Denial of service

malfunzionamento di un sistema dovuto a un attacco informatico

Nel campo della sicurezza informatica, un attacco denial-of-service o attacco DoS (lett. "attacco di diniego del servizio") indica un malfunzionamento dovuto a un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un server web, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.[1][2]

Schema DDoS

In un attacco distribuito di negazione del servizio[3] (in inglese Distributed Denial of Service abbreviato in DDoS), il traffico dei dati in entrata che inonda la vittima proviene da molte fonti diverse. L'esempio in analogia è quello di un gruppo di persone che affollano la porta d'ingresso o il cancello di un negozio o di un'azienda, e non consentendo alle parti legittime di entrare nel negozio o nel business, interrompono le normali operazioni. Ciò rende effettivamente impossibile fermare l'attacco semplicemente bloccando una singola fonte.

Oltre al senso primario di denial of service come azione deliberata ci si può riferire ad esso come azione accidentale, in seguito per esempio ad una errata configurazione,[4][5] o come nel caso dell'effetto Slashdot.[6]

Alcune testimonianze mostrano che la prima dimostrazione di attacco DoS è stata fatta da Khan C. Smith nel 1997 durante un evento DEF CON che ha interrotto l'accesso a Internet alla Las Vegas Strip per oltre un'ora. Il rilascio del codice di esempio durante l'evento ha portato all'attacco online di Sprint, EarthLink, E-Trade e altre grandi aziende nell'anno a seguire.[7]

Descrizione

modifica

Gli attacchi vengono abitualmente attuati inviando molti pacchetti di richieste, di solito ad un server web, FTP o di posta elettronica saturandone le risorse e rendendo tale sistema "instabile" e non disponibile agli altri utenti. Qualsiasi sistema collegato ad Internet e che fornisca servizi di rete basati sul TCP è quindi soggetto al rischio di attacchi DoS. Inizialmente questo tipo di attacco veniva attuato da "cracker", come gesto di dissenso etico nei confronti dei siti web commerciali e delle istituzioni.

Gli attacchi DoS hanno la connotazione decisamente più "criminale" di impedire agli utenti della rete l'accesso ai siti web vittime dell'attacco. Per rendere più efficace l'attacco in genere vengono utilizzati molti computer inconsapevoli, detti zombie, sui quali precedentemente è stato inoculato un programma appositamente creato per attacchi DoS e che si attiva ad un comando proveniente dal cracker creatore. Se il programma maligno si è diffuso su molti computer, può succedere che migliaia di PC violati da un cracker, ovvero una botnet, producano inconsapevolmente e nello stesso istante un flusso incontenibile di dati che travolgeranno come una valanga anche i link più capienti del sito bersaglio.

Non solo i sistemi server possono essere vittime di un attacco DoS ma anche semplici utenti e client, sebbene questi attacchi siano molto meno frequenti e di nessun interesse per i cosiddetti cracker.

La probabilità sempre minore di incontrare sistemi veramente vulnerabili ha fatto sì che siano diminuiti gli attacchi DoS più eclatanti, però si è scoperta un'estrema vulnerabilità della rete per l'aumento costante della potenza operativa degli attuali personal computer e dell'accesso ad Internet tramite i sistemi DNS. L'implementazione del protocollo TCP/IP, che non garantisce particolare sicurezza sull'identificazione dei mittenti di pacchetti ma anzi ne protegge l'anonimato, può essere sfruttata per mascherarne la vera provenienza.

Trattandosi di connessioni apparentemente legittime, è impossibile bloccarle senza interrompere anche il flusso realmente inoffensivo. Però, limitando drasticamente il numero di sessioni aperte simultaneamente, l'impatto dell'attacco si riduce considerevolmente senza limitare il flusso dei pacchetti regolari. Anche limitando il discorso al blocco di un sito web esistono, e sono stati utilizzati, parecchi modi di ottenere questo risultato.

Di solito gli attacchi DoS possono essere sfruttati per richiedere un riscatto, come preludio di un altro attacco (magari bloccando un servizio di difesa o addirittura il servizio stesso per sostituirlo con uno falso), come atti vandalici o come una forma di protesta (Hacktivism).

Tassonomia dell'attacco

modifica

Lo scopo di questo attacco è saturare la backlog queue con richieste di attivazione di un servizio (TCP SYN settato) oltre la scadenza dei relativi timeout e non consentendo alla vittima di completare il 3-way handshake; in questo modo non sarà in grado di gestire i SYN leciti a cui verrà negato il servizio.

Sintomi

modifica

Lo United States Computer Emergency Readiness Team (US-CERT) ha identificato i seguenti sintomi di un attacco denial-of-service:[8]

  • prestazioni di rete insolitamente lente (apertura di file o accesso a siti Web);
  • indisponibilità di un determinato sito web;
  • incapacità di accedere a qualsiasi sito web;
  • drammatico aumento del numero di e-mail di spam ricevute (questo tipo di attacco DoS viene detto "mail bomb").

Ulteriori sintomi possono includere:

  • disconnessione di una connessione internet wireless o cablata;
  • negazione a lungo termine dell'accesso al Web o di qualsiasi servizio Internet.

Se l'attacco viene condotto su una scala sufficientemente ampia, intere regioni geografiche connesse ad Internet possono essere compromesse senza la conoscenza o l'intento dell'aggressore da parte di apparecchiature dell'infrastruttura di rete configurate in modo errato o inconsistenti.

Tipi di attacco

modifica
  • Attacco diretto: l'attaccante interagisce direttamente con la vittima. In questo caso l'attaccante si dice reale e la vittima si dice di primo livello.
  • Attacco indiretto: l'attaccante sfrutta terze parti per colpire la vittima. In questo caso l'attaccante si dice riflesso, le terze parti si dicono vittime di secondo livello e la vittima finale si dice vittima di primo livello.

Attacchi portati da un singolo host

modifica

Questi tipi di attacco, provenendo da un'unica fonte, sono potenzialmente rintracciabili.

Syn-Flood

modifica

Storicamente il Syn-Flooding rappresenta il capostipite degli attacchi DoS, che trova le sue dirette radici nel Ping of Death. Il termine Syn Flooding, letteralmente tradotto con "inondazione di pacchetti di tipo Syn", nasce dal fatto che tutte le volte che un utente fa clic su un collegamento ipertestuale di una pagina web richiede l'apertura di una connessione (di tipo TCP) verso quel sito; questo avviene seguendo una serie di passi, il primo dei quali consiste nell'invio di un pacchetto TCP che richiede l'apertura di una connessione.

Tutte le regole di funzionamento del protocollo TCP esigono che il sistema risponda allocando alcune risorse (in pratica memoria) per la connessione. Programmando opportunamente un semplice PC, è possibile richiedere l'apertura di diverse migliaia di connessioni al secondo, che "inondando" il server e ne consumano rapidamente tutta la memoria, bloccandolo o mandandolo in crash.

Il punto debole di questo tipo di attacco è che il computer attaccante deve essere in grado di mandare il flusso di pacchetti attraverso la connessione ad Internet fino al server attaccato.

Diversamente, l'utente malintenzionato deve poter fornire delle "credenziali" di accesso valide per usufruire della vulnerabilità insorta nel sistema operativo e portare a termine, efficacemente, l'attacco al sito bersaglio.

I pacchetti dannosi predisposti con un indirizzo IP falsificato (cioè modificato rispetto a quello originale), procureranno al computer "vulnerabile" una situazione temporanea di Denial of Service; tuttavia, poiché le connessioni che sono normalmente disponibili sono lente per tutti (per soggetti ben intenzionati così come per soggetti malintenzionati), questo tipo di attacco diventa impraticabile, nel senso che non dà il risultato atteso (cioè appunto la congestione del server)

Un esempio potrebbe essere il seguente: l'attaccante invia una serie di richieste alla sua vittima e la macchina server, sulla quale vengono eseguiti dei servizi, non sarà in grado di gestire tutte le richieste e i servizi stessi andranno in crash, risultando prima molto rallentati e poi, successivamente, inaccessibili. In questa maniera, un utente qualunque non sarà in grado di accedere ai servizi, ricevendo un errore di richiesta scaduta o timeout.

L'attacco Syn-Flood usa strumenti che rientrano nella categoria Tribe Flood Network (TFN) ed agisce creando delle connessioni che si rivelano aperte a metà.

Il protocollo classico usato nei DoS è l'ICMP (usato soprattutto negli attacchi Ping): inviandone a milioni si riuscirà a bloccare l'operatività di qualunque sito Internet, ma trattandosi di un modello di attacco "uno a uno", ad un pacchetto in uscita corrisponderà la ricezione di un solo pacchetto al sistema attaccato.

Occorrerà quindi che i cracker possano disporre di un gran numero di PC client "controllati", anche se non è così facile "inoculare" il codice maligno in un numero tanto elevato di macchine, grazie all'azione specifica di antivirus, patch di sicurezza e tecnici informatici.

Una modalità di attacco più sofisticata, detta Smurf attack, utilizza un flusso di pacchetti modesto, in grado di passare attraverso una normale connessione via modem, ed una rete esterna (evidentemente mal configurata) che agisce da moltiplicatore di pacchetti, i quali si dirigono infine verso il bersaglio finale lungo linee di comunicazione ad alta velocità.

Tecnicamente, vengono mandati uno o più pacchetti di broadcast verso una rete esterna composta da un numero maggiore possibile di host e con l'indirizzo mittente che punta al bersaglio (broadcast storm).

Ad esempio può venir usata una richiesta echo ICMP (Internet Control Message Protocol), precedentemente falsificata da chi attua materialmente l'attacco informatico.

Si noti che questo tipo di attacco è possibile solo in presenza di reti che abbiano grossolani errori di configurazione dei sistemi (nello specifico nella configurazione dei router) che le collegano tra loro e con Internet.

R-U-Dead-Yet? (RUDY)

modifica

L'attacco RUDY[9] ha l'obiettivo di colpire le applicazioni Web portando all'inattività delle sessioni rese disponibili dal server. Proprio come Slowloris, RUDY mantiene le sessioni interrotte utilizzando dei POST senza fine e inviando degli header con un contenuto arbitrariamente grande.

DDoS a scopo di estorsione

modifica

Nel 2015, le botnet DDoS come DD4BC sono cresciute diventando sempre più importanti, prendendo di mira le istituzioni finanziarie.[10] Gli estorsori cibernetici di solito iniziano con un attacco di basso livello e un avvertimento che un attacco più grande sarà eseguito se un riscatto non verrà pagato in Bitcoin.[11] Gli esperti di sicurezza raccomandano di non pagare mai il riscatto poiché gli aggressori tendono a entrare in un regime estorsivo esteso una volta che riconoscono che l'obiettivo è pronto a pagare.[12]

Attacchi da più host

modifica

In questi attacchi il bersaglio viene attaccato contemporaneamente da più fonti, rendendo difficile rintracciare l'attaccante originario.

Una variante di tale approccio è il DDoS (Distributed Denial of Service), dal funzionamento identico ma realizzato utilizzando numerose macchine attaccanti che insieme costituiscono una botnet.

Naturalmente gli attaccanti tendono a non esporsi direttamente, in questo caso per le forze dell'ordine sarebbe infatti semplice risalire ai computer utilizzati per l'attacco. Per evitare di essere individuati, gli attaccanti infettano preventivamente un numero elevato di computer con dei virus o worm che lasciano aperte delle backdoor a loro riservate, anche per avere a disposizione un numero sufficiente di computer per l'attacco. I computer che sono controllati dall'attaccante vengono chiamati zombie.

Tutti i computer infettati entrano a far parte di una botnet, a libera disposizione dell'attaccante. Una nota interessante è data dalla distinzione tra le macchine che eseguono un Sistema Operativo Windows (definiti, in gergo, rxbot) e quelle che invece eseguono un sistema Unix, particolarmente adatte all'UDP Flooding (Flooding sul protocollo UDP).

Una particolarità degli zombies Windows è data dalla possibilità, per l'attaccante, di programmare un trojan - cit. cavallo di Troia - in grado di diffondersi automaticamente a tutta una serie di contatti presenti sul computer infettato (contenuti nella rubrica degli indirizzi e quelli di programmi di messaggistica istantanea come Microsoft Messenger) permettendo così al computer zombie di infettare, in maniera completamente autonoma, altre macchine che, a loro volta, diverranno parte della botnet dell'attaccante. Questa viene definita, in gergo, funzione di auto-spreading.

Quando il numero di zombies è ritenuto adeguato, o quando viene a verificarsi una data condizione, i computer infetti si attivano e sommergono il server bersaglio di richieste di connessione. Con l'avvento della banda larga il fenomeno dei DDoS sta assumendo proporzioni preoccupanti, dato che attualmente esistono milioni di persone dotate di una connessione ad Internet molto veloce e permanente, ma con scarse o nulle conoscenze e contromisure riguardanti la sicurezza informatica.

Il danno maggiore dell'attacco di tipo DDoS è dovuto principalmente alla "asimmetria" che si viene a creare tra "la" richiesta e le risposte correlate in una sessione DNS (Domain Name System). Il flusso enorme di risposte generato provocherà nel sistema una tale "inondazione" di traffico, rendendo il server inadeguato alla gestione delle abituali funzioni on-line.

Inoltrando al sito preso di mira una risposta di alcuni Kilobyte per ogni richiesta contenente solo pochi byte, si ottiene un'amplificazione esponenziale tale da saturare i canali dati più capienti, raggiungendo con il DDoS livelli finora inattuabili con gli altri tipi di attacco DoS.

Le configurazioni predefinite e quelle "consigliate" di Firewall, si rivelano utili a contrastare solo gli "attacchi" sferrati dall'esterno, ad esempio di un'azienda, ma poiché il traffico in rete gestito tramite sistema DNS è vitale, per fronteggiare questo tipo di attacco non si potranno attuare le stesse strategie impiegate nei confronti degli attacchi ai Ping. Di conseguenza, il Network manager dovrà tenere scrupolosamente sotto controllo e monitoraggio i canali di flusso dati e, per escludere l'intervento o contrastare l'azione di un cracker, riconfigurerà il DNS responsabile del sito.

Una particolare categoria di DDoS è il cosiddetto Distributed Reflected Denial of Service (DRDoS). In questa particolare tipologia di attacco, il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci utilizzando come indirizzo di provenienza non il proprio bensì quello del bersaglio dell'attacco. In questo modo i server risponderanno affermativamente alla richiesta di connessione non all'attaccante ma al bersaglio dell'attacco. Grazie all'effetto moltiplicatore dato dalle ritrasmissioni dei server contattati, che a fronte della mancanza di risposta da parte del bersaglio dell'attacco (apparentemente l'iniziatore della connessione) provvederanno a ritrasmettere (fino a 3 volte solitamente) il pacchetto immaginandolo disperso, si entrerà così in un circolo vizioso che vedrà rapidamente esaurirsi le risorse del bersaglio.

Quest'ultimo tipo di attacco è particolarmente subdolo perché, a causa della natura delle risposte, è difficilmente schermabile dall'utente comune: infatti, se si filtrassero le risposte dei server, verrebbe compromessa la funzionalità stessa della connessione di rete impedendo, di fatto, la ricezione anche delle informazioni desiderate. Le risposte dei server, sollecitate dall'attaccante, sono infatti indistinguibili da quelle generate da una richiesta legittima della vittima. Il problema si sta presentando con maggiore incidenza da quando Microsoft ha deciso di rendere le "Raw Sockets", interfacce di accesso al TCP/IP, facilmente disponibili. Le RAW Sockets permettono appunto di cambiare l'indirizzo di provenienza del pacchetto per sostituirlo con quello della vittima, fatto che è strumentale per questo tipo di attacco.

ACK attack

modifica

Uno dei più classici attacchi reflected è l'ACK attack. In questo caso l'attaccante genera un pacchetto TCP SYN verso il reflector (in questo caso un server TCP, ad es. un server Web). Quest'ultimo risponde con un pacchetto SYN/ACK, per stabilire la connessione secondo il protocollo. La vittima verrà quindi inondata di pacchetti TCP fuori sequenza provenienti da un server web "pulito".

Questo attacco è particolarmente insidioso perché non c'è modo di distinguere i SYN contraffatti (spoofed) dai SYN reali e quindi non c'è modo, per il reflector, di proteggersi. La vittima può invece proteggersi con un firewall che sia stateful, che sia cioè in grado di scartare i pacchetti TCP fuori sequenza.

Possibili soluzioni

modifica

Soluzioni che rispettano lo standard:

  • Dimensionare dinamicamente la Backlog Queue;
  • Diminuire il TTL per le richieste in attesa (Half Open Connection).

Soluzioni che non rispettano lo standard:

  • Scartare TCP SYN casualmente;
  • Inserire le richieste solo al completamento del 3-Way Handshake (alla ricezione dell'ACK finale).

Altri dispositivi di protezione da attacchi DoS e DDoS

modifica

Filtraggio dei Dati in arrivo

modifica

Implementare i filtri che presiedono all'ingresso, nei propri router e firewall, dei pacchetti contenenti informazioni sulla provenienza dei dati alterati (cioè spoofed); non si otterrà un arresto dell'attacco DoS ma si potrà ricostruire il flusso di traffico qualificato come "malevolo" in tempi relativamente brevi, per consentire la reazione difensiva degli Internet service provider (anti spoofing).

Firewall

modifica

Nel caso di un semplice attacco, un firewall potrebbe avere una semplice regola aggiunta per negare tutto il traffico in arrivo dagli aggressori, in base a protocolli, porte o indirizzi IP di origine.

È tuttavia difficile bloccare attacchi più complessi con regole semplici: ad esempio, se è in corso un attacco sulla porta 80 (servizio Web), non è possibile eliminare tutto il traffico in ingresso su questa porta, poiché così facendo si impedirà al server il servizio di traffico legittimo[13]. Inoltre, i firewall potrebbero essere troppo profondi nella gerarchia della rete, con i router influenzati negativamente prima che il traffico raggiunga il firewall.

La maggior parte degli switch ha una capacità di limitazione della velocità e ACL. Alcuni switch forniscono limitazione della velocità e/o del sistema a livello automatico, traffic shaping, delayed binding (splicing TCP), deep packet inspection e Bogon filtering (filtro IP fasullo) per rilevare e correggere gli attacchi DoS.[14]

Questi schemi funzioneranno finché gli attacchi DoS possono essere prevenuti usandoli. Ad esempio, è possibile prevenire il SYN Flood utilizzando il delayed binding o lo splicing TCP. Il filtro automatico della velocità può funzionare fino a quando sono state impostate correttamente le soglie di velocità.

Analogamente agli switch, i router hanno alcune funzionalità di limitazione della velocità e ACL. Anche loro sono impostati manualmente. La maggior parte dei router può essere facilmente sopraffatta da un attacco DoS. Cisco IOS ha caratteristiche opzionali che possono ridurre l'impatto delle inondazioni.[15]

Limitazione del Traffico

modifica

Molti router consentono, attualmente, di limitare la quantità di banda utilizzata per la fornitura di un servizio attraverso il "campionamento" e l'analisi dei pacchetti che vi transitano. In caso di attacco non resterà attiva una quantità di banda sufficiente a provocare un danno cospicuo o a bloccare il flusso legittimo dei dati. Questa limitazione si otterrà ad esempio con l'utilizzazione di una macchina Linux che funga da Gateway attraverso un'azione CAR (Commited Access Rate); verrà così bloccato un attacco DDoS che usi pacchetti ICMP o TCP, SYN, poiché sarà considerevolmente limitata la banda utilizzabile da questi.

Sistemi di riconoscimento delle intrusioni (IDS)

modifica

Si tratta di sistemi commerciali in grado di individuare Trinoo e TFN. Ad esempio l'FBI fornisce, gratuitamente, un prodotto definito Find DDoS in grado di scoprire i file system visti sopra, risultato dell'attacco Distributed Denial of Service. Attraverso tali sistemi di verifica (Intrusion Detection System) vengono individuati i malintenzionati che comunicano tramite slave, agent e master, scoprendo se alcune delle macchine nella propria rete vengono usate, malignamente, come pedine per sferrare l'attacco. In particolare i Network Auditing Tools sono programmi che consentono la verifica e l'analisi della rete aziendale alla ricerca di eventuali agenti in grado di provocare un attacco di tipo DDoS.

Sistemi di prevenzione delle intrusioni (IPS)

modifica

I sistemi di prevenzione delle intrusioni (IPS) sono efficaci se agli attacchi sono associate delle "signature".

Un IPS basato su ASIC può rilevare e bloccare gli attacchi denial-of-service perché possiede la potenza di elaborazione e la granularità per analizzare gli attacchi e agire come un interruttore automatico in modo automatico.

Un IPS basato sulla velocità (RBIPS - Rate Based IPS) deve analizzare il traffico in modo granulare, monitorare continuamente il modello di traffico e determinare se c'è un'anomalia del traffico. Deve consentire il flusso di traffico legittimo mentre blocca il traffico di attacco DoS.[16]

Esempi di attacchi DoS

modifica
  1. ^ Rao, p. 13.
  2. ^ (EN) Malware Protection Center - Glossary, su microsoft.com. URL consultato il 2 marzo 2013 (archiviato dall'url originale il 5 marzo 2013).
  3. ^ Attacco distribuito di negazione del servizio - Panorama delle minacce analizzato dall'ENISA (PDF), ENISA, 2020.
  4. ^ (EN) Denial of Service, su f5.com. URL consultato il 2 marzo 2013.
  5. ^ (EN) Todd Lammle, Wade Edwards, Tom Lancaster, Justin Menga, Eric Quinn, Jason Rohm, Carl Timm, Bryant Tow, CCSP Complete Study Guide, John Wiley & Sons, 2006, p. 14, ISBN 978-0-7821-5077-3.
  6. ^ (EN) Stacy Prowell, Rob Kraus, Mike Borkin, Seven Deadliest Network Attacks, Elsevier, 2010, p. 21, ISBN 978-1-59749-550-9.
  7. ^ (EN) 5 Famous Botnets that held the internet hostage on TQA Weekly, su TQA Weekly. URL consultato il 7 gennaio 2018.
  8. ^ (EN) Understanding Denial-of-Service Attacks | US-CERT, su us-cert.gov. URL consultato il 10 gennaio 2018.
  9. ^ (EN) r-u-dead-yet, su SourceForge. URL consultato il 7 gennaio 2018.
  10. ^ (EN) Security Blog by Cloudbric | Elite Full Service Website Security, in Cloudbric. URL consultato il 9 gennaio 2018.
  11. ^ Cyber-Extortionists Targeting the Financial Sector Are Demanding Bitcoin Ransoms, in Bloomberg.com, 9 settembre 2015. URL consultato il 9 gennaio 2018.
  12. ^ (EN) Akamai warns of increased activity from DDoS extortion group, in SC Media UK, 14 settembre 2015. URL consultato il 9 gennaio 2018.
  13. ^ (EN) Paul Froutan, Rackspace Managed Hosting, How to defend against DDoS attacks, in Computerworld. URL consultato il 9 gennaio 2018.
  14. ^ Kiyuna and Conyers (2015), Cyberwarfare Sourcebook, ISBN 1329063945.
  15. ^ Wayback Machine (PDF), su mehmet.suzen.googlepages.com, 10 settembre 2008. URL consultato il 9 gennaio 2018 (archiviato dall'url originale il 10 settembre 2008).
  16. ^ Ecommercewisdom.com. URL consultato il 7 gennaio 2018.

Bibliografia

modifica

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
Controllo di autoritàLCCN (ENsh2009009013 · BNF (FRcb166838118 (data) · J9U (ENHE987007540632005171