Tipologie di attacchi Denial of Service (DoS)

Tipologie di attacchi Denial of Service (DoS)

Denial of Service (DoS)

Un attacco di tipo DoS ha come scopo finale escludere un determinato host dalla reta rendendolo irraggiungibile. Fondamentalmente esistono 3 categorie di DoS:

  • Attacchi per l’esaurimento di banda, che si basano sull’inondare la rete dell’host bersaglio in maniera da consumare tutta la larghezza di banda a lui disponibile. Questo attacco può essere attuato in due differenti maniere: nel primo caso l’attaccante ha a disposizione una connessione più veloce della vittima e riesce dunque a saturarme la banda direttamente. Nel secondo caso, l’attaccante pur non avendo una connessione veloce, riesce a saturare la banda della vittima grazie all’utilizzo di altri host che hanno lo scopo di amplificare l’attacco (Smurf).
  • Attacchi per l’esaurimento delle risorse, che hanno come scopo colpire il sistema piuttosto che la rete in cui si trova. In generale questo si traduce con il consumo di risorse come cicli di CPU, della memoria, ecc. (SYN Flood).
  • Attacchi contro difetti di programmazione che vanno a colpire bug, software o Solitamente si verificano quando vengono spediti dei dati non previsti all’elemento vulnerabile.

Molti attacchi di tipo Dos per il loro funzionamento fanno uso dell’IP Spoofing rendendo quesi impossibile capirne la provenienza.

Smurf

Lo Smurf è un attacco DoS che ha lo scopo di esaurire l’intera banda dell’host vittima, sfruttando sottoreti che fungono da amplificatori. Solitamente ad ogni sottorete è associato un indirizzo IP di broadcast che ha per lo più funzioni diagnostiche. Se un pacchetto è indirizzato ad un indirizzo di broadcast significa che deve essere elaborato da tutti gli host della sottorete.

Lo smurf combina questo meccanismo di risposta multipla, con l’IP Spoofing per creare un attacco pressoché impossibile da fermare. Il funzionamento è molto semplice: l’attaccante spedisce una serie di pacchetti ICMP ECHO REQUEST con l’indirizzo dell’host della vittima a degli indirizzi di broadcast. Il risultato è che tutti gli host della sottorete elaborano il pacchetto e generano una risposta, sempre un pacchetto ICMP ECHO REPLY, indirizzato all’host vittima.

SYN Flood

Il SYN Flood è un attacco DoS che ha come scopo ultimo l’esaurire le risorse del sistema vittima. Quando un client vuole instaurare una connessione, spedisce al server una pacchetto SYN. Quando il server riceve questo pacchetto alloca una certa quantità di risorse per una futura connessione e spedisce il pacchetto SYN/ACK aspettandosi il pacchetto ACK necessario per completare la connessione.

Se il terzo e ultimo pacchetto non arriva entro un certo tempo il server libera le risorse allocate in precedenza.

Il problema sfruttato da SYN Flood è che i sever, anche se molto potenti, esauriscono velocemente le risorse usate per la realizzazione dei collegamenti, quindi, se in una certo lasso di tempo vengono ricevute molte richieste parziali di connessioni il server esaurisce le risorse. L’idea dell’attacco è spedire una serie di pacchetti SYN ogni 10 sec in modo da consumare

tutte le risorse del server. I pacchetti che l’attaccante spedisce devono avere l’indirizzo sorgente Spoofato con un indirizzo di un host inesistente o spento, poichè se l’host esiste, non appena riceverà il pacchetto SYN/ACK spedito dal server, risponderà con un pacchetto di reset ed il server libererà le risorse rendendo vani gli sforzi dell’attaccante. In una situazione di questo tipo infatti il server non riuscirà mai a liberare le risorse in quanto non appena sarà passato il tempo necessario per deallocare un pò di risorse arriverà subito un pacchetto SYN che le riallocherà.

Come si può capire questo attacco è molto pericoloso in quanto si può attuare anche con una connessione lenta, inoltre spoofando gli indirizzi IP sorgenti diventa quasi impossibile risalire all’attaccante.

Precedente Digital forensic per combattere i reati informatici Successivo Come proteggersi dallo spoofing informatico

Lascia un commento

*