Traffic flood
Le botnet vengono utilizzate per creare un flood HTTP o HTTPS. La botnet dei computer viene utilizzata per inviare richieste HTTP o HTTPS legittime per attaccare e sopraffare un server Web. HTTP-abbreviazione di HyperText Transfer Protocol-è il protocollo che controlla il modo in cui i messaggi vengono formattati e trasmessi. Una richiesta HTTP può essere una richiesta GET o una richiesta POST., Ecco la differenza:
- Una richiesta GET è quella in cui le informazioni vengono recuperate da un server.
- Una richiesta POST è quella in cui le informazioni vengono richieste per essere caricate e memorizzate. Questo tipo di richiesta richiede un maggiore utilizzo delle risorse da parte del server web di destinazione.
Mentre i flood HTTP che utilizzano le richieste POST utilizzano più risorse del server Web, i flood HTTP che utilizzano le richieste GET sono più semplici e facili da implementare.
Gli attacchi DDoS possono essere acquistati sui mercati neri
Assemblare le botnet necessarie per condurre attacchi DDoS può essere lungo e difficile.,
I criminali informatici hanno sviluppato un modello di business che funziona in questo modo: i criminali informatici più sofisticati creano botnet e li vendono o li affittano a criminali informatici meno sofisticati sul dark web — quella parte di Internet in cui i criminali possono acquistare e vendere beni come botnet e numeri di carta di credito rubati in forma anonima.
Il dark web è di solito accessibile tramite il browser Tor, che fornisce un modo anonimo per cercare in Internet. Le botnet sono affittate sul dark web per un minimo di un paio di centinaia di dollari., Vari siti web oscuri vendono una vasta gamma di beni illegali, servizi e dati rubati.
In qualche modo, questi siti web oscuri operano come rivenditori online convenzionali. Possono fornire garanzie ai clienti, sconti e valutazioni degli utenti.
Quali sono i sintomi di un attacco DDoS?
Gli attacchi DDoS hanno sintomi definitivi. Il problema è che i sintomi sono così simili ad altri problemi che potresti avere con il tuo computer-che vanno da un virus a una connessione Internet lenta — che può essere difficile da dire senza una diagnosi professionale., I sintomi di un attacco DDoS sono:
- Lento l’accesso ai file, sia localmente che da remoto
- Un lungo periodo impossibilità di accedere a un particolare sito web
- disconnessione da Internet
- Problemi di accesso a tutti i siti web
- Eccessiva quantità di email di spam
la Maggior parte di questi sintomi possono essere difficili da identificare come insolito. Anche così, se due o più si verificano per lunghi periodi di tempo, si potrebbe essere vittima di un DDoS.,
Tipi di attacchi DDoS
Gli attacchi DDoS generalmente consistono in attacchi che rientrano in una o più categorie, con alcuni attacchi più sofisticati che combinano attacchi a vettori diversi. Queste sono le categorie:
- Attacchi basati sul volume. Questi inviano enormi quantità di traffico per sopraffare la larghezza di banda di una rete.
- Attacchi di protocollo. Questi sono più focalizzati e sfruttano le vulnerabilità nelle risorse di un server.
- Attacchi alle applicazioni. sono la forma più sofisticata di attacchi DDoS, concentrandosi su particolari applicazioni web.,
Ecco uno sguardo più da vicino a diversi tipi di attacchi DDoS.
Attacchi di connessione TCP
Attacchi di connessione TCP o SYN Flood sfruttano una vulnerabilità nella sequenza di connessione TCP comunemente chiamata connessione handshake a tre vie con l’host e il server.
Ecco come. Il server di destinazione riceve una richiesta per iniziare l’handshake. In un SYN Flood, la stretta di mano non viene mai completata. Ciò lascia la porta connessa occupata e non disponibile per elaborare ulteriori richieste., Nel frattempo, il criminale informatico continua a inviare sempre più richieste travolgendo tutte le porte aperte e spegnendo il server.
Attacchi alle applicazioni
Gli attacchi a livello di applicazione — a volte indicati come attacchi a livello 7 — colpiscono le applicazioni della vittima dell’attacco in modo più lento. In questo modo, possono inizialmente apparire come richieste legittime da parte degli utenti, fino a quando non è troppo tardi, e la vittima è sopraffatto e in grado di rispondere. Questi attacchi sono rivolti al livello in cui un server genera pagine Web e risponde alle richieste http.,
Spesso, gli attacchi a livello di applicazione sono combinati con altri tipi di attacchi DDoS rivolti non solo alle applicazioni, ma anche alla rete e alla larghezza di banda. Gli attacchi a livello di applicazione sono particolarmente minacciosi. Perché? Sono poco costosi da utilizzare e più difficili da rilevare per le aziende rispetto agli attacchi focalizzati sul livello di rete.
Attacchi di frammentazione
Gli attacchi di frammentazione sono un’altra forma comune di attacco DDoS., Il cybercriminal sfrutta le vulnerabilità nel processo di frammentazione dei datagrammi, in cui i datagrammi IP sono divisi in pacchetti più piccoli, trasferiti attraverso una rete e quindi riassemblati. In attacchi di frammentazione, pacchetti di dati falsi in grado di essere riassemblati, sopraffare il server.
In un’altra forma di attacco a frammentazione chiamato attacco a goccia, il malware inviato impedisce che i pacchetti vengano riassemblati. La vulnerabilità sfruttata negli attacchi a goccia è stata patchata nelle versioni più recenti di Windows, ma gli utenti di versioni obsolete sarebbero ancora vulnerabili.,
Attacchi volumetrici
Gli attacchi volumetrici sono la forma più comune di attacchi DDoS. Usano una botnet per inondare la rete o il server di traffico che sembra legittimo, ma travolge le capacità della rete o del server di elaborazione del traffico.
Tipi di amplificazione DDoS
In un attacco di amplificazione DDoS, i criminali informatici sopraffanno un server DNS (Domain Name System) con quelle che sembrano richieste legittime di servizio., Utilizzando varie tecniche, il criminale informatico è in grado di ingrandire le query DNS, attraverso una botnet, in un’enorme quantità di traffico mirato alla rete mirata. Questo consuma la larghezza di banda della vittima.
Chargen Reflection
Una variante di un attacco di amplificazione DDoS sfrutta Chargen, un vecchio protocollo sviluppato nel 1983. In questo attacco, piccoli pacchetti contenenti un IP falsificato della vittima mirata vengono inviati ai dispositivi che operano Chargen e fanno parte dell’Internet delle cose. Ad esempio, molte fotocopiatrici e stampanti connesse a Internet utilizzano questo protocollo., I dispositivi quindi inondano la destinazione con i pacchetti UDP (User Datagram Protocol) e la destinazione non è in grado di elaborarli.
DNS Reflection
Gli attacchi DNS Reflection sono un tipo di attacco DDoS che i criminali informatici hanno usato molte volte. La suscettibilità a questo tipo di attacco è generalmente dovuta a consumatori o aziende che hanno router o altri dispositivi con server DNS configurati in modo errato per accettare query da qualsiasi luogo anziché server DNS configurati correttamente per fornire servizi solo all’interno di un dominio attendibile.,
I criminali informatici inviano quindi query DNS falsificate che sembrano provenire dalla rete del bersaglio, quindi quando i server DNS rispondono, lo fanno all’indirizzo mirato. L’attacco viene amplificato interrogando un gran numero di server DNS.
Scopri la mappa degli attacchi digitali DDoS
La mappa degli attacchi digitali è stata sviluppata da Arbor Networks ATLAS global threat intelligence system. Utilizza i dati raccolti da oltre 330 clienti ISP che condividono in modo anonimo il traffico di rete e le informazioni sugli attacchi
Dai un’occhiata alla mappa degli attacchi digitali., Ti consente di vedere su una mappa globale dove si verificano attacchi DDoS con informazioni aggiornate ogni ora.
Come proteggersi dagli attacchi Distributed Denial of Service
Proteggersi da un attacco DDoS è un compito difficile. Le aziende devono pianificare per difendere e mitigare tali attacchi. Determinare le vulnerabilità è un elemento iniziale essenziale di qualsiasi protocollo di protezione.
Metodo 1: Agire rapidamente
Prima viene identificato un attacco DDoS in corso, più facilmente il danno può essere contenuto., Le aziende dovrebbero utilizzare tecnologia o servizi anti-DDoS che possono aiutarti a riconoscere picchi legittimi nel traffico di rete e un attacco DDoS.
Se trovi che la tua azienda è sotto attacco, dovresti avvisare il tuo provider ISP il prima possibile per determinare se il tuo traffico può essere reindirizzato. Avere un ISP di backup è anche una buona idea. Inoltre, considera i servizi che disperdono l’enorme traffico DDoS tra una rete di server rendendo l’attacco inefficace.,
I fornitori di servizi Internet utilizzeranno il routing del buco nero che indirizza il traffico in un percorso nullo a volte indicato come un buco nero quando si verifica un traffico eccessivo, mantenendo così il sito Web o la rete di destinazione in crash, ma lo svantaggio è che sia il traffico legittimo che illegittimo viene reindirizzato in questo modo.
Metodo 2: Configurare firewall e router
I firewall e i router devono essere configurati per rifiutare il traffico fasullo e si dovrebbe mantenere i router e i firewall aggiornati con le ultime patch di sicurezza. Questi rimangono la vostra linea di difesa iniziale.,
Applicazione hardware front-end che è integrato nella rete prima che il traffico raggiunge un server analizza e schermi pacchetti di dati classificando i dati come priorità, regolare o pericoloso in quanto entrano in un sistema e può essere utilizzato per bloccare i dati minacciosi.