Come DDoS | Strumenti per attacchi DoS e DDoS

by admin Leave Comment

Cosa sono gli attacchi DoS e DDoS?

Gli attacchi DoS (Denial-of-Service) e DDoS (Distributed Denial-of-Service) sono tentativi maligni di interrompere le normali operazioni di un server, servizio o rete mirati, sommergendolo con un flusso di traffico Internet.

Gli attacchi DoS realizzano questa interruzione inviando traffico maligno da una singola macchina – in genere un computer. Possono essere molto semplici; un attacco ping flood di base può essere realizzato inviando più richieste ICMP (ping) a un server mirato di quanto sia in grado di elaborare e rispondere in modo efficiente.

Gli attacchi DDoS, nel frattempo, utilizzano più di una macchina per inviare traffico dannoso al loro obiettivo. Spesso, queste macchine fanno parte di una botnet – una collezione di computer o altri dispositivi che sono stati infettati con malware e possono quindi essere controllati a distanza da un singolo attaccante. In altre circostanze, più aggressori individuali lanciano attacchi DDoS lavorando insieme per inviare traffico dai loro singoli computer.

Gli attacchi DDoS sono più prevalenti e dannosi nell’Internet moderno per due motivi. Primo, i moderni strumenti di sicurezza si sono evoluti per fermare alcuni attacchi DoS ordinari. In secondo luogo, gli strumenti di attacco DDoS sono diventati relativamente economici e facili da usare.

Come sono classificati gli strumenti di attacco DoS/DDoS?

Esistono diversi strumenti che possono essere adattati per lanciare attacchi DoS/DDoS, o sono esplicitamente progettati per questo scopo. La prima categoria è spesso “”stressors”” – strumenti con lo scopo dichiarato di aiutare i ricercatori di sicurezza e gli ingegneri di rete ad eseguire stress test contro le loro reti, ma che possono anche essere utilizzati per eseguire attacchi genuini.

Alcuni sono specializzati e si concentrano solo su un particolare livello del modello OSI, mentre altri sono progettati per consentire più vettori di attacco. Le categorie di strumenti di attacco includono:

Strumenti di attacco bassi e lenti

Come implica il nome, questi tipi di strumenti di attacco utilizzano un basso volume di dati e operano molto lentamente. Progettati per inviare piccole quantità di dati attraverso connessioni multiple al fine di mantenere le porte di un server mirato aperte il più a lungo possibile, questi strumenti continuano ad occupare le risorse del server finché non è in grado di mantenere ulteriori connessioni. Unicamente, gli attacchi bassi e lenti possono a volte essere efficaci anche quando non utilizzano un sistema distribuito come una botnet e sono comunemente utilizzati da una singola macchina.

Strumenti di attacco al livello applicazione (L7)

Questi strumenti prendono di mira il livello 7 del modello OSI, dove avvengono le richieste basate su Internet come HTTP. Utilizzando un attacco HTTP flood per sommergere un obiettivo con richieste HTTP GET e POST, un attore malintenzionato può lanciare un traffico di attacco che è difficile da distinguere dalle normali richieste fatte dai visitatori reali.

Strumenti di attacco a livello di protocollo e trasporto (L3/L4)

Andando più in basso nello stack del protocollo, questi strumenti utilizzano protocolli come UDP per inviare grandi volumi di traffico a un server mirato, come durante un flood UDP. Anche se spesso inefficaci individualmente, questi attacchi si trovano tipicamente sotto forma di attacchi DDoS dove il beneficio di ulteriori macchine attaccanti aumenta l’effetto.

Quali sono gli strumenti di attacco DoS/DDoS comunemente usati?

Alcuni strumenti comunemente usati includono:

Low Orbit Ion Cannon (LOIC)

Il LOIC è un’applicazione di stress test open-source. Permette di effettuare attacchi a livello di protocollo TCP e UDP utilizzando un’interfaccia WYSIWYG facile da usare. A causa della popolarità dello strumento originale, sono stati creati dei derivati che permettono di lanciare attacchi utilizzando un browser web.

High Orbit Ion Cannon (HOIC)

Questo strumento di attacco è stato creato per sostituire il LOIC espandendo le sue capacità e aggiungendo personalizzazioni. Utilizzando il protocollo HTTP, l’HOIC è in grado di lanciare attacchi mirati che sono difficili da mitigare. Il software è progettato per avere un minimo di 50 persone che lavorano insieme in uno sforzo di attacco coordinato.

Slowloris

Slowloris è un’applicazione progettata per provocare un attacco basso e lento su un server mirato. Ha bisogno di una quantità relativamente limitata di risorse per creare un effetto dannoso.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. è un altro strumento di attacco basso e lento progettato per consentire all’utente di lanciare facilmente attacchi utilizzando una semplice interfaccia point-and-click. Aprendo più richieste HTTP POST e poi mantenendo quelle connessioni aperte il più a lungo possibile, l’attacco mira a sopraffare lentamente il server mirato.

Come posso difendermi dagli strumenti DoS/DDoS?

Siccome gli attacchi DoS e DDoS hanno una varietà di forme, mitigarli richiede una varietà di tattiche. Le tattiche comuni per fermare gli attacchi DDoS includono:

  • Limitazione del tasso: Limitare il numero di richieste che un server accetterà in una certa finestra temporale
  • Firewall per applicazioni web: Strumenti che filtrano il traffico web in base a una serie di regole
  • Diffusione della rete anycast: Posizionamento di una grande rete cloud distribuita tra un server e il traffico in entrata, fornendo risorse di calcolo aggiuntive con cui rispondere alle richieste.

Cloudflare applica tutte queste strategie e altre ancora per difendersi dai più grandi e complessi attacchi DoS e DDoS. Per saperne di più sulla protezione DDoS di Cloudflare e come funziona.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.