DDos, Distributed Denial of Service, è un tipo speciale di DoS, Denial of Service, e si verifica quando un aggressore prende come target, generalmente un server, con un carico di traffico che il bersaglio non può gestire e di conseguenza mandandolo in errore.
Mentre un DoS coinvolge un’unica macchina che cerca di inviare a grande velocità una serie di 7/8 o più messaggi o pacchetti verso un bersaglio con richieste false, un DDoS comporta una botnet, ovvero una rete di computer infetti in cui viene installato un malware, permettendo all’attaccante di controllare tutti contro il suo obbiettivo.
Un DDoS é perciò più complicato da combattere e può durare giorni/settimane provocando un costo per la società mirata. Recentemente Microsoft si è difesa da un attacco DDoS da 3,47 Tbps, il più grande di sempre, ne parlano in questo articolo..
L’efficacia di questo attacco è elevata: basta pensare che una quantità di botnet cioè una rete di computer sufficienti a prendere una piccola azienda, possono essere acquistati per 150$ su alcuni mercati nel Darknet.
Vi sono diversi tipi di attacchi DDoS:
•Livello di applicazione DDoS
Un attacco “applicazione” é il flood ( in informatica vuol dire inviare a grande velocità di pacchetti o messaggi) di un server con una quantità enorme di richieste che richiedono grande carico di traffico. In questa categoria di attacchi sono inclusi gli HTTP flood attack e DNS query flood attacks.
•HTTP flood
HTTP flood è più difficile da impedire perché deve essere specificatamente creata rispetto al target in particolare ed utilizza una botnet di zombie per abbattere l’obbiettivo.
•DNS query flood
In questo tipo di attacco, il server DNS è il bersaglio. Il server DNS è resposabile della roadmap dei pacchetti di una determinata zona di una rete.
Un DNS query flood è un attacco simmetrico lanciato da molti zombie in una botnet ed appartiene alla classe degli attacchi UDP.
•Livello di rete DDoS
Questi sono grandi attacchi misurati in gigabit per secondo (Gbps) o pacchetti per secondo (PPS), passando da 20 a 200 Gbps nei casi peggiori. Il suo scopo è quello di occludere la pipeline alla webapplicazione che lo floodda con SYN o UDP
Questi a loro volta si dividono in 2 ulteriori livelli:
•SYN flood
Genera un flood di richieste di connessione al server, rendendolo incapace di rispondere. Si tratta di un avvelenamento a tre vie di handshake,che indirizza ogni porta del server con i pacchetti SYN. Il server attende i pacchetti SYN-ACK che però non arrivano mai, lasciando aperte una serie di connessioni.
•UDP flood
Il server viene floddato da richieste UDP a ogni porta. Essendo una destinazione non effettiva per molti di loro, il server risponde con “destinazioni non raggiungibili”. L’attaccante può ingannare l’indirizzo IP dei pacchetti UDP assicurandosi che il server non gli risponda. Andando avanti con l’attacco il server diventa sopraffatto e non risponde ai clienti.
Consigliamo per tanto anche se non è l’unica soluzione ma di proteggere sempre i propri siti web con una CDN, tipo cloudflare, facile da installare anche per i non esperti sopratutto per chi ha in gestione hosting condivisi e non può andare oltre a configurare il server. Di CDN ne esitono tantissime gratuite ed a pagamento, e cloudflare è ricca di personalizzazioni e in questo video viene spiegato passo passo la sua configurazione ed alcune regole tipo il blocco di alcuni paesi dove in tanti casi è una soluzione interessante.