Blog

Attacchi DDoS: cosa sono e come difendersi 1

Attacchi DDoS: cosa sono e come difendersi

Il nuovo mondo digitale si sta evolvendo molto velocemente e porta con sé, oltre ai molti vantaggi, diversi pericoli tra cui spiccano sempre più gli attacchi DDoS. Nell’era del dominio incontrastato di internet, quindi, non sono solo furti di credenziali di accesso e phishing tramite e-mail a preoccupare, ma anche fenomeni meno conosciuti che però stanno assumendo proporzioni davvero preoccupanti.

La incredibile diffusione della banda larga e dei dispositivi connessi alla rete degli ultimi anni, non ha fatto altro che amplificare queste attività cybercriminali, che sfruttano le scarse conoscenze di utenti e professionisti del web in termini di cybersecurity per amplificare le loro possibilità di successo.

Nel mirino degli hacker non ci sono solo gli utenti finali del web, come comunemente si crede, ma anche i titolari di siti web e e-commerce, che rischiano di vedere il proprio business online seriamente danneggiato.

Tra i diversi modi per migliorare la sicurezza di un sito web, è dunque ormai fondamentale conoscere anche quelli che ti possono aiutare a difenderti da attacchi DDoS, per evitare di capitare in queste situazioni spiacevoli.

Cos’è un attacco DDoS

L’acronimo DoS (Denial of Service) è utilizzato per indicare una mancanza di funzionamento di una risorsa di rete, come un sito web o un web server, generata da un attacco informatico. Quando l’aggressione che inibisce la corretta erogazione dei servizi proviene da molte fonti differenti, si parla di DDoS (Distributed Denial of Service).

Questa tipologia di attacco informatico viene prodotto infettando preventivamente un numero elevato di computer (migliaia) definiti “zombie” che, entrando a far parte di una botnet, vengono successivamente “attivati” per inondare il server bersaglio di richieste di connessione.

I sistemi informatici di rete hanno delle specifiche caratteristiche che determinano il numero di richieste massimo che sono in grado di soddisfare contemporaneamente. Inoltre il canale che connette il server a Internet ha una determinata capacità, denominata larghezza di banda. Quando un attacco DDoS genera un numero di richieste tali da superare la capacità massima di uno dei componenti dell’infrastruttura informatica, la continuità del servizio non viene più garantita rallentando parte delle risposte alle richieste e ignorandone completamente altre.

Quelli di tipo DDoS sono tra gli attacchi più efficaci e difficili da fermare e sono solitamente usati per truffe ai danni di istituzioni governative e finanziare o di siti e-commerce. Non di rado, gli autori di queste aggressioni informatiche richiedono il pagamento di un vero e proprio “riscatto” in cambio della loro interruzione.

Tipologie di attacchi DDoS

Le tipologie di attacchi DDoS sono numerose e sono sempre in costante mutamento, specialmente negli ultimi anni. Nello specifico, recentemente i cybercriminali non sembrano più preferire un numero esiguo di aggressioni prolungate ma frequenti e veloci attacchi, per non dare modo alle vittime di avere il tempo di riprendersi tra un attacco e l’altro.

Nonostante le diverse tipologie esistenti, gli attacchi DDoS possono essere ricondotti principalmente a tre categorie differenti:

  1. attacchi per sovraccarico di banda;
  2. attacchi per sovraccarico di risorse del sistema;
  3. attacchi per sfruttamento di errori e falle di sicurezza.

Attacchi per sovraccarico di banda

Uno dei modi più utilizzati per rendere un server non raggiungibile è quello di sovraccaricare la banda, cioè saturare la capacità di trasmissione di dati informativi. Se a seguito di un attacco DDoS questa capacità massima viene superata, i servizi offerti da una specifica risorsa di rete non saranno più disponibili per gli utenti che tentano di accedervi.

Il più comune attacco DDoS per sovraccarico di banda è il Ping flood (o ICMP flood), con cui un cybercriminale manda fuori uso un sito web o web server con richieste di eco ICMP (o ping).

Il ping si esegue per verificare se è possibile accedere ad una determinata risorsa di rete, inviandogli un piccolo pacchetto di informazioni che questa a sua volta restituirà. Con il Ping Flooding avviene invece una inondazione di richieste ping, a cui farà seguito una automatica enorme risposta di pacchetti di dati tale da saturare la larghezza di banda della rete del sistema, provocando una negazione del servizio.

Attacchi per sovraccarico di risorse del sistema

Tramite gli attacchi DDoS che mirano a sovraccaricare le risorse del sistema, viene sfruttato il fatto che un server web server può instaurare solo un numero limitato di connessioni. Se questo viene superato, i servizi messi a disposizione dal server diventeranno irraggiungibili. Le più comuni aggressioni di questo tipo sono:

  1. HTTP flooding: si tratta di lecite richieste HTTP POST o GET che sovraccaricano permanentemente l’applicazione web o il server rendendoli inaccessibili.
  2. SYN flooding: in una connessione TCP (Transmission Control Protocol), il client e il server scambiano una serie di messaggi denominati “three-way handshake”. Un SYN flood interrompe il three-way handshake inviando più richieste (SYN) da falsi indirizzi IP o semplicemente non rispondendo alla risposta (SYN-ACK) del server. Quest’ultimo continua così ad attendere l’ultima risposta (ACK) del three-way handshake rifiutando qualsiasi altra nuova connessione (seppur legittima).
  3. UDP flooding: in un attacco tramite connessione client/server di tipo UDP (User Datagram Protocol), l’autore invia pacchetti di dati con informazioni false che la risorsa di rete non sarà in grado di associare alle applicazioni corrette, restituendo un messaggio di errore. Attività di questo tipo effettuate su larga scala, sovraccaricano il sistema che smetterà di rispondere.

Attacchi per sfruttamento di errori e falle di sicurezza

Particolare è invece il caso di attacchi DDoS perpetrati sfruttando errori o determinate falle di sicurezza di software, come l’ormai storico Ping of Death.

Il Ping of Death può essere paragonato ad una “bomba di dati” costituita da un pacchetto ICMP più grande del limite consentito, frammentato in tanti piccoli pacchetti di dati per assicurarsi un efficace trasporto. Questi piccoli pacchetti, contenendo informazioni errate per la loro ricostruzione, ingannano alcuni sistemi operativi che si ritroveranno a ricostruire pacchetti IP più grandi delle dimensioni massime consentite di 64 KB. Questo “buffer overflow” blocca i sistemi non protetti generando un Denial of Service.

Come proteggere il tuo sito web dagli attacchi DDoS

Funzionamento della CDN di Cloudflare

Il miglior modo per difendere il tuo sito web da attacchi DDoS è quello di attivare un servizio di CDN (Content Delivery Network) come quello di Cloudflare offerto da Netsons.

Si tratta di una rete di server collegati tra loro per ottimizzare la distribuzione dei contenuti di un sito web. Funzionando da caching reverse proxy, i server di Cloudflare si frappongono tra il visitatore e il server Netsons che ospita il sito web, proteggendolo da attacchi DDoS fino a livello 7.

La rete basata su Cloudflare attiva 24/7/365, inoltre, costituisce un ottimo modo di migliorare la velocità di caricamento un sito web, diminuendone drasticamente i tempi di risposta attraverso il salvataggio dei contenuti nella cache dei server edge presenti in più di 100 datacenter sparsi per il mondo e attraverso la loro distribuzione veloce su Internet. Questo permetterà al tuo sito web di migliorare la SEO scalando le più alte posizioni di ranking su Google, essendo la velocità del sito web uno dei principali fattori di posizionamento sui motori di ricerca.

Puoi utilizzare la versione gratuita di Cloudflare su tutti i nostri piani di Hosting, che troverai già installata di default sui nostri piani di Hosting SSD e Cloud hosting.

Se hai bisogno di avere funzionalità di sicurezza avanzate, scegliendo Cloudflare PRO potrai proteggere ulteriormente il tuo sito web tramite il Web Application Firewall (WAF), che blocca gli attacchi dannosi che mirano a sfruttare le vulnerabilità (tra cui SQLi e XSS). Potrai inoltre configurare il servizio a tuo piacimento tramite un comodo pannello di gestione da noi creato.

Con Cloudflare avrai finalmente la sicurezza di cui il tuo sito web ha bisogno, filtrando gli attacchi DDoS e permettendo una navigazione rapida e sicura a tutti i tuoi clienti.