Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico progettato per interrompere il funzionamento di un sito web o di un server. Questo obiettivo viene raggiunto sovraccaricando il sistema con un flusso eccessivo di traffico, di solito proveniente da diverse fonti. Gli attacchi DDoS mirano a esaurire le risorse del server o della rete, causando rallentamenti o rendendo il servizio totalmente inaccessibile. La frequenza di questi attacchi è in crescita, colpendo vari settori, dai giochi all’e-commerce, inclusi i servizi online vitali come quelli bancari e sanitari. La situazione ha reso necessaria l’adozione di strategie preventive da parte delle aziende e delle Pubbliche Amministrazioni che gestiscono siti web di rilevanza.
Modalità di attacco e obiettivi
Un attacco DDoS ha come fine la rendere inaccessibile un sito web, un server o una rete. Questo attacco si basa su una botnet, una rete di dispositivi compromessi e controllati a distanza da attaccanti che sfruttano il traffico generato per sovraccaricare il bersaglio. I dispositivi infetti inviano richieste al sito o al server, bloccando così il traffico legittimo degli utenti. I tipi principali di attacchi DDoS includono:
-
Attacchi DDoS volumetrici: Generano un’enorme quantità di traffico apparentemente legittimo. Una tecnica comune è l’amplificazione DNS, che utilizza server DNS aperti per inviare risposte massive al bersaglio.
-
Attacchi DDoS al protocollo: Sfruttano le debolezze nei protocolli di rete, come il TCP, esaurendo le risorse del server. Un esempio è l’attacco SYN, che utilizza tutte le risorse server disponibili.
- Attacchi DDoS a livello di risorsa: Si concentrano su applicazioni specifiche, tramite tecniche come l’injection SQL e il scripting intersito, colpendo le comunicazioni tra host e server.
In fase di attacco, i criminali informatici possono adottare strategie diverse, combinando vari tipi di attacco in base agli obiettivi prefissati.
Durata dell’attacco
La durata di un attacco DDoS può variare notevolmente, da alcune ore a diversi giorni. Microsoft osserva che "un attacco DDoS può durare da un paio d’ore a un paio di giorni. Un attacco potrebbe durare quattro ore, mentre un altro potrebbe durare una settimana (o di più)". Gli attacchi possono manifestarsi anche più volte nel tempo e comprendere diverse tipologie di cyberattacchi.
Riconoscere e contrastare un attacco DDoS
Identificare tempestivamente un attacco DDoS è cruciale, anche se non sempre semplice. Alcuni segnali di allerta possono includere un improvviso aumento del traffico web, rallentamenti della rete o l’inaccessibilità del sito. La tempestività nella rilevazione di queste anomalie può facilitare una risposta efficace.
Per prevenire o mitigare un attacco DDoS, è fondamentale identificare le vulnerabilità del sistema e aggiornare regolarmente le difese. È utile implementare una combinazione di tecnologie di protezione, fra cui il monitoraggio della rete e soluzioni basate sul cloud. Creare una rete resiliente e scalabile può aiutare a far fronte agli attacchi più complessi. È consigliata la collaborazione con esperti di sicurezza informatica, nonostante i costi associati.
In caso di attacco, è necessario disporre di un team di sicurezza attivo, capace di reagire rapidamente e di applicare procedure predefinite per isolare l’attacco e proteggere i dati. La protezione deve includere tutta la struttura aziendale, promuovendo la consapevolezza dei segnali d’allerta tra il personale. Inoltre, è fondamentale effettuare test periodici sulla sicurezza e simulazioni d’emergenza per garantire prontezza in situazioni di crisi.
