Skip to content Skip to navigation Skip to footer

Denial of Service (DOS) vs. Ddos

Un attacco Denial-of-Service (DoS) colpisce un server a traffico intenso, rendendo non disponibile un sito Web o una risorsa. Un attacco Distributed Denial-of-Service (DDoS) utilizza più computer o macchine per colpire una risorsa mirata. Entrambi i tipi di attacchi mirano a sovraccaricare un server o un’applicazione Web con l’obiettivo di interromperne i servizi. 

Inondato da una quantità di pacchetti TCP/UDP (Transmission Control Protocol/User Datagram Protocol) maggiore di quella elaborabile, il server può andare in crash, con conseguenze come il danneggiamento di dati, l’erroneo indirizzamento alle risorse o addirittura una paralizzazione del sistema.

Qual è la differenza tra gli attacchi DoS e DDoS?

La differenza principale tra un attacco DoS e DDoS è che il primo è un attacco sistema-sistema, mentre il secondo coinvolge diversi sistemi che attaccano un singolo sistema. Vi sono tuttavia altre differenze che coinvolgono la natura o il rilevamento degli attacchi, tra cui:

  1. Facilità di rilevamento/attenuazione: poiché un DoS proviene da una singola posizione, è più facile rilevarne l’origine e interrompere la connessione. In effetti, un firewall di livello professionale è in grado di farlo. Al contrario, un attacco DDoS proviene da più sedi remote, il che complica l’identificazione dell’origine.
  2. Velocità di attacco: poiché un attacco DDoS proviene da più sedi, può essere distribuito molto più velocemente di un attacco DoS, che parte da una singola sede. La maggiore velocità di attacco ne rende più difficile il rilevamento, con un conseguente aumento del danno o con risultati addirittura catastrofici per il sistema colpito. 
  3. Volume di traffico: un attacco DDoS utilizza più macchine remote (zombi o bot) per inviare contemporaneamente quantità di traffico importanti da varie posizioni, il che sovraccarica rapidamente il server e complica le operazioni di rilevamento.
  4. Modalità di esecuzione: un attacco DDoS coordina più host infettati da malware (bot), creando una botnet gestita da un server di comando e controllo (C&C). Al contrario, un attacco DoS utilizza solitamente uno script o uno strumento per eseguire l’attacco da una singola macchina.
  5. Tracciamento delle origini: l’uso di una botnet in un attacco DDoS implica un tracciamento dell’origine effettiva molto più complicato rispetto al tracciamento dell’origine di un attacco DoS.

Tipi di attacchi DoS e DDoS

Gli attacchi DoS e DDoS possono assumere molte forme ed essere utilizzati per vari scopi. Possono avere l’obiettivo di minare gli affari di un’azienda, paralizzare un concorrente, distrarre da altri attacchi, causare problemi o semplicemente affermarsi. Di seguito sono riportate alcune forme comuni di tali attacchi.

Attacco teardrop

Un attacco teardrop è un attacco DoS che invia innumerevoli frammenti di dati IP (Internet Protocol) a una rete. Quando la rete cerca di ricompilare i frammenti nei pacchetti originali, non è in grado di farlo. 

Ad esempio, l’autore dell’attacco può prendere pacchetti di dati di grandi dimensioni e suddividerli in più frammenti in modo tale da costringere il sistema di destinazione al riassemblaggio. Tuttavia, l’autore dell’attacco cambia il modo in cui il pacchetto viene disassemblato per confondere il sistema di destinazione, che non è quindi in grado di riassemblare i frammenti nei pacchetti originali.

Attacco flooding

Un attacco flooding è un attacco DoS che invia più richieste di connessione a un server ma non risponde per completare l’handshake. 

Ad esempio, l’aggressore può inviare varie richieste di connessione come client, ma quando il server tenta di comunicare per verificare la connessione, l’aggressore rifiuta di rispondere. Ripetendo il processo innumerevoli volte, il server viene inondato di richieste in sospeso e i client reali non riescono più a connettersi. Il server risulta "congestionato" o si blocca.

Attacco mediante frammentazione IP

Un attacco mediante frammentazione IP è un tipo di attacco DoS che fornisce pacchetti di rete alterati che la rete ricevente non è in grado di riassemblare. La rete viene congestionata da ingombranti pacchetti frammentati, e utilizza tutte le sue risorse.

Attacco volumetrico

Un attacco volumetrico è un tipo di attacco DDoS utilizzato per mirare alle risorse di larghezza di banda. Ad esempio, l’aggressore utilizza una botnet per inviare un elevato volume di pacchetti di richiesta a una rete, sovraccaricando la sua larghezza di banda con richieste di eco ICMP (Internet Control Message Protocol). Questo fa sì che i servizi rallentino o cessino del tutto.

Attacco al protocollo

Un attacco al protocollo è un tipo di attacco DDoS che sfrutta le debolezze nei livelli 3 e 4 del modello OSI. Ad esempio, l’autore di questo attacco può sfruttare la sequenza di connessione TCP, inviando richieste ma non rispondendo come previsto o rispondendo con un’altra richiesta, utilizzando un indirizzo IP di origine con spoofing. Le richieste senza risposta utilizzano le risorse della rete finché queste non diventano non disponibili.

Attacchi a livello applicativo

Un attacco a livello dell’applicazione è un tipo di attacco DDoS che prende di mira il livello 7 del modello OSI. Un esempio è un attacco Slowloris, in cui l’aggressore invia richieste HTTP (Hypertext Transfer Protocol) parziali ma non le completa. Periodicamente, per ogni richiesta vengono inviate le intestazioni HTTP, causando la congestione delle risorse di rete. 

L’aggressore continua l’assalto fino a quando il server non può più effettuare nuove connessioni. Questo tipo di attacco è molto difficile da rilevare perché invece di inviare pacchetti corrotti, ne invia di parziali e utilizza poca o nessuna larghezza di banda.

Come migliorare la protezione dagli attacchi DoS e DDoS

Di seguito sono riportate alcune best practice di alto livello per la protezione dagli attacchi DoS e DDoS

1.         Monitoraggio continuo della rete: è utile per identificare i normali modelli di traffico e fondamentale per il rilevamento e l’attenuazione precoci.

2.         Esecuzione di test di simulazione degli attacchi DoS: questo aiuterà a valutare il rischio, esporre le vulnerabilità e formare i dipendenti sulla cybersecurity.

3.         Creazione di un piano di protezione: creare liste di controllo, formare un team di risposta, definire parametri di risposta e distribuire la protezione.

4.         Identificazione dei sistemi critici e dei normali modelli di traffico: il primo aiuta a pianificare la protezione, mentre il secondo aiuta a rilevare precocemente le minacce.

5.         Disponibilità di una maggiore larghezza di banda: potrebbe non arrestare l’attacco, ma aiuterà la rete a gestire i picchi di traffico e a ridurre l’impatto di qualsiasi attacco.

Gli attacchi DDoS si stanno evolvendo, diventando più sofisticati e potenti; quindi, le organizzazioni necessitano di soluzioni che utilizzino strategie complete, come strumenti di reporting e analisi avanzati, in grado di monitorare contemporaneamente innumerevoli parametri di minaccia. Per proteggere un’organizzazione dagli attacchi noti e prepararsi a potenziali attacchi nuovi, è necessaria una protezione DDoS multilivello, come FortiDDoS

FortiDDoS include l’appliance per la mitigazione di attacchi DDoS di Fortinet, che fornisce una valutazione continua delle minacce e una protezione di sicurezza per i livelli 3, 4 e 7.