Zpedia 

/ Che cos'è un attacco DoS (Denial-of-Service)?

Che cos'è un attacco DoS (Denial-of-Service)?

Un attacco di tipo Denial of Service (DoS) è un attacco in cui i criminali informatici interrompono il servizio che un host connesso a Internet offre ai suoi utenti. Questo avviene inondando la rete o il server target con flussi costanti di traffico, come ad esempio richieste fraudolente, che sovraccaricano il sistema e impediscono di elaborare il traffico legittimo.

Esplora le soluzioni per la protezione dalle minacce informatiche di Zscaler
Sicurezza della reteSicurezza sul cloudSecOps e Endpoint Security
  1. Come funziona
  2. DoS e DDoS a confronto
  3. Esempi di attacchi
  4. Come identificare un attacco
  5. Tipi di attacchi
  6. Prevenzione
  7. Cosa può fare Zscaler
  8. Risorse suggerite
  9. Domande frequenti
  10. Argomenti correlati

Come funziona un attacco DoS?

In un attacco di tipo DoS (Denial of Service, o negazione del servizio), un hacker utilizza un programma per inondare un server di traffico dannoso. Le richieste di questo traffico sembrano provenire da utenti legittimi, quindi il server convalida ogni singola richiesta. In realtà però il "servizio" viene "negato" agli utenti legittimi, a causa della conseguente perdita di larghezza di banda e di risorse di rete.

Il sistema o i dati attaccati non risultano quindi disponibili per gli utenti che ne hanno bisogno. Gli attacchi DoS sono spesso utilizzati a scopo di estorsione perché, per esempio, un'azienda che non è in grado di fornire il proprio servizio ai suoi clienti può perdere entrate e subire danni alla reputazione. In questo senso, il DoS è simile al ransomware, ma a essere colpito è il servizio offerto dalla vittima, non i suoi dati.

Qual è la differenza tra un attacco DoS e un attacco DDoS?

Mentre un attacco DoS proviene da un'unica fonte, un attacco DDoS (Distributed Denial-of-Service) trasmette richieste fraudolente da più fonti contemporaneamente. In genere, un criminale usa un gruppo di dispositivi connessi a Internet, a volte su scala globale, per inondare il server bersaglio, che può essere quindi sovraccaricato molto più facilmente rispetto a ciò che avverrebbe con un attacco DoS.

Un gruppo di computer infetti di questo tipo viene chiamato botnet. Le botnet operano in modo sincronizzato, in attesa di istruzioni da parte di un aggressore da un singolo indirizzo IP per lanciare un attacco di tipo flood. Questi attacchi sono solitamente programmati per iniziare a un orario specifico e possono durare ore o addirittura giorni.

Se in un attacco DoS un server può semplicemente chiudere la singola connessione da cui è stato avviato l'attacco, gli attacchi DDoS sono molto più pericolosi e difficili da mitigare, perché l'afflusso di traffico proviene da più fonti contemporaneamente.

Inoltre, gli utenti malintenzionati ora utilizzano i dispositivi IoT (Internet delle cose) per rendere le loro botnet ancora più pericolose, riducendo i processi manuali. In particolare, possono utilizzare questi dispositivi per rendere molto più semplice la sincronizzazione delle botnet e incrementare l'efficacia degli attacchi.

Quali sono gli attacchi DoS storicamente più significativi?

Gli attacchi DDoS sono più comuni degli attacchi DoS, soprattutto perché sono molto più difficili da contrastare e possono quindi essere portati avanti per un periodo di tempo più lungo.

I fornitori di servizi cloud sono spesso vittime di attacchi DDoS a causa della loro vulnerabilità intrinseca a tali minacce. Ecco alcuni tra i più recenti che hanno fatto notizia:

  • Amazon: a febbraio del 2020, Amazon ha subito uno dei più grandi attacchi DDoS mai registrati. Utilizzando i meccanismi del protocollo CLDAP (Connectionless Lightweight Directory Access Protocol), gli aggressori hanno colpito un cliente di Amazon Web Services (AWS) a una velocità di 3,3 terabyte al secondo (TBps) per tre giorni.
  • GitHub: a febbraio del 2018, gli aggressori hanno inondato i server di GitHub con 1,35 terabyte al secondo per 20 minuti. "Decine di migliaia di singoli endpoint" ospitavano "oltre un migliaio di sistemi autonomi diversi" che hanno lanciato l'attacco.
  • Google: a ottobre del 2020, Google ha subito un attacco di amplificazione UDP durato sei mesi da parte di tre provider di servizi Internet (ISP) cinesi, che hanno inviato più di 2,5 terabyte al secondo di dati indesiderati ai suoi server.

Come si può identificare un attacco DoS?

I fornitori di infrastrutture tendono a non filtrare gli annunci di route, che indicano alle persone come arrivare da un punto all'altro di Internet. Ma soprattutto, tendono a non filtrare i pacchetti per verificare l'origine del traffico. Questi due elementi consentono agli aggressori di inviare con facilità del traffico dannoso a un obiettivo.

Gli utenti malintenzionati sono generalmente motivati da tre fattori: l'ostilità verso l'obiettivo (un movente tipico per gli attacchi lanciati dai cosiddetti "hacktivist"), l'estorsione e il desiderio di derubare le vittime a cui viene negato l'accesso a un servizio. Sebbene non esista un segnale di allarme precoce per un attacco DoS, un professionista della sicurezza esperto è in grado di rilevare il traffico inviato da un utente malintenzionato e determinare se un bersaglio può essere colpito o meno.

Gli aggressori inviano un gran numero di richieste, ad esempio a diverse parti di un sito web, per verificare la vulnerabilità dei server a un attacco DoS. Queste prime "avvisaglie" del web sono un segnale che l'organizzazione potrebbe subire un attacco.

Con un adeguato monitoraggio della sicurezza di rete, il team responsabile della sicurezza informatica è in grado di analizzare il traffico e individuare i modelli di pacchetti che rappresentano chiari segnali di un attacco. Per capire in tempo reale se l'organizzazione sta subendo un attacco, è necessario osservare i metadati di router e switch, un compito più semplice se si impiega uno strumento di monitoraggio efficiente.

Tipi di attacchi DDoS

Esistono quattro tipi principali di attacchi DoS che mirano a sfruttare o estorcere sistemi e dati:

  • Reindirizzamento del browser: un utente richiede il caricamento di una pagina, ma un hacker lo reindirizza a un'altra pagina dannosa.
  • Chiusura della connessione: un aggressore chiude una porta aperta, negando a un utente l'accesso a un database.
  • Distruzione dei dati: un hacker cancella i file, causando l'errore "risorsa non trovata" quando qualcuno richiede un file, oppure, se un'applicazione contiene una vulnerabilità che la espone ad attacchi di injection, l'utente malintenzionato può negare il servizio eliminando la tabella del database.
  • Sovraccarico delle risorse: un utente malintenzionato richiederà ripetutamente l'accesso a una particolare risorsa, sovraccaricando l'applicazione web e causando un rallentamento o un arresto anomalo della pagina.

 

Tipi di attacchi DDoS

Ecco alcuni esempi specifici di attacchi DDoS da ricordare:

  • SYN flood: un utente malintenzionato sfrutta una comunicazione TCP (SYN-ACK) inviando una grande quantità di pacchetti SYN (da questo deriva il termine flood, ossia inondazione), consumando di conseguenza le risorse del sistema preso di mira.
  • Spoofing: un aggressore impersona un utente o un dispositivo e, dopo aver ottenuto l'attendibilità, utilizza pacchetti falsificati per lanciare un attacco informatico.
  • Attacchi DDoS a livello di applicazione: come suggerisce il nome, questo attacco, una volta distribuito, sfrutterà una vulnerabilità o un errore di configurazione in un'applicazione e ne negherà a un utente l'accesso o l'utilizzo
  • DNS (Domain Name System) flood: conosciuto anche come attacco di amplificazione DNS, in cui un aggressore interrompe la risoluzione DNS di un determinato nome di dominio inondando i suoi server di richieste.
  • ICMP (Internet Control Message Protocol) flood: conosciuto anche come ping flood, in cui un aggressore falsifica un IP di origine e crea un attacco smurf. Questo metodo può essere utilizzato anche per inviare un PoD (Ping of Death), in cui un pacchetto di grandi dimensioni causa il sovraccarico del buffer
  • UDP (User Datagram Protocol) flood: un aggressore inonda porte casuali del suo obiettivo, consumando risorse e rispondendo con pacchetti di "destinazione irraggiungibile".

Prevenire un attacco DoS

Gli attacchi DoS o DDoS possono colpire in qualsiasi momento, ma seguendo le dovute best practice è possibile dotare l'organizzazione di tutti gli strumenti e i protocolli necessari per una difesa efficace.

Ecco cinque modi per prevenire un attacco DoS:

  1. Creare un piano di risposta. Esamina il sistema e identifica eventuali falle, vulnerabilità o lacune nella sicurezza e delinea un piano di risposta in caso di attacco.
  2. Proteggere l'infrastruttura. Usa soluzioni firewall efficaci per il monitoraggio del traffico e l'intelligence sulle minacce con base cloud, come il rilevamento o la prevenzione delle intrusioni, per incrementare notevolmente le possibilità di riuscire a respingere gli attacchi DoS.
  3. Imparare a riconoscere i segnali di pericolo. Fai attenzione a prestazioni di rete lente, tempi di inattività del sito web, un'interruzione o un improvviso aumento dello spam. Tutti questi elementi richiedono un'azione immediata.
  4. Adottare servizi con base cloud. Le risorse cloud offrono una maggiore larghezza di banda rispetto a quelle on-premise, e dato che i server non si trovano tutti nella stessa posizione, gli utenti malintenzionati avranno più difficoltà a colpire.
  5. Monitorare le eventuali attività insolite. Ciò consentirà al tuo team di sicurezza di rilevare e mitigare un attacco DoS o DDoS in tempo reale. Nella prossima sezione, vedremo come azzerare integralmente il rischio di subire attacchi DoS e DDoS.

Come ridurre il rischio di subire un attacco DoS?

Se il profilo di sicurezza e la visibilità sono carenti, possono esporre l'azienda non solo ad attacchi DoS e DDoS, ma anche ad altre minacce, come malware, ransomware, spear phishing e altro. Per mantenere l'organizzazione al sicuro e massimizzare le possibilità di mitigare efficacemente DoS e DDoS, è necessaria un'adeguata protezione da questi tipi di attacco. Ecco alcuni modi per ridurre le possibilità di subire attacchi DoS o DDoS:

  • Implementare la sicurezza dal cloud. La sicurezza fornita sul cloud consente di estendere le policy a tutti gli utenti, ovunque si trovino e qualunque sia il dispositivo usato, e offre una visibilità completa sull'ambiente. Inoltre, grazie agli aggiornamenti automatici e all'eliminazione degli interventi manuali per l'applicazione delle patch o l'ottimizzazione, l'azienda sarà sempre pronta a difendersi dalle minacce più recenti.
  • Adottare il rilevamento e la risposta estesi (Extended Detection and Response, XDR). L'XDR è un'evoluzione del rilevamento e della risposta degli endpoint (Endpoint Detection and Response, EDR) che offre visibilità sulle minacce agli endpoint e informazioni utili sui potenziali rischi legati ai dati e alla sicurezza sul cloud, il tutto grazie a un'intelligence olistica e integrata sulle minacce. Tutto questo consentirà di arginare la proliferazione dei falsi positivi, spesso riscontrata dai team di sicurezza, permettendo loro di essere più produttivi.
  • Considerare l'introduzione di un SOC (Security Operations Center). Un SOC gestito sul cloud permette di controllare ambiti che altrimenti non potrebbero essere coperti dal team di sicurezza, impegnato in molte altre attività; alcuni esempi sono il provisioning delle policy cloud, il rilevamento e la risposta alle minacce, la protezione dei dati e persino la conformità, in alcuni casi. Come per l'XDR, un SOC gestito offre al team la libertà di concentrarsi su questioni più urgenti.
  • Implementare un'architettura zero trust. Secondo Gartner, entro il 2025, almeno il 70% delle nuove distribuzioni di accesso remoto avverrà prevalentemente tramite servizi ZTNA, anziché attraverso le VPN, una percentuale che era inferiore al 10% alla fine del 2021. Il motivo di questo cambiamento è che la sicurezza zero trust concede l'accesso solo in base al contesto (considerando fattori come utente, dispositivo, posizione e applicazione), garantendo che gli utenti malintenzionati siano sempre mantenuti alla larga.

In questo campo, esiste solo un fornitore che offre lo zero trust nativo del cloud, lo stesso che collabora con i migliori architetti di XDR per rilevare le minacce su tutti gli endpoint, i cloud e i dati. Questo fornitore è Zscaler.

Cosa può fare Zscaler

Zscaler è l'unico fornitore di servizi di sicurezza che offre una piattaforma sufficientemente solida per difendersi dalle minacce più recenti, compresi gli attacchi DoS e DDoS. Zscaler Private Access™ (ZPA™) fa parte di Zscaler Zero Trust Exchange™, la piattaforma Security Service Edge (SSE) più accreditata e diffusa al mondo.

Il design unico di ZPA si fonda su quattro principi fondamentali:

  • Collegare gli utenti alle applicazioni senza collocarli sulla rete
  • Non esporre mai le applicazioni agli utenti non autorizzati
  • Segmentare le app, non la rete
  • Fornire l'accesso remoto sicuro, senza dispositivi VPN

ZPA offre un modo semplice, sicuro ed efficace per accedere alle applicazioni interne. L'accesso si basa sulle policy create dall'amministratore IT all'interno dello ZPA Admin Portal e ospitate nel cloud Zscaler. Su ogni dispositivo dell'utente viene installato il nostro Zscaler Client Connector, che garantisce la sicurezza del dispositivo ed estende un microtunnel sicuro verso il cloud Zscaler quando l'utente tenta di accedere a un'applicazione interna.

ZPA colloca il nostro App Connector in prossimità di un'applicazione, su un cloud pubblico o in un data center; questo distribuito sotto forma di macchina virtuale e utilizzato per estendere un microtunnel verso il cloud Zscaler. Z-Connector stabilisce una connessione in uscita verso il cloud e non riceve alcuna richiesta di connessione in entrata, impedendo così gli attacchi DDoS.

All'interno del cloud di Zscaler, un CASB (Cloud Access Security Broker) approva l'accesso e stabilisce la connessione tra utente e applicazione. ZPA è una soluzione integralmente definita da software, che non richiede dispositivi fisici e consente agli utenti di trarre vantaggio dal cloud e dalla mobilità preservando al contempo la sicurezza delle applicazioni; tutti questi vantaggi non possono essere ottenuti attraverso i metodi tradizionali per la connettività di rete o i firewall legacy on-premise.

promotional background

Migliora il tuo profilo di sicurezza e proteggi gli utenti da tutti gli attacchi informatici più recenti, inclusi DoS e DDoS, con Zscaler Private Access.

Richiedi una demoScopri di più

Risorse suggerite

Approfondimenti globali di Zscaler ThreatLabz
I nostro Global Enforcement Dashboard
Che cos'è il movimento laterale?
Leggi l'articolo
Zscaler Cloud Firewall
Proteggi il traffico
Cosa si intende per sicurezza della rete?
Leggi l'articolo
01 / 02
FAQ