Gli attacchi Distributed denial of service (Ddos) sono mirati a sovraccaricare la rete bersagliata con richieste di risorse, lasciando la vittima impotente a gestire le legittime richieste. Questo tipo di attacco si verifica sotto forme diverse, ma in …
Gli attacchi Distributed denial of service (Ddos) sono mirati a sovraccaricare la rete bersagliata con richieste di risorse, lasciando la vittima impotente a gestire le legittime richieste. Questo tipo di attacco si verifica sotto forme diverse, ma in genere si assiste a flussi di traffico che consumano larghezza di banda e non risorse applicative. Gli attacchi Ddos non sono nuovi, e negli ultimi dieci anni sono cresciuti per intensità e diffusione grazie all’affermarsi delle reti bot o botnet. Queste forniscono la “potenza di fuoco” (larghezza di banda e computer) necessaria a supportare le campagne Ddos, oltre all’infrastruttura di supporto per questo genere di attacchi. La maggior parte delle basi di codice bot implementa alcune forme di capacità Ddos; nelle misurazioni realizzate nel 2006 abbiamo scoperto che circa la metà delle reti bot da noi monitorate avevano lanciato almeno un attacco Ddos. Gran parte di questi attacchi era diretto a obiettivi piccoli e su base locale, senza conseguenze su vasta scala. Le reti bot tradizionali non costituiscono, però, l’unica fonte di tali attacchi: si registra, infatti, un incremento di kit specializzati utilizzati proprio per sferrare e controllare le campagne Ddos.
Le misurazioni di attacchi Ddos che eseguiamo avvengono principalmente in due modi. Il primo si realizza attraverso Atlas, il nostro sistema che raccoglie tutte le statistiche globali di Ddos misurate dal traffico in transito sulle dorsali di rete. Il secondo metodo riguarda il monitoraggio delle reti bot attive, che presuppone l’osservazione dei comandi passati a queste reti e il filtraggio delle informazioni relative agli attacchi. Entrambi i metodi sono necessari per riuscire ad avere un quadro più ampio ed esaustivo delle attività Ddos, nonostante nessuna delle due pratiche risulti completa. Sappiamo, inoltre, sempre grazie alle nostre misurazioni, che si tratta di serie scollegate di attacchi, a indicare che mai riusciremo a risalire ai comandi di tutti gli attacchi Ddos che osserviamo su Internet.
Comprendere la portata degli obiettivi che risiedono alla base di un’azione di questo tipo è solitamente questione di congetture, spesso in base al profilo esterno della vittima. Le motivazioni degli attacchi Ddos sono sovente l’espressione di una vendetta o di rancore nei confronti della vittima e talvolta prevedono addirittura casi di estorsione o attacchi punitivi. Negli ultimi anni siamo riusciti a tracciare decine di migliaia di queste azioni in tutto il mondo, scoprendo che nessuna rete è immune dalla “natura business” dello scopo ultimo di un simile evento. Gli attacchi possono essere perpetrati da parte di spammer o da veri e propri team di phishing online ai danni di ricercatori, nel tentativo di vanificare il loro operato; più verosimilmente si assiste però a piccoli attacchi contro abbonati a servizi di banda larga o piccoli siti di commercio elettronico. Gli episodi più sofisticati e di dimensioni più estese includono addirittura casi di estorsione nei confronti di importanti realtà business online. In alcune situazioni le aziende coinvolte sono andate in bancarotta per via della mancata capacità di gestire i clienti o per i costi accumulati per la larghezza di banda indebitamente consumata.
Le ricerche che abbiamo ininterrottamente condotto nel corso degli anni hanno dimostrato un netto incremento della pericolosità degli attacchi Ddos. Grazie a sondaggi effettuati presso operatori Isp tier-1, abbiamo scoperto che i maggiori attacchi osservati in-the-wild arrivano oltre i 40 Gbps. Per capirci meglio, 40 Gbps è una capacità superiore a qualsiasi core tranne quelli dei maggiori Isp mondiali, a significare che un simile attacco può potenzialmente produrre un effetto significativo sulle dorsali Internet.
