Gli attacchi DDoS utilizzano reti di macchine collegate a Internet.
Queste reti sono costituite da PC e altri gadget (come i dispositivi IoT) infettati da malware, che possono essere manipolati online da un aggressore. I singoli dispositivi sono noti come bot (o zombie), mentre una botnet è un insieme di bot.
L'aggressore può dirigere un attacco una volta che la rete di bot è stata effettivamente costruita, inviando comandi remoti a ciascun bot.
Quando una botnet prende di mira il server o la rete di una vittima, ogni bot invia richieste all'indirizzo IP dell'obiettivo, sovraccaricando eventualmente il server o il sistema e innescando un denial-of-service al traffico regolare.
Distinguere il traffico di attacco dal traffico Internet autentico è difficile, poiché ogni bot è un dispositivo Internet valido.
Identificare un attacco DDoS
Un sito web o un servizio improvvisamente lento o non disponibile è l'indicatore più visibile di un attacco DDoS. Tuttavia, poiché diversi fattori, come un reale aumento del traffico, possono produrre problemi di prestazioni identici, in genere è necessaria un'analisi più approfondita.
Alcuni di questi segnali di allarme di un assalto DDoS possono essere rilevati utilizzando strumenti di monitoraggio del traffico:
- Volumi insoliti di traffico provenienti da un singolo indirizzo IP o da un intervallo di indirizzi IP
- C'è un aumento del traffico da parte di utenti con profili comportamentali simili, come dispositivi specifici, località o versioni del browser internet.
- Domanda inaspettatamente elevata per una particolare pagina o endpoint
- Strani schemi di traffico, come picchi in ore insolite della giornata o tendenze che sembrano anomale (ad esempio, un picco ogni dieci minuti).
Altri sintomi più particolari di un attacco DDoS possono variare a seconda dell'attacco.
Attacchi DDoS: Quanto durano?
Attacco a lungo termine: Un attacco a lungo termine si svolge nell'arco di diverse ore o giorni. Ad esempio, l'assalto DDoS ad AWS ha causato interruzioni per tre giorni prima di essere affrontato.
Attacco a raffica: Questi attacchi DDoS vengono eseguiti in tempi relativamente brevi, durando appena un minuto o pochi secondi.
Non lasciatevi ingannare. Gli attacchi a raffica, nonostante la loro rapidità, possono essere incredibilmente devastanti. Con l'introduzione delle apparecchiature dell'Internet delle cose (IoT), è ora possibile creare un traffico più voluminoso grazie a macchine di calcolo più potenti. Di conseguenza, gli aggressori possono generare grandi quantità di traffico in un breve lasso di tempo. Un attaccante può trarre vantaggio da un assalto DDoS a raffica perché è molto più difficile da rintracciare.
Qual è la procedura per affrontare un attacco DDoS?
Il traffico DDoS assume varie forme nell'Internet contemporaneo. Dagli assalti single-source non spoofabili agli attacchi multi-vettore complicati e adattivi, il traffico può essere progettato in vari modi.
Avrete bisogno di varie tecniche per resistere alle molteplici traiettorie di un assalto DDoS multivettore.
In generale, più complicato è l'assalto, più difficile sarà distinguere il traffico d'attacco da quello normale: l'obiettivo dell'attaccante è inserirne il più possibile, rendendo inefficaci i metodi di mitigazione.
I tentativi di mitigazione che rimuovono o limitano il traffico in modo casuale rischiano di confondere il traffico buono con quello dannoso, e l'attacco potrebbe anche modificarsi e adattarsi per evitare le contromisure. Un approccio a strati offrirà il massimo vantaggio nel superare un tentativo complicato di disturbo.