Che cos’è il Denial of Service (DoS)?

Un evento di denial of service (DoS) è un'azione cyber attack in cui gli hacker o i criminali informatici cercano di rendere una macchina host, un servizio online o una risorsa di rete non disponibile per gli utenti previsti. Distributed Denial of Service Gli attacchi possono essere il tipo di incidente di hacking più noto - gli attacchi DDoS di GitHub del 2018 e di Dyn del 2016 sono i più importanti - ma ci sono molti altri tipi di attacchi denial of service che non coinvolgono necessariamente l'approccio distribuito o botnet. In quasi tutti i casi, tuttavia, gli eventi di denial of service sono caratterizzati dal fatto che la macchina o il servizio bersaglio viene inondato dal traffico in entrata fino al punto in cui le risorse di elaborazione o di larghezza di banda vengono sopraffatte e messe offline.

Checkup della sicurezza Report sulla sicurezza 2021

What is Denial-of-Service (DoS)

Origini delle minacce di negazione del servizio

Negli attacchi denial of service convenzionali, l'hacker trasmette richieste multiple alla macchina o al servizio bersaglio con indirizzi Internet Protocol (IP) di ritorno fittizi. Quando il server tenta di autenticare questi indirizzi, incontra un'ondata di risposte con codice di errore, innescando una catena ricorrente di traffico SMTP che può saturare rapidamente il server. Allo stesso modo, con un Attacco Smurf, l'hacker trasmette i pacchetti a più host con un indirizzo IP falsificato appartenente a queste macchine target. Quando le macchine host riceventi rispondono, si inondano effettivamente di traffico di pacchetti di risposta.

 

In un SYN flood, un aggressore sfrutta il processo TCP 3-Way Handshake (SYN, SYN-ACK, ACK) per mettere offline un servizio. Nel 3-Way Handshake, il server A avvia un messaggio di richiesta di sincronizzazione TCP al server B. Alla ricezione della richiesta, l'host B (la macchina target) invia un pacchetto SYNchronize-ACKnowledgement al server A. È a questo punto che si verifica l'attacco di negazione del servizio. In uno scambio legittimo per stabilire una connessione socket TCP, il passo successivo sarebbe che l'host A inviasse un messaggio ACKnowledge all'host B, ma quando l'hacker che controlla l'host A impedisce che ciò avvenga, l'handshake non può essere completato. Il risultato è che l'host B ha una porta collegata che non è disponibile per ulteriori richieste. Quando l'aggressore invia richieste ripetute di questo tipo, tutte le porte disponibili sull'host B possono rapidamente bloccarsi e diventare non disponibili.

Minacce di negazione del servizio in continua evoluzione

Le inondazioni SYN, gli attacchi banana e altri tipi di hack DoS convenzionali sono ancora in uso oggi - e naturalmente, gli attacchi DDoS alimentati da botnet rimangono una minaccia costante. Ma negli ultimi anni gli hacker malintenzionati hanno ampliato il numero di macchine e servizi che prendono di mira e hanno esteso notevolmente la superficie di minaccia. Sempre più spesso, le organizzazioni vengono prese di mira da attacchi di "degradazione del servizio" di minore intensità, che infliggono costosi rallentamenti del servizio senza mettere completamente offline le risorse. Questo metodo di attacco è diventato sempre più comune, dato che sempre più organizzazioni si affidano ad Amazon Web Services (AWS) e a offerte cloud simili per alimentare le loro operazioni web.

 

Quando un grande rivenditore, un fornitore di servizi finanziari, un marchio di consumo o un'impresa commerciale simile ospita il proprio sito web su AWS, Microsoft Azure o un altro operatore cloud, l'accordo sarà regolato da un Accordo sul livello di servizio. In effetti, l'operatore del cloud, per un determinato prezzo, promette di mettere a disposizione le risorse di elaborazione, la larghezza di banda e l'infrastruttura di supporto necessarie a quel sito web per supportare X quantità di traffico web, dove X viene misurato come gigabyte di dati, numero di transazioni al dettaglio, ore di uptime e metriche correlate. Se il carico di traffico supera i livelli concordati, il che sarebbe positivo se il traffico è legittimo, il proprietario del sito web si vedrà addebitare una tariffa più alta. Questo processo è spesso completamente automatizzato, come nel caso di Amazon CloudWatch, che dispone di funzioni di autoscaling per aumentare o diminuire dinamicamente le risorse di elaborazione in base alle necessità.

Denigrazione costosa del servizio

Come si può immaginare, i cattivi attori possono inserirsi in queste relazioni dirigendo il traffico illegittimo verso un sito web di destinazione e aumentando facilmente il costo degli affari per un'organizzazione di destinazione. I server "zombie" che inviano raffiche di traffico intermittenti sono spesso utilizzati in questo tipo di attacco. Poiché i carichi di traffico in questione sono occasionali e non provengono ovviamente da una fonte dannosa, appaiono molto simili al traffico legittimo, il che significa che può essere estremamente difficile per il personale di Cyber Security scoprirli e bloccarli.

 

Un altro set di strumenti utilizzati in questo tipo di incidenti di negazione del servizio o di degrado del servizio sono le cosiddette applicazioni "stresser", originariamente progettate per aiutare i proprietari di siti web a identificare i punti deboli della loro infrastruttura web. Facili da ottenere e semplici da usare, queste applicazioni, tra cui WebHive, possono essere installate su più istanze cloud per costruire formidabili capacità DDoS. Coordinati insieme in questo modo, questi strumenti di attacco possono mettere offline grandi siti web commerciali per periodi prolungati.

Principali insegnamenti sul rifiuto del servizio

Gli attacchi di tipo Denial of Service si sono spostati e modificati nel corso degli anni, ma i danni provocati continuano ad aumentare. Un'indagine del Ponemon Institute sulle grandi imprese di diversi settori industriali ha rilevato che l'azienda tipica subisce quattro incidenti di denial-of-service all'anno e che il costo totale medio annuo per affrontare i DoS è di circa 1,5 milioni di dollari. Mettere in atto un'architettura di sicurezza che le consenta di rilevare, prevenire e rispondere agli attacchi DoS è un passo fondamentale in qualsiasi programma efficace Cyber Security.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK