Attacchi di rete: DoS e DDoS

Un attacco di Denial of Service (DoS) – che in inglese significa letteralmente "negazione del servizio" – consiste nel saturare un sistema con traffico falso impedendo agli utenti legittimi di accedere ai servizi.

La sua variante più pericolosa, Distributed Denial of Service (DDoS), ovvero “negazione distribuita del servizio”, amplifica i danni utilizzando più dispositivi connessi tra loro (botnet).

In sintesi:

• DoS (Denial of Service): consiste nel saturare un sistema con traffico falso proveniente da un'unica fonte.
• DDoS (Distributed Denial of Service): amplifica l'attacco tramite una botnet, ovvero una rete di dispositivi infetti, come dispositivi IoT, router e videocamere, che inviano milioni di richieste nello stesso momento.

Quest’ultima versione è l’evoluzione naturale dei primi attacchi di tipo DoS, e oggi sfrutta la presenza di miliardi di dispositivi connessi a internet e poco protetti per lanciare attacchi molto potenti e su larga scala, in grado di collassare anche le infrastrutture più grandi.

La conseguenza principale di un attacco DoS o DDoS è l'interruzione del servizio:

• Perdita di accesso al servizio email o al sito web aziendale.
• Crash completo dei sistemi o servizi online.
• Saturazione della rete che impedisce lo svolgimento delle attività quotidiane.

Anche se solitamente questi attacchi sono opera di cybercriminali, a volte possono anche derivare da errori di configurazione o guasti tecnici. Tuttavia, gli attacchi intenzionali sono quelli veramente pericolosi e possono causare perdite economiche milionarie, danneggiare la reputazione di un'azienda e aprire la porta ad altre minacce, come il ransomware e l'esfiltrazione di dati.

In alcuni casi, gli attaccanti ricattano le aziende, chiedendo un pagamento per interrompere l'attacco. Altre volte, utilizzano un attacco di rete come distrazione per lanciare altri cyberattacchi più complessi.

Gli attacchi DDoS vengono spesso condotti attraverso botnet, ossia reti di dispositivi infetti controllati da remoto e utilizzati in modo coordinato. Ogni dispositivo, chiamato zombie, invia ripetute richieste al server della vittima fino a saturarne la larghezza di banda o a comprometterne la capacità di risposta.

Un esempio emblematico è stato l'attacco del 2016 contro Dyn, un fornitore di DNS, che ha interrotto temporaneamente i servizi di aziende del calibro di X, Netflix, Amazon e The New York Times.

Attualmente, i cybercriminali utilizzano anche i dispositivi IoT (Internet of Things) poco protetti per incrementare il volume dei loro attacchi. Vediamo le tecniche più utilizzate:

• UDP Flood: saturazione del servizio con pacchetti UDP.
• SYN Flood: esaurimento delle risorse TCP.
• HTTP Flood: simulazione di traffico autentico in massa.
• Attacchi volumetrici: saturano la larghezza di banda della rete inviando quantità enormi di dati (ad es. tramite amplificazione DNS).
• Attacchi ai protocolli: sfruttano vulnerabilità presenti nei protocolli come TCP, UDP o ICMP per impegnare le risorse del server.
• Attacchi a livello di applicazione: si concentrano sulle applicazioni web con traffico apparentemente legittimo (più difficile da rilevare).

La conseguenza diretta è che il server non può accettare nuove richieste, per cui smette di essere operativo.

L'analisi basata su Big Data è diventata uno strumento fondamentale per difendersi dagli attacchi DDoS. Invece di controllare manualmente il traffico, i sistemi moderni analizzano i modelli di milioni di dati in tempo reale per individuare comportamenti anomali nella rete.

L'uso del Big Data nella cybersicurezza offre molti vantaggi:

• Monitoraggio in tempo reale di milioni di indirizzi IP.
• Analisi automatizzata del traffico anomalo in base a posizione geografica, porte e protocolli.
• Algoritmi di apprendimento automatico che identificano IP sospetti e bloccano modelli di attacco emergenti.

I sistemi moderni consentono anche di applicare blocchi basati sulla posizione geografica, quando rilevano schemi di comportamento anomali in certe regioni, oppure di stabilire regole personalizzate in base ai dati storici sul traffico.

Man mano che gli attacchi DDoS sono diventati più complessi e persistenti, le strategie difensive si sono evolute verso soluzioni più intelligenti e automatizzate. Non basta più adottare misure reattive: la prevenzione proattiva e la capacità di adattarsi agli attacchi minuto per minuto sono essenziali per garantire la continuità dei servizi.

Vediamo le ultime strategie di mitigazione avanzata:

• Centri di pulizia DDoS (scrubbing center): filtrano il traffico dannoso nel cloud prima che raggiunga il sistema di destinazione. Questi centri rilevano, analizzano ed eliminano il traffico indesiderato attraverso tecniche avanzate di analisi approfondita, permettendo solo alle connessioni legittime di raggiungere la loro destinazione.
   
• Soluzioni ibride (on-premise + cloud): combinano dispositivi di protezione locali con il reindirizzamento automatico del traffico sospetto verso centri di pulizia nel cloud. Questo approccio riduce la latenza delle risposte e migliora la capacità di assorbimento contro attacchi di grande volume.
   
• Integrazione di SDN (Software Defined Networking) e ML (Machine Learning) per la rilevazione precoce e la mitigazione automatizzata. Queste tecnologie permettono una risposta dinamica e in tempo reale, in quanto adattano il comportamento della rete in base agli schemi di comportamento del traffico osservati e appresi.

Queste soluzioni avanzate rappresentano un nuovo standard nella protezione dagli attacchi DDoS, dove la sinergia tra intelligence e automazione permette di contenere gli attacchi prima che possano causare danni reali alle attività.

Oltre alla creazione di volumi di traffico dannosi, la manipolazione dei protocolli di base come il BGP (Border Gateway Protocol) consente di potenziare ulteriormente gli attacchi DDoS e interrompere l’accesso ai servizi online. Il dirottamento del traffico può essere efficace quanto un attacco volumetrico tradizionale, ma è molto più difficile da rilevare.

Con il dirottamento BGP, i cybercriminali possono reindirizzare un grande volume di traffico o bloccare le rotte più importanti, ampliando così la portata degli attacchi DDoS. In pratica, utilizzano sistemi autonomi e infetti per annunciare rotte false. In questo modo, riescono a deviare il traffico verso i propri server e causare interruzioni nei servizi fondamentali.

Negli ultimi tempi, il numero di incidenti BGP è diminuito, grazie in gran parte all'implementazione di RPKI (Resource Public Key Infrastructure). Questa tecnologia convalida l'autenticità degli annunci di rotte, e contribuisce a prevenire dirottamenti accidentali o malevoli.

Anche così, però, i dirottamenti selettivi sono ancora attivi, specialmente in ambiti finanziari. Un esempio recente è il caso di KLAYswap: i criminali hanno utilizzato un attacco BGP per reindirizzare il traffico e rubare criptovalute. Questo incidente informatico mostra chiaramente come questa tecnica possa essere utilizzata in modo chirurgico e con fini lucrativi.

Anche se le statistiche stanno migliorando, il dirottamento BGP rimane una minaccia latente, soprattutto quando viene combinato con attacchi DDoS per aggirare le misure di protezione tradizionali. Proteggere l'instradamento globale è oggi parte integrante di qualsiasi strategia di sicurezza informatica robusta.

Vediamo quali sono i principi di sicurezza fondamentali:

• Implementare firewall e WAF (Web Application Firewall) per filtrare il traffico dannoso.
• Contrattare servizi di mitigazione DDoS specializzati (come Cloudflare, Akamai o servizi cloud avanzati).
• Segmentare le reti interne per evitare effetti a catena.
• Monitorare il traffico in tempo reale con strumenti basati sull'IA.
• Applicare politiche di ridondanza affinché la caduta di un servizio non comprometta l'intero sistema.

Inoltre, è consigliabile contrattare i servizi di un centro di pulizia DDoS, che filtra il traffico dannoso in tempo reale prima che raggiunga il server di destinazione, permettendo solo alle connessioni innocue e autentiche di attraversare la rete.

Gli attacchi DoS e DDoS sono più sofisticati, frequenti e dannosi che mai. Colpiscono aziende di tutte le dimensioni e il loro impatto non è solo economico, ma anche reputazionale e operativo. Investire in sicurezza informatica preventiva è fondamentale per garantire la continuità delle attività aziendali.