Origini delle minacce Denial of Service
Negli attacchi denial of Service convenzionali, l’hacker trasmette più richieste alla macchina o al servizio di destinazione con indirizzi IP (Return Internet Protocol) fittizi. Quando il server tenta di autenticare questi indirizzi, incontra un’ondata di risposte al codice di errore, innescando una catena ricorrente di traffico SMTP che può saturare rapidamente il server., Allo stesso modo, con un attacco Smurf, l’hacker avrebbe trasmesso pacchetti a più host con un indirizzo IP falsificato appartenente a quelle macchine di destinazione. Quando le macchine host del destinatario rispondono, si inondano efficacemente di traffico di pacchetti che risponde.
In un flood SYN, un utente malintenzionato sfrutta il processo di Handshake TCP a 3 vie (SYN, SYN-ACK, ACK) per prendere un servizio offline. Nell’Handshake a 3 vie, il server A avvierebbe un messaggio di richiesta di sincronizzazione TCP al server B. Alla ricezione della richiesta, l’host B (la macchina di destinazione) invia un pacchetto di conferma di sincronizzazione al server A., È a questo punto che si verifica l’attacco denial of service. In uno scambio legittimo per stabilire una connessione socket TCP, il passo successivo sarebbe per l’host A inviare un messaggio di conferma all’host B, ma quando l’hacker che controlla l’host A impedisce che ciò accada, l’handshake non può essere completato. Il risultato è che l’host B ha una porta connessa che non è disponibile per richieste aggiuntive. Quando l’attaccante invia richieste ripetute di questa natura, tutte le porte disponibili sull’host B possono rapidamente riagganciare e diventare non disponibili.,
Minacce Denial of Service in continua evoluzione
inondazioni SYN, attacchi banana e altri tipi di hack DOS convenzionali sono ancora in uso oggi – e, naturalmente, gli attacchi DDoS alimentati da botnet rimangono una minaccia costante. Ma gli hacker malintenzionati hanno negli ultimi anni ampliato il numero di macchine e servizi che prendono di mira, e ampliato la superficie di minaccia considerevolmente. Sempre più spesso, le organizzazioni vengono prese di mira per attacchi di “degradazione del servizio” di minore intensità che infliggono costosi rallentamenti del servizio senza prendere le risorse completamente offline., Questo metodo di attacco è diventato sempre più comune come sempre più organizzazioni sono venuti a fare affidamento su Amazon Web Services (AWS) e offerte cloud simili per alimentare le loro operazioni web.
Quando un grande rivenditore, un fornitore di servizi finanziari, un marchio di consumo o un’impresa commerciale simile ospita il proprio sito Web su AWS, Microsoft Azure o altro operatore cloud, l’accordo sarà regolato da un contratto sul livello di servizio., In effetti, l’operatore cloud, per un determinato prezzo, promette di rendere disponibili le risorse di elaborazione, la larghezza di banda e l’infrastruttura di supporto necessarie per quel sito Web per supportare X quantità di traffico Web, dove X sarebbe misurato come gigabyte di dati, numero di transazioni al dettaglio, ore di uptime e metriche correlate. Se i carichi di traffico superano i livelli concordati, il che sarebbe positivo se il traffico è legittimo, il proprietario del sito Web verrebbe addebitato a un tasso più elevato., Questo processo è spesso completamente automatizzato, come con Amazon CloudWatch, che dispone di funzionalità di ridimensionamento automatico per aumentare o diminuire dinamicamente le risorse di elaborazione in base alle esigenze.
Costosa denigrazione del servizio
Come si potrebbe immaginare, i cattivi attori possono iniettarsi in queste relazioni indirizzando il traffico illegittimo verso un sito Web di destinazione e facilmente aumentare il costo di fare affari per un’organizzazione di destinazione. Pulsare server” zombie ” che inviano raffiche di traffico intermittenti sono spesso utilizzati in questo tipo di attacco., Poiché i carichi di traffico in questione sono occasionali e non ovviamente da una fonte dannosa, sembrano molto simili al traffico legittimo, il che significa che può essere estremamente difficile per il personale di sicurezza informatica scoprirli e fermarli.
Un altro set di strumenti utilizzato in questo tipo di denial of service o degrado del servizio sono le cosiddette applicazioni “stresser” che sono state originariamente progettate per aiutare i proprietari di siti web a identificare i punti deboli nella loro infrastruttura web., Facili da ottenere e semplici da usare, queste app, tra cui WebHive, possono essere installate su più istanze cloud per creare formidabili funzionalità DDoS. Coordinati insieme in questo modo, questi strumenti di attacco possono prendere grandi siti web commerciali offline per lunghi periodi.
Key Denial of Service Takeaways
Gli attacchi Denial of service si sono spostati e cambiati nel corso degli anni, ma il danno causato continua ad aumentare., Un sondaggio Ponemon Institute di grandi imprese in una serie di settori industriali ha rilevato che l’azienda tipica subisce quattro incidenti denial-of-service ogni anno, e che il costo totale medio annuo per affrontare DoS è di circa $1,5 milioni. Mettere in atto un’architettura di sicurezza che consente di rilevare, prevenire e rispondere agli attacchi DoS è un passo fondamentale in qualsiasi programma di sicurezza informatica efficace.