Posted on

Attacchi DDoS: Cosa sono e come DDoS

, Author

Aggiornato il 10/6/2020

Un attacco DDoS (Distributed Denial-of-Service) è molto simile a un attacco DoS (Denial-of-Service), con l’unica differenza che lo stesso attacco viene effettuato da molte persone diverse (o botnet) esattamente nello stesso momento. Pertanto, il DDoS è solo una questione di scala.

Dopo aver selezionato un servizio da colpire, seguite questi cinque passi per montare un attacco DoS:

  1. Lancia uno strumento DoS, come LOIC.

  2. Specifica l’indirizzo IP del server che vuoi attaccare.

  3. Scegli una porta che sai essere aperta e che accetta connessioni in entrata.

  4. Seleziona TCP.

  5. Clicca sul pulsante per iniziare l’attacco.

Per montare un attacco DDoS, fai come per un attacco DoS, ma con lo strumento HOIC. Ecco come fare un DDoS:

  1. Trovare e scegliere un servizio.

  2. Selezionare una porta aperta.

  3. Lanciare HOIC.

  4. Aumentare i Threads.

  5. Target l’URL desiderato.

  6. Aumenta il Power a High.

  7. Seleziona il tuo Booster.

  8. Monta l’attacco.

Prima esaminiamo un attacco DoS così che un attacco DDoS possa essere meglio compreso.

Che cos’è un attacco Denial-of-Service (DoS)?

DoS è un attacco informatico progettato per sopraffare un servizio online, far crashare il suo sistema, negando così il servizio a clienti, dipendenti, ecc. Per mettere a segno un attacco DoS, tutto quello che devi fare è:

  1. Trovare e scegliere un servizio come bersaglio.

  2. Selezionare una porta aperta.

  3. Superare il servizio.

In fondo, un attacco DoS è abbastanza semplice e diretto da mettere a segno. La vera domanda qui è se avete abbastanza scala per sopraffare il vostro sistema bersaglio.

Ecco una ripartizione di ogni passo.

Trovare e scegliere un servizio da colpire

Il primo passo per montare un DoS è trovare un servizio che potete colpire. Questo dovrebbe essere qualcosa con porte aperte e vulnerabilità, e che accetti connessioni in entrata.

Alcuni dei servizi che potrebbero soddisfare questi criteri sono:

  • Server web

  • Server DNS

  • Server email

  • Server FTP

  • Server Telnet

Quello che rende questi servizi così facili da colpire è che accettano connessioni non autenticate.

Selezionare una porta aperta

Vedi una lista di porte aperte in Windows aprendo la linea di comando DOS, inserendo netstat e premendo Invio. Per visualizzare le porte con cui un computer comunica, digitate netstat -an |find /i “established”.

Le impostazioni delle porte variano da programma a programma, ma l’idea generale è la stessa per tutti. Quando cercate di accedere a una porta, saprete che non è accessibile se “Connecting…” si blocca e poi la finestra va via. Se è accessibile, otterrete una finestra vuota o vedrete un testo simile a “220 ESMTP parlato qui.”

Se preferite, ecco tre strumenti che potete usare per trovare le porte aperte:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Overwhelm the Service

Idealmente, dovresti scegliere un servizio che non abbia un limite massimo al numero di connessioni che permette. Il modo migliore per sapere se un servizio non ha un limite massimo è quello di inviargli qualche centinaio di migliaia di connessioni e poi osservare cosa succede.

Per ottenere un effetto ottimale, è necessario inviare query e informazioni specifiche. Per esempio, se state prendendo di mira un server web con un motore di ricerca, non richiedete semplicemente una pagina web o premete F5 un mucchio di volte. Richiedete una query di ricerca complessa che consumerà una quantità significativa di potenza per essere risolta. Se farlo solo una volta ha un impatto notevole sul backend, allora farlo cento volte al secondo probabilmente farà crollare il server.

Si può fare la stessa cosa contro un server DNS. Potete forzarlo a risolvere query DNS complesse che non sono nella cache. Fatelo abbastanza spesso e questo farà crollare il server.

Per un servizio di posta elettronica, potete inviare molti allegati di grandi dimensioni, se riuscite a ottenere un account legittimo sul suo server. Se non ci si riesce, è abbastanza facile fare uno spoofing.

Se non si può prendere di mira un servizio specifico, si può semplicemente inondare un host di traffico, tranne che l’attacco potrebbe non essere così elegante e richiederebbe certamente un po’ più di traffico.

Una volta che avete sopraffatto il sistema, l’ambiente è pronto per un attacco.

Come montare un attacco DoS

Una volta che avete fatto il footprinting della rete, la scansione e i processi di enumerazione, dovreste avere una buona idea di cosa sta succedendo nella rete che state prendendo di mira. Ecco un esempio di un particolare sistema che vorreste attaccare. Si tratta di 192.168.1.16 (un controller di dominio Windows 2008 e un server web).

Per attaccarlo, segui questi 5 passi:

1. Lanciate il vostro strumento preferito per attaccare i sistemi. Mi piace il Low Orbit Ion Cannon (LOIC). Questo è lo strumento più facile da capire perché è abbastanza ovvio cosa sta facendo.

Altri strumenti DoS che possono essere usati per attaccare includono XOIC, HULK, DDOSIM, R.U.D.Y., e Tor’s Hammer.

2. Specificate l’indirizzo IP del server che volete attaccare, che in questo caso è 192.168.1.16. Bloccatelo.

3. Scegliete una porta che sapete essere aperta e che accetta connessioni in entrata. Per esempio, scegli la porta 80 per montare un attacco basato sul web.

4. Seleziona TCP per specificare quali risorse vincolare.

5. Clicca sul pulsante per montare l’attacco.

Vedrai i dati richiesti aumentare rapidamente.

L’aumento dei dati potrebbe alla fine iniziare a rallentare un po’, in parte perché consumerete risorse sul client, e anche perché il server stesso starebbe esaurendo le risorse o iniziando a difendersi dal vostro attacco.

Cosa fare quando l’host inizia a difendersi da solo

Alcuni host possono essere configurati per cercare modelli, identificare attacchi e iniziare a difendersi. Per contrastare la loro difesa, puoi:

  1. Fermare momentaneamente l’attacco (cliccando lo stesso pulsante che hai cliccato per montare l’attacco).

  2. Cambiare la porta che stai attaccando.

  3. Rallenta un po’ l’attacco, che aggiunge confusione.

Nel nostro esempio, cambierai la porta dalla porta 80 alla porta 88 (se rivedi lo screenshot su Advanced Port Scanner, vedrai che anche la porta 88 è aperta). Una volta che hai finito di cambiare le impostazioni, puoi riprendere l’attacco cliccando nuovamente sul pulsante di attacco.

Ora stai attaccando una porta diversa (che equivale a un servizio diverso) in un modo leggermente diverso e a una velocità diversa. La velocità è importante solo se stai attaccando da un solo client.

Questo è l’aspetto di un attacco quando fai questo tipo di DoS da una sola macchina.

Cos’è un attacco DDoS? Attaccare più clienti contemporaneamente

Un attacco Distributed Denial of Service (DDoS) viene eseguito con l’obiettivo di abbattere un sito web o un servizio inondandolo con più informazioni o elaborazione di quanto il sito possa gestire. È praticamente la stessa cosa di un attacco DoS, con la differenza che viene eseguito da molte macchine diverse in una sola volta.

A seconda della situazione, un client che attacca in questo modo può o non può immediatamente influenzare le prestazioni del server, ma un attacco DDoS non deve fermarsi ad un solo client. In genere, si dovrebbe montare questo attacco contro diverse porte in momenti diversi, e cercare di rilevare se le vostre azioni stanno influenzando i servizi. Meglio ancora, spegnerà il server.

Se l’attacco sta producendo l’effetto desiderato, si potrebbe scalare eseguendo il LOIC su una dozzina (o anche centinaia) di macchine allo stesso tempo. Molte di queste azioni possono essere scriptate, il che significa che è possibile catturare il traffico e riprodurlo dalla riga di comando su diversi obiettivi. Oppure, è possibile riprodurlo come parte di uno script da diversi attaccanti, che potrebbero essere i vostri pari, i vostri zombie, o entrambi. Spesso, il malware (botnet, esplorato di seguito) viene utilizzato per lanciare gli attacchi perché il malware può essere programmato per essere lanciato esattamente nello stesso momento.

Questo è il momento in cui la velocità diventa meno importante perché si hanno un centinaio di client diversi che attaccano allo stesso tempo. È possibile rallentare le cose ad ogni singolo client ed essere ancora in grado di montare un attacco abbastanza efficace.

Lo schermo avrebbe lo stesso aspetto su ogni singola macchina se si montasse l’attacco da centinaia o migliaia di macchine, come se lo si stesse facendo su una singola macchina.

Che cos’è una Botnet?

Come spiegato dalla Internet Society:

“Una botnet è una collezione di computer utente connessi a Internet (bot) infettati da un software maligno (malware) che permette ai computer di essere controllati a distanza da un operatore (bot herder) attraverso un server di comando e controllo (C&C) per eseguire attività automatizzate su dispositivi che sono collegati a molti computer, come rubare informazioni o lanciare attacchi ad altri computer. Il malware botnet è progettato per dare ai suoi operatori il controllo di molti computer degli utenti contemporaneamente. Questo permette agli operatori botnet di utilizzare le risorse di calcolo e di larghezza di banda attraverso molte reti diverse per attività dannose.”

Anche se un grande aiuto per gli hacker, le botnet sono più di una piaga per gran parte della società online. Le botnet:

  • Possono essere diffuse a grandi distanze, anche operando in diversi paesi.

  • Riducono l’apertura, l’innovazione e la portata globale di internet.

  • Incolpiscono i diritti fondamentali degli utenti bloccando la libertà di espressione e di opinione, e violando la privacy.

Come fare un attacco DDoS

Per montare oltre 256 attacchi DDoS simultanei che faranno crollare un sistema, un team di diversi utenti può usare High Orbit Ion Cannon (HOIC) allo stesso tempo, ed è possibile utilizzare lo script aggiuntivo “booster”.

Per fare un attacco DDoS, trovare e scegliere un servizio, selezionare una porta aperta, e sopraffare il servizio seguendo questi passi:

  1. Lancia HOIC.

  2. Incrementa i Threads.

  3. Target l’URL desiderato.

  4. Aumenta la potenza a High.

  5. Seleziona il tuo Booster.

  6. Monta l’attacco.

Perché gli hacker illegali eseguono attacchi DoS e DDoS?

Gli attacchi DoS e DDoS sono eccessivamente distruttivi e possono richiedere un certo lavoro per essere lanciati, ma sono utilizzati dai criminali informatici come arma da utilizzare contro un concorrente, come forma di estorsione, o come paravento per nascondere l’estrazione di dati sensibili.

Inoltre, a volte gli attacchi sono montati per una o più di queste ragioni:

  • Guerre di territorio su Internet.

  • Un’espressione di rabbia o una punizione.

  • Pratica, o solo per vedere se si può fare.

  • Per il “divertimento” di causare caos.

I danni causati dagli attacchi DDoS sono estremamente significativi. Cisco ha riportato alcuni fatti e stime illuminanti:

  • Il numero di attacchi DDoS globali raddoppierà da 7,9 milioni nel 2018 a 15,4 milioni entro il 2023.

  • La dimensione media di un attacco DDoS è di 1 Gbps, che può portare un’organizzazione completamente offline.

Un sondaggio ITIC del 2019 ha rilevato che “una singola ora di downtime ora costa al 98% delle aziende almeno 100.000 dollari. E l’86% delle imprese afferma che il costo di un’ora di fermo macchina è di 300.000 dollari o superiore”. Il 34% dice che costa da 1 milione a 5 milioni di dollari essere giù per un’ora.

Un esempio recente di un attacco DDoS è l’attacco di Amazon Web Services nel febbraio 2020. Il gigante del cloud computing è stato preso di mira e ha inviato fino a uno sbalorditivo 2,3 terabyte di dati al secondo per tre giorni di fila.

Se vuoi dare un’occhiata agli attacchi in corso in tutto il mondo in tempo reale (o quasi), controlla la mappa delle minacce di attacchi informatici.

Come proteggere la tua azienda da attacchi DoS e DDoS

Per proteggere la tua azienda da attacchi DoS e DDoS, ecco alcune raccomandazioni:

  1. Installare software di sicurezza e tenerlo aggiornato con le ultime patch.

  2. Proteggere tutte le password.

  3. Utilizzare servizi anti-DDoS per riconoscere picchi legittimi nel traffico di rete, invece di un attacco.

  4. Avere un ISP di riserva in modo che il tuo provider ISP possa reindirizzare il tuo traffico.

  5. Utilizzare servizi che disperdono il traffico di attacco massiccio tra una rete di server.

  6. Aggiornare e configurare i tuoi firewall e router per rifiutare il traffico fraudolento.

  7. Integrare l’hardware del front-end delle applicazioni per vagliare e classificare i pacchetti.

  8. Utilizzare un sistema di AI ad autoapprendimento che instradi e analizzi il traffico prima che raggiunga i computer aziendali.

  9. Impiegate un hacker etico per cercare e trovare punti non protetti nel vostro sistema.

È un compito difficile proteggere la vostra azienda da attacchi DoS e DDoS, ma determinare le vostre vulnerabilità, avere un piano di difesa e trovare tattiche di mitigazione sono elementi essenziali della sicurezza della rete.

Impara di più sull’hacking etico

L’hacking etico è uno strumento importante e prezioso utilizzato dai professionisti della sicurezza IT nella loro lotta contro le violazioni informatiche costose e potenzialmente devastanti. Utilizza tecniche di hacking per ottenere informazioni sull’efficacia del software e delle politiche di sicurezza in modo da poter attuare una migliore protezione delle reti.

I principi guida di base da seguire quando si fa hacking legale sono:

  • Non usare mai la tua conoscenza per guadagno personale.

  • Fallo solo quando ti è stato dato il diritto.

  • Non usare software pirata nei tuoi attacchi.

  • Avere sempre integrità ed essere affidabile.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.