La nascita dell’IoT è diventata un moltiplicatore di forza per gli attacchi DDoS

Su internet gli attacchi DDoS (Distributed Denial of Service) sono i preferiti dagli hacker e dagli attivisti. Lo dimostrano numerosi casi recenti, che hanno confermato la crescita del fenomeno. Ciò per la semplicità di utilizzo dei tool per la loro gestione. Inoltre, l’arrivo di Internet delle Cose (IoT) ha semplificato il lavoro e ha moltiplicato esponenzialmente gli effetti. Le botnet che sfruttano l’IoT, infatti, si sono rivelate l’arma perfetta e un moltiplicatore di forza ideale, a seguito delle scarse o inesistenti protezioni dei dispositivi e parallelamente della loro connettività. Gli attacchi DDoS hanno anche attirato l’attenzione della stampa internazionale, che sempre più spesso affronta l’argomento o riporta incidenti informatici di questo tipo.

Le tipologie di attacco DDoS

Il termine DDoS, però, è generico. Esistono diverse tipologie di aggressione con questa tecnica. La prima sono gli attacchi “volume-based”. Questi usano un traffico elevato per inondare la banda di rete. Inoltre, ci sono i “protocol”, che si focalizzano sullo sfruttamento delle risorse di un server. Infine, ci sono gli “application”, diretti contro web applications. Questi sono considerati i tipi di cyber attacchi più sofisticati e pericolosi.

Le tecniche: dal SYN Flood al Ping of Death

Anche i tipi di attacchi DDoS si dividono in categorie, in base alla quantità di traffico coinvolta e alle vulnerabilità prese di mira. Le più comuni sono le “SYN Flood”, che colpiscono le debolezze nella sequenza di connessione TCP (la tripla stretta di mano). Poi ci sono le “UDP Flood”, legate allo User Datagram Protocol. A queste si aggiungono le “HTTP Flood”, che sfruttano meno banda degli altri attacchi, ma forzano i server a usare le risorse massime. I “Ping of Death” manipolano i protocolli IP inviando ping malevoli a un sistema. Questa tecnica era molto popolare anni fa, ma oggi si ritiene superata e poco efficace.

Dallo Smurf Attack allo Slowloris

Lo “Smurf Attack” è un attacco DDoS che sfrutta l’IP e l’Internet Control Message Protocol (ICMP). Lo fa usando un malware chiamato appunto smurf (puffo). Il “Fraggle Attack” usa un gran numero di traffico UDP, che invia al broadcast network del router. È simile al tipo di aggressione precedente, ma invece dell’ICMP usa l’UDP. Lo “Slowloris” permette agli aggressori di impiegare risorse minime durante un cyber attacco contro un server. Una volta connesso al bersaglio, fa rimanere aperta la connessione per più tempo possibile, tramite HTTP flooding. È stato usato in diversi casi di aggressioni DDoS note. Tra cui quella del 2009 in occasione delle elezioni presidenziali iraniane.

Dagli Application Level Attacks agli Zero-Day

L’“Application Level Attacks” sfruttano le vulnerabilità nelle applicazioni. Il loro obiettivo non è colpire l’intero server, ma solo le sue parti che si sono rivelate deboli. L’NTP Amplification” sfrutta i server del Network Time Protocol (NTP), usato per sincronizzare gli orologi. L’“Advanced Persistent DoS” (APDoS) è, invece, usato dagli hacker per causare danni seri. Usa diverse varietà di attacchi DDoS e colpisce vettori multipli, i quali inviano milioni di richieste per secondo. Le aggressioni APDoS possono durare per mesi, a seconda dell’abilità di chi le origina. Per mantenerle in piedi, infatti, si possono cambiare tattiche e creare diversivi al fine di eludere le difese del bersaglio. Infine, gli attacchi DDoS “Zero-Day” si concentrano, come dal nome, sulle vulnerabilità che non sono ancora state patchate.