Come funziona un attacco DDoS?

L’attacco DDoS è uno dei più conosciuti in ambito Web o informatico. E’ in grado di mettere fuori uso un sito web in pochi secondi. Ma esattamente come funziona?

Il termine DDoS sta per Distributed Denial of Service (conosciuto anche semplicemente come DoS) e sta ad indicare un attacco informatico che in poco tempo esaurisce le risorse di un sistema, mandandolo in crash. Tempo fa parlammo del più grande attacco DDoS della storia, tramite l’invio di 1Tbps di dati distribuiti su tre invii.

Bisogna considerare che ogni singolo sito web è in grado di gestire un numero limitato di pacchetti dati e di utenti. Ciò dipende soprattutto dall’hosting web che fornisce i servizi al dominio. Per questo molto spesso è necessario scegliere un hosting efficiente se si ha un sito parecchio visitato.

Un attacco DDoS quindi è in grado di inviare al sito un numero di pacchetti (richieste) talmente elevato da non poter essere gestito e quindi il sito diventa irraggiungibile. Sono tanti i casi di attacco DDoS nel mondo. Persino il sito di Tom’s Hardware è stato colpito qualche tempo fa e ci è voluto qualche giorno prima che la situazione tornasse alla normalità.

L’attacco DDoS viene accomunato solitamente ad azioni criminali e coinvolge soprattutto siti di istituzioni e governi. Però è possibile anche che derivi da problemi di configurazione del sito stesso. Solitamente gli attacchi vengono inizializzati dai cosiddetti cracker, più comunemente noti come Black Hat Hacker.

Ma esattamente a livello pratico come funziona un attacco DDoS?

[adsense]

Funzionamento di un attacco DDoS

Schema semplificato di un attacco DDoS

L’immagine sopra spiega in maniera semplificata il funzionamento di un attacco DDoS. Nel caso di un DoS, l’host (singolo) può interagire direttamente con l’utente finale (primo livello) o sfruttare inconsapevolmente altre vittime (secondo livello) per arrivare al suo obiettivo primario. Se si tratta di un DDoS, invece, l’hacker sfrutta numerosi dispositivi connessi contemporaneamente, creando la cosiddetta botnet.

Una botnet è una rete di dispositivi affetta da malware o Trojan, che possono eseguire una specifica azione dettata dal botmaster, ossia l’hacker principale. Nel caso di un DDoS, lo scopo della botnet è quello di inviare pacchetti dati di grandi dimensioni contemporaneamente ad un singolo sito web. In questo modo viene completamente saturata la capacità fisica del sito, mandandolo completamente in tilt. L’attacco DDoS può consistere non solo nell’invio di numerosi pacchetti dati contemporaneamente ma anche di richieste multiple DNS o TCP/IP.

Le botnet possono essere utilizzate anche per altri scopi, come l’infezione di altri dispositivi, che diventano anch’essi parte della botnet o il furto di dati sensibili tramite scam o phishing. Immaginate una botnet di soli 4 dispositivi quanto possa essere pericolosa. Se ogni dispositivo infetto colpisce anche solo 4 dispositivi, si arriva già a 16 dispositivi nella botnet. Se questi 16 ne colpiscono altri 4 per ogni dispositivo si arriva a 64 e così via. Dunque basterebbe pochissimo tempo per creare una gigantesca botnet che possa colpire qualsiasi sistema informatico in pochi secondi.

Come proteggersi dagli attacchi DDoS

Se avete un sito web abbastanza seguito, è doveroso proteggersi adeguatamente contro gli attacchi DDoS. Lo strumento più utilizzato è la CDN (Content Delivery Network).

La CDN innanzitutto permette di archiviare la cache del vostro sito web in vari server sparsi in tutto il mondo, in maniera tale che i contenuti possano essere accessibili più velocemente anche da utenti dall’altra parte del mondo. Se il vostro sito web ha importanza mondiale o internazionale, è utile utilizzare una CDN in modo che se un utente esegue una richiesta sul sito, tale richiesta viene elaborata dal server più vicino rispetto alla posizione dell’utente.

Ma la funzione principale per cui si utilizza la CDN è la protezione contro gli attacchi DDoS. Come può una CDN proteggere dagli attacchi DDoS. Semplice. La CDN è una rete di nodi che disloca e mitiga i pacchetti in diverse parti del mondo. Per cui è molto più semplice verificare eventuali richieste sospette e bloccarle preventivamente prima che arrivino a destinazione. Uno dei servizi più noti è sicuramente CloudFlare.

Abbonamenti CloudFlare

CloudFlare offre diversi abbonamenti per la protezione dei siti web. Per chi possiede un blog personale, è possibile sottoscrivere un abbonamento gratuito. Questo è sicuramente un punto a favore per chi cerca una protezione sicura senza dover pagare un canone mensile. CloudFlare inoltre è distribuito in ben 19 server posizionati in tutto il mondo, per cui la protezione è ottima. Sicuramente non è il migliore, però per essere gratuito offre sicuramente tutto ciò di cui si ha bisogno per proteggersi dagli attacchi DDoS.