Gadgetshowto
I crimini informatici sono aumentati negli ultimi tempi, con attacchi ransomware (WannaCry, NotPetya), database compromessi (Equifax, Sony, Yahoo) e backdoor software (Floxif / CCleaner, ShadowPad / NetSarang) che hanno fatto spesso notizia. Sebbene la portata e la portata di questi attacchi siano sorprendenti, il fatto è che i criminali informatici non si limitano solo a rubare i tuoi dati, identità o denaro. La portata dei crimini nel mondo virtuale è grande quanto lo è nel mondo reale, se non di più. Un tipo di attacco informatico che è stato al centro dell'attenzione negli ultimi tempi è DDoS, o denial-of-service distribuito che ha spesso diviso la comunità degli hacker white hat nel corso degli anni. Con il principale fornitore di servizi CDN Cloudflare che annuncia la protezione DDoS gratuita per tutti i suoi clienti, il dibattito secolare tra DDoS "etico" e DDoS dannoso è ricominciato ancora una volta, con entrambe le parti che si sono schierate a pieno sostegno delle rispettive argomentazioni. Con il dibattito sugli attacchi DDoS che imperversa su Internet, diamo uno sguardo dettagliato al fenomeno oggi nel tentativo non solo di saperne di più su di esso, ma anche di cercare di capire perché gli hacktivisti e i gruppi di difesa della libertà di parola continuano a fallire i loro sforzi per giungere a un consenso al riguardo in primo luogo:
Che cos'è DDoS e come funziona?
In termini più semplici, un attacco DDoS (Distributed Denial of Service) è un tentativo di interrompere artificialmente il normale funzionamento di un sito o rete inondando il server di destinazione con una quantità enorme di traffico che rallenta o blocca completamente la rete. Ciò si ottiene utilizzando più sistemi compromessi come parte di ciò che è noto come a "botnet" che può includere qualsiasi dispositivo connesso alla rete, inclusi, ma non limitati a, computer, smartphone e dispositivi IoT. Gli hacker black-hat e gli hacktivisti utilizzano vari strumenti sofisticati per eseguire questi attacchi non solo inondando i server di destinazione con una quantità eccessiva di traffico, ma anche utilizzando tecniche di infiltrazione più sottili e difficili da rilevare che prendono di mira infrastrutture di sicurezza di rete critiche, come firewall e IDS / IPS (Intrusion Detection / Prevention System). 
Che cos'è DoS e in che modo differisce da DDoS?
Gli attacchi Denial of Service (DoS) sono esattamente come sembrano, nella misura in cui lo fanno impedisce l'accesso agli utenti legittimi server mirati, sistemi o altre risorse di rete. Come nel caso degli attacchi DDoS, una persona o le persone che eseguono un tale attacco in genere invaderebbero l'infrastruttura mirata con un volume eccessivamente alto di richieste superflue al fine di sopraffare le sue risorse, rendendo così difficile o addirittura impossibile per la rete interessata o sistema per rispondere a richieste autentiche di servizio. Per un utente finale, gli effetti di DoS non sono completamente diversi da quelli di DDoS, ma diversi il primo che utilizza tipicamente una singola macchina e una singolare connessione Internet per eseguire l'attacco, quest'ultimo utilizza più dispositivi compromessi per allagare l'obiettivo previsto, rendendolo incredibilmente difficile da rilevare e prevenire.
Quali sono i diversi tipi di attacchi DDoS?
Come accennato in precedenza, sia i criminali informatici che gli hacktivisti utilizzano una miriade di vettori di attacco per eseguire i loro attacchi DDoS, ma la maggior parte di questi attacchi rientrerà, per la maggior parte, in tre grandi categorie: attacchi volumetrici o di larghezza di banda, attacchi di protocollo o Attacchi di stato di esaurimento e attacchi a livello di applicazione o attacchi di livello 7. Tutti questi attacchi prendono di mira vari componenti di una connessione di rete composta da 7 diversi livelli, come mostrato nell'immagine seguente: 
1. Attacchi volumetrici o attacchi di larghezza di banda
Si ritiene che questi tipi di attacchi costituiscono oltre la metà di tutti gli attacchi DDoS effettuati in tutto il mondo ogni anno. Esistono diversi tipi di attacchi volumetrici, con l'essere più comune Protocollo datagramma utente (UDP) inondazione, per cui un utente malintenzionato invia un gran numero di pacchetti UDP a porte casuali su un host remoto, facendo sì che il server controlli e risponda ripetutamente ad applicazioni inesistenti, impedendo così di rispondere al traffico legittimo. Risultati simili possono essere ottenuti anche inondando un server vittima con richieste di eco ICMP (Internet Control Message Protocol) da più indirizzi IP che sono spesso falsificati. Il server di destinazione cerca di rispondere a ciascuna di queste richieste fasulle in buona fede, finendo per diventare sovraccarico e incapace di rispondere alle richieste di eco dell'ICMP autentiche. Gli attacchi volumetrici sono misurati in bit al secondo (Bps).
2. Attacchi al protocollo o attacchi di stato di esaurimento
Gli attacchi al protocollo, noti anche come attacchi State-Exhaustion, consumano la capacità della tabella di stato della connessione non solo dei server delle applicazioni Web, ma anche di altri componenti dell'infrastruttura, comprese le risorse intermedie, come bilanciatori del carico e firewall. Questi tipi di attacchi sono denominati "attacchi di protocollo" perché individuare i punti deboli nei livelli 3 e 4 dello stack del protocollo per raggiungere il loro obiettivo. Anche i dispositivi commerciali all'avanguardia progettati specificamente per mantenere lo stato su milioni di connessioni possono essere gravemente influenzati dagli attacchi ai protocolli. Uno degli attacchi di protocollo più noti è il "SYN flood" che sfrutta il "meccanismo di handshake a tre vie" in TCP. Il modo in cui funziona è che l'host invia un flusso di pacchetti TCP / SYN, spesso con un indirizzo mittente contraffatto, al fine di consumare risorse del server sufficienti per rendere quasi impossibile il passaggio di richieste legittime. Altri tipi di attacchi al protocollo includono Ping of Death, Smurf DDoS e attacchi a pacchetti frammentati. Questi tipi di attacchi sono misurati in pacchetti al secondo (Pps). 
3. Attacchi a livello di applicazione o attacchi di livello 7
Attacchi a livello di applicazione, spesso indicati come attacchi di livello 7 in riferimento al 7 ° livello della modalità OSI, si rivolge al livello in cui vengono generate le pagine web da consegnare agli utenti che inviano le richieste HTTP. Diversi tipi di attacchi di livello 7 includono il famigerato 'Lento Loris'attacco, in base al quale l'aggressore invia un gran numero di richieste HTTP "lentamente" a un server di destinazione, ma senza mai completare nessuna delle richieste. L'aggressore continuerà a inviare intestazioni aggiuntive a piccoli intervalli, costringendo così il server a mantenere una connessione aperta per queste richieste HTTP senza fine, usurpando alla fine risorse sufficienti per rendere il sistema non rispondente a richieste valide. Un altro popolare attacco di livello 7 è il HTTP Flood attacco, per cui un gran numero di richieste HTTP, GET o POST fasulle inonda il server mirato in un breve lasso di tempo, con conseguente negazione del servizio per gli utenti legittimi. Poiché gli attacchi a livello di applicazione in genere includono l'invio di una quantità innaturalmente elevata di richieste a un server di destinazione, vengono misurati in richieste al secondo (Rps). 
Oltre agli attacchi a vettore singolo descritti sopra, ci sono anche attacchi multi-vettore che prendono di mira sistemi e reti da più direzioni contemporaneamente, rendendo così sempre più difficile per gli ingegneri di rete elaborare strategie complete contro gli attacchi DDoS. Uno di questi esempi di attacco multi-vettore è quando un utente malintenzionato accoppia l'amplificazione DNS, che prende di mira i livelli 3 e 4, con HTTP Flood che prende di mira il livello 7.
Come proteggere la tua rete da un attacco DDoS
Poiché la maggior parte degli attacchi DDoS funziona sovraccaricando un server o una rete di destinazione con il traffico, la prima cosa da fare per mitigare gli attacchi DDoS è distinguere tra traffico autentico e traffico dannoso. Tuttavia, come ci si aspetterebbe, le cose non sono così facili, data l'enorme varietà, complessità e livelli di sofisticazione di questi attacchi. Stando così le cose, proteggere la tua rete dagli attacchi DDoS più recenti e sofisticati richiede agli ingegneri di rete strategie attentamente progettate in modo da non buttare via il bambino con l'acqua sporca. Poiché gli aggressori faranno del loro meglio per far sembrare normale il loro traffico dannoso, i tentativi di mitigazione che implicano la limitazione di tutto il traffico limiteranno il traffico onesto, mentre un design più permissivo consentirà agli hacker di aggirare le contromisure più facilmente. Stando così le cose, bisognerà farlo adottare una soluzione a più livelli al fine di ottenere la soluzione più efficace.
Tuttavia, prima di arrivare agli aspetti tecnici, dobbiamo capire che poiché la maggior parte degli attacchi DDoS in questi giorni comportava il soffocamento delle corsie di comunicazione in un modo o nell'altro, una delle cose ovvie da fare è proteggere te stesso e la tua rete è più ridondanza: più larghezza di banda e più server distribuito su più data center in diverse posizioni geografiche, che funge anche da assicurazione da disastri naturali, ecc.
Un'altra cosa importante da fare è seguire alcune delle migliori pratiche del settore quando si tratta di server DNS. Liberarsi dei resolver aperti è uno dei primi passi fondamentali nella tua difesa contro gli attacchi DDoS, perché a cosa serve un sito web se nessuno può risolvere il tuo nome di dominio in primo luogo? Stando così le cose, è necessario guardare oltre la consueta configurazione del server dual-DNS che la maggior parte dei registrar di nomi di dominio fornisce per impostazione predefinita. Molte aziende, tra cui la maggior parte dei principali fornitori di servizi CDN, offrono anche protezione DNS avanzata tramite server DNS ridondanti che sono protetti dallo stesso tipo di bilanciamento del carico del tuo web e di altre risorse.
Sebbene la maggior parte dei siti e dei blog esternalizzi il proprio hosting a terze parti, alcuni scelgono di fornire i propri dati e gestire le proprie reti. Se appartieni a quel gruppo, coinvolgono alcune delle pratiche di settore fondamentali ma critiche che devi seguire la creazione di un firewall efficace e il blocco di ICMP se non ne hai bisogno. Assicurati anche che tutti i tuoi router rilasciano pacchetti spazzatura. Dovresti anche metterti in contatto con il tuo ISP per verificare se può aiutarti a bloccare il traffico desiderato per te. I termini e le condizioni variano da un ISP all'altro, quindi è necessario verificare con i loro centri operativi di rete per vedere se offrono tali servizi per le imprese. In generale, i seguenti sono alcuni dei passaggi che spesso i provider CDN, gli ISP e gli amministratori di rete impiegano per mitigare gli attacchi DDoS:
Instradamento del buco nero
Il Black Hole Routing, o Blackholing, è uno dei modi più efficaci per mitigare un attacco DDoS, ma deve essere implementato solo dopo un'adeguata analisi del traffico di rete e la creazione di un rigoroso criterio di restrizione, poiché altrimenti "blackhole", o instradare tutto il traffico in entrata su una rotta nulla (blackhole) indipendentemente dal fatto che sia autentico o dannoso. Tecnicamente aggirerà un DDoS, ma l'aggressore avrà comunque raggiunto l'obiettivo di interrompere il traffico di rete.
Limitazione della velocità
Un altro metodo spesso utilizzato per mitigare gli attacchi DDoS è il "Rate Limiting". Come suggerisce il nome, coinvolge limitare il numero di richieste che un server accetterà entro un intervallo di tempo specificato. È utile per impedire ai web scrapers di rubare contenuti e per mitigare i tentativi di accesso a forza bruta, ma deve essere utilizzato insieme ad altre strategie per essere in grado di gestire efficacemente gli attacchi DDoS.
Web Application Firewall (WAF)
Anche se non abbastanza in sé, proxy inversi e WAF sono alcuni dei primi passi da compiere per mitigare una varietà di minacce, non solo DDoS. I WAF aiutano a proteggere la rete di destinazione dagli attacchi di livello 7 di filtrare le richieste in base a una serie di regole utilizzate per identificare gli strumenti DDoS, ma è anche molto efficace nel proteggere i server da SQL injection, cross-site scripting e richieste di cross-site contraffatte.
Anycast Network Diffusion
Le reti di distribuzione dei contenuti (CDN) utilizzano spesso le reti Anycast come un modo efficace per mitigare gli attacchi DDoS. Il sistema funziona da reindirizzare tutto il traffico destinato a una rete sotto attacco a una serie di server distribuiti in luoghi diversi, diffondendo così l'effetto dirompente di un tentativo di attacco DDoS.
In che modo Cloudflare propone di porre fine definitivamente agli attacchi DDoS con la sua protezione DDoS gratuita?
Una delle principali reti di distribuzione di contenuti al mondo, Cloudflare, ha recentemente annunciato che fornirà protezione dagli attacchi DDoS non solo ai suoi clienti a pagamento, ma anche ai suoi client gratuiti, indipendentemente dalle dimensioni e dalla portata dell'attacco. Come previsto, l'annuncio, fatto all'inizio di questa settimana, ha creato molto scalpore nel settore e nei media tecnologici globali, che sono tipicamente abituati ai CDN, incluso Cloudflare, che cacciano via i loro clienti sotto attacco o chiedono più soldi da loro per una protezione continua. Mentre le vittime fino ad ora hanno dovuto badare a se stesse quando erano sotto attacco, la promessa di una protezione DDoS gratuita e illimitata è stata accolta calorosamente da blog e aziende i cui siti Web e reti rimangono costantemente minacciati per la pubblicazione di contenuti controversi.
Sebbene l'offerta di Cloudflare sia davvero rivoluzionaria, l'unica cosa che deve essere menzionata è che l'offerta di la protezione gratuita e illimitata è applicabile solo per gli attacchi di livello 3 e 4, mentre gli attacchi di livello 7 sono ancora disponibili solo per i piani a pagamento che partono da $ 20 al mese.
In caso di successo, cosa significherà l'offerta di Cloudflare per "Hacktivism"?
Come previsto, l'annuncio di Cloudflare ha riacceso il dibattito tra hacktivisti ed esperti di sicurezza Internet sull'hacking etico e sulla libertà di parola. Molti gruppi di hacktivisti, come Chaos Computer Club (CCC) e Anonymous, sostengono da tempo che è necessario organizzare "proteste digitali" contro siti Web e blog che diffondono propaganda odiosa e ideologie bigotte, spesso violente. Stando così le cose, questi gruppi di hacker attivisti, o hacktivisti, hanno spesso preso di mira siti web terroristici, blog neonazisti e venditori ambulanti di pornografia infantile con attacchi DDoS, l'ultima vittima è il blog di estrema destra 'Daily Stormer' che ha elogiato il recente assassinio di un attivista per i diritti umani a Charlottesville, in Virginia, da parte di un estremista di destra.
Mentre alcuni, come il CEO di Cloudflare Mattew Prince, e la EFF (Electronic Frontier Foundation) hanno criticato gli hacktivisti per aver tentato di mettere a tacere la libertà di parola con attacchi DDoS, i sostenitori dell'hacktivism sostengono che le loro proteste digitali contro ideologie abominevoli non sono diverse dal riempire una piazza cittadina o tenendo un sit-in sulla falsariga del movimento `` Occupy '' iniziato con la famosa protesta di Occupy Wall Street il 17 settembre 2011, portando l'attenzione globale sulla crescente disuguaglianza socio-economica in tutto il mondo.
Mentre alcuni potrebbero sostenerlo DDoS è uno strumento per una vera protesta, consentire agli hacker etici di agire rapidamente contro terroristi, fanatici e pedofili in modo da portare offline i loro contenuti immorali (e spesso illegali) per sempre, tali attacchi hanno anche un lato oscuro. I giornalisti investigativi e gli informatori sono stati spesso l'obiettivo di tali attacchi in passato, ed è stato solo l'anno scorso che il sito web del giornalista per la sicurezza informatica, Brian Krebs, è stato bloccato da un massiccio attacco DDoS che ha misurato un folle 665 Gbps al suo picco . Krebs aveva precedentemente riferito di un servizio israeliano di DDoS a noleggio chiamato vDOS, che ha portato all'arresto di due cittadini israeliani, e si credeva che l'attacco fosse una punizione.
VEDERE ANCHE: 7 migliori alternative Cloudflare per il tuo sito web
Attacchi DDoS e piano di Cloudflare per farli diventare un ricordo del passato
Nonostante le audaci affermazioni di Cloudflare di rendere gli attacchi DDoS una cosa se non il passato, molti esperti sostengono che non è tecnologicamente possibile rendere gli attacchi DDoS completamente obsoleti in questa fase. Mentre gigantesche aziende come Facebook o Google hanno le ridondanze infrastrutturali necessarie per assicurarsi di non subire mai tali attacchi, estendere tale protezione a ogni singolo sito sotto il sole può rappresentare una sfida anche per il più grande dei CDN. Tuttavia, Prince ha affermato che Cloudflare è in grado di assorbire "tutto ciò che Internet ci lancia", quindi solo il tempo dirà se gli attacchi DDoS saranno consegnati definitivamente agli annali della storia, o se i gruppi di hacktivisti saranno in grado di aggirare alcuni di contromisure per portare avanti la loro crociata morale contro la violenza, l'odio e l'ingiustizia.
