS (Distributed DoS): è facile capire perché sia molto più devastante e difficile da bloccare.

I partecipanti sono di solito nodi compromessi, che agiscono direttamente sulla vittima principale (anche loro naturalmente sono vittime, ma secondarie) o tramite server mal configurati: in questo caso si parla di DRDoS (Distributed Reflected DoS). Tanto per dare un’idea della rilevanza del fenomeno, secondo Arbor Network [v.gd/ P8MDJE] per i primi 9 mesi del 2013: il 54% degli attacchi ha superato 1 Gb/s (33% nel 2012), il 37% era tra 2 e 10 Gb/s (15% nel 2012), per un valore medio di 2.64 Gb/s (+78% rispetto al 2012), con un massimo verificato di 191 Gb/s (altre fonti parlano di 300 Gb/s).

Attacchi DDoS sono utilizzati per distrarre l’attenzione da altre attività criminali simultanee, ad esempio truffe bancarie, oppure contro istituzioni governative o finanziare, come quelli rivendicati da Anonymous, o anche contro siti di e-commerce per motivi di concorrenza. Da un punto di vista tassonomico si possono distinguere tre tipologie: attacchi volumetrici, che cercano di saturare la banda della vittima, attacchi di protocollo, che consumano le risorse del server e attacchi a livello applicativo, ad esempio saturando di richieste un server web. Spesso i tre tipi sono mescolati.

Tra gli attacchi volumetrici i più utilizzati sono gli UDP e ICMP flood, in cui vengono inviati un gran numero di pacchetti udp o icmp (di solito ”ping“) che hanno il doppio risultato di saturare la banda del ricevente e le sue risorse, quando cerca di elaborare i dati in arrivo. Si noti anche che il mittente è praticamente sempre falsificato, con il risultato che nodi del tutto innocenti ricevono risposte a pacchetti che non hanno inviato. Gli attacchi di protocollo sfruttano caratteristiche dei protocolli IP. Il più utilizzato è il SYN flood, in cui la vittima viene subissata da un gran numero di richieste di apertura di connessioni TCP (pacchetti SYN), che non vengono concluse perché il pacchetto di risposta è inviato al mittente falsificato, lasciando così impegnate le risorse del server, fino a bloccarlo completamente.

Secondo Prolexic [v.gd/Cq9hZi], nel terzo trimestre di questo anno, gli attacchi dei primi due tipi erano circa il 75.5% del totale, di cui un 18% di SYN flood. Un ultimo tipo di attacco di cui voglio parlare perché purtroppo ci vede come parte attiva è il DRDoS, in cui, oltre ai nodi compromessi, si sfruttano servizi mal configurati su altre macchine: ultimamente molto utilizzati sono SNMP, DNS e CHARGEN (oltre il 12% del totale secondo Prolexic). Il concetto è semplice: si invia al server una richiesta il cui mittente (falsificato) è la vittima principale, che riceve una risposta, non richiesta, molto più grande del pacchetto originario. In altri termini, il server mal configurato funge da amplificatore dell’attacco. Maggiori informazioni sul sito di GARR-CERT . Sul sito www.digitalattackmap.com trovate la mappa in tempo reale di alcuni degli attacchi in corso.

 

 

GARR News - Testata semestrale registrata al Tribunale di Roma: n. 243/2009 del 21 luglio 2009

Il contenuto di questo sito e' rilasciato, tranne dove altrimenti indicato,
secondo i termini della licenza Creative Commons attribuzione - Non commerciale Condividi allo stesso modo 3.0 Italia

GARR News è edito da Consortium GARR, La rete Italiana dell'Università e della Ricerca


GARR News n°9 - Novembre 2013 - Tiratura: 7000 copie - Chiuso in redazione: 6 Dicembre 2013
Redazione GARR News
Hanno collaborato a questo numero: Alessandro Andretto, Claudio Barchesi, Maria Ludovica Bitonti, Mauro Campanella, Massimo Del Sarto, Fulvio Galeazzi, Mara Gualandi, Maria Laura Mantovani, Mario Santamaria, Laura Santoro, Francesca Scianitti


 

Abbiamo 98 visitatori e nessun utente online