What are DDoS attacks, how are they born and how to defend themselves

According to security experts from Akamai, one of the largest providers of CDN (Content Delivery Network) services in the world, it is the cyber threat par excellence. A sort of digital sword of Damocles that hangs over the heads of all Internet users.

In their quarterly report on the state of Internet security, the analysts of the U.S. company highlight how the number of DDoS attacks is growing period after period both in number and in magnitude and scope of the attacks themselves. The objective of the hackers is simple: to make unreachable the Network resources that are the object of the attack, be it a single web portal, a server or a DNS system. In most cases they do it for money; in some situations for fun; other times for good (in this case we talk about white-hat hackers). A loro fianco, comunque, troviamo una schiera di computer zombie raggruppati in una botnet pronti ad agire in qualunque istante.

Cosa sono gli attacchi DDoS

Acronimo di Distributed Denial of Service (interruzione distribuita del servizio, in italiano), l’attacco DDoS è un caso particolare di attacco DoS (semplicemente, denial-of-service). Lo scopo di un attacco DoS è quello di saturare le risorse (informatiche e di rete) di un sistema informatico che distribuisce diverse tipologie di servizio. Nell’ambito del networking, dunque, un attacco DoS punta a rendere irraggiungibile un sito o un server saturandone la banda di comunicazione.

attacco-1.jpg

Attacco informatico in corso

L’attacco DDoS, come lascia “intravedere” il nome, non è altro che un attacco DoS in grande, all’ennesima potenza. Anziché colpire un solo portale web o un piccolo server, un attacco DDoS punta a rendere irraggiungibili e inutilizzabili interi datacenter, reti di distribuzione dei contenuti o servizi DNS. Per far questo, gli hacker dietro un attacco DDoS sfruttano un maggior numero di direttrici e impiegano un quantitativo di risorse superiore rispetto a un “normale” attacco DoS. In questo modo si riesce a “neutralizzare” l’obiettivo nel giro di pochi secondi, causando danni che persistono nel tempo (da qualche ora ad alcuni giorni, a seconda della prontezza con cui si risponde all’offensiva).

Che cosa sono le botnet

La colonna portante di ogni attacco DDoS che si rispetti è una fitta rete di dispositivi infettati da malware e trojan horse controllati a distanza da un singolo hacker o da un gruppo di pirati informatici. Si tratta della botnet (letteralmente, rete di bot), una sottoporzione dei nodi di Internet composta da device compromessi e utilizzabili per gli scopi più disparati, inclusi gli attacchi DDoS. At one time, these devices were also called zombie computers: in most cases, in fact, they were computer systems infected by a particular type of virus capable of turning them into a sort of puppet.

botnet-1.jpg

What are botnets

Today, however, the spectrum of devices that can join the ranks of a botnet has expanded exponentially. Alongside desktop and laptop computers we find smartphones, tablets, security IP cameras, routers, network printers, smartTVs and even smart thermostats. But, since there is never an end to the worst, we are not yet in the worst case scenario: potentially, in fact, any device with connectivity to the network can be part of a botnet: all smart appliances, cars and various smart sensors scattered on street corners can potentially be co-opted and used to launch offensives against servers and web service providers. In short, if not adequately protected, the Internet of Things can represent the biggest cyber threat of our time.

DDDoS Attack Types

Depending on their objectives, hackers may decide to conduct their attack by leveraging different techniques and different strategies. In particular, DDoS attacks can be grouped into four macro-categories: TCP connection attacks; volumetric attacks; fragmentation attacks; application attacks.

In the first case, hackers exploit the features of TCP (Transmission Control Protocol) to quickly saturate the network resources of the target of the offensive, be it a data center or a distribution network. In particular, the botnet floods the server with connection requests, without ever reaching the end of the process: in this way, the resources of the computer system are quickly exhausted, making it impossible for any user to access the content.

Volumetric attacks, instead, aim to saturate the communication bandwidth available to a network node by sending, at the same time, a large number of requests for access to various contents. In questo modo gli hacker creano un volume di traffico abnorme e ingestibile, tanto che il server o la rete di distribuzione sono costretti a rifiutare qualunque altro tentativo di connessione.

hacker-2.jpgFonte foto: Flickr

Hacker all’opera

Differente il discorso per gli attacchi di frammentazione: anziché puntare a saturare la rete, provano a consumare tutte le risorse di calcolo del sistema informatico con un trucchetto piuttosto arguto. Le richieste di accesso che arrivano non sono complete, ma frammentate (da qui il nome): il server o la rete di distribuzione impiega gran parte della propria potenza di calcolo nel tentativo di ricostruire i pacchetti incompleti, senza mai riuscirci.

A volte, però, per rendere inutilizzabile un server non è necessario attaccare l’intera infrastruttura. È sufficiente sfruttare una falla o un particolare malfunzionamento di uno degli applicativi che ne consentono il funzionamento per renderlo instabile e, di conseguenza, inutilizzabile. È questo il caso degli attacchi applicativi che, come detto, puntano a mandare KO un server o una rete di distribuzione colpendoli in particolari punti deboli.

Come difendersi da attacchi DDoS

Come visto, gli attacchi DDoS sono rivolti, nella stragrande maggioranza dei casi, a fornitori di servizi web e non contro singoli utenti. Ciò vuol dire che i “semplici” internauti non hanno mezzi di difesa adeguati: nel caso un servizio web di cui usufruiscono resti vittima di un’offensiva hacker, la loro unica speranza è che gli esperti di sicurezza informatica riescano a mitigare in fretta l’attacco e limitare la portata del disservizio.

network.jpgFonte foto: Flickr

Apparato di rete

Sinkholing. Thanks to this technique, it is possible to divert the traffic created by the botnet to block the activities of a server or a distribution network to a dead end or a digital cul de sac. This will prevent the DDoS attack from causing hardware and software damage, although it may not completely limit the scope of the attack: the affected network resource may be inaccessible for a shorter period of time.

Intrusion detection. By leveraging special software, IT security teams can detect local network access attempts and neutralize them before they turn into minor digital catastrophes. In fact, intrusion detection systems constantly scan incoming and outgoing data traffic and can detect when "legitimate" protocols are being used for illicit purposes. Combined with a firewall, they can block incoming data traffic via, for example, the TCP protocol and limit (or even neutralize) its effects.

Overwhelming needs. Finally, many companies have thought to defend themselves from DDoS attacks by focusing strongly on redundancy: instead of creating datacenters and distribution networks that are barely sufficient to provide the required services, they build "duplicate" infrastructures. In this way, even if a node of the network should be no longer available, it will still be possible to continue to provide the service: it will be sufficient to divert the traffic towards a "twin" node, so as to mitigate the attack and restore the situation in absolute tranquillity.