Informatica e Ingegneria Online

Tipologie di attacchi Denial of Service (DoS)

Scritto il

Tipologie di attacchi Denial of Service (DoS)

Denial of Service (DoS)

Nel mondo digitale, gli attacchi DoS (Denial of Service) rappresentano una minaccia sempre più preoccupante per la sicurezza di sistemi informatici e reti. Questi attacchi hanno l’obiettivo di rendere un host irraggiungibile, inondandolo di traffico dannoso e consumando tutte le sue risorse.

Esistono diverse categorie di attacchi DoS, ognuna con le sue caratteristiche e modalità di azione:

1. Attacchi per l’esaurimento della banda:

  • Inondazione della banda: L’attaccante invia un flusso di dati massiccio verso l’host bersaglio, saturando la sua banda di rete e impedendogli di rispondere a richieste legittime. Questo può avvenire sfruttando una connessione internet più veloce di quella della vittima o utilizzando una tecnica chiamata Smurf, che amplifica l’attacco coinvolgendo altri host.
  • Amplificazione DNS: L’attaccante sfrutta vulnerabilità nei server DNS per indirizzare grandi quantità di traffico verso l’host bersaglio, amplificando l’effetto dell’attacco.

2. Attacchi per l’esaurimento delle risorse:

  • SYN Flood: L’attaccante invia un gran numero di pacchetti SYN (Synchronize) incompleti all’host bersaglio, intasando la sua memoria e la CPU e impedendogli di elaborare richieste legittime.
  • UDP Flood: L’attaccante invia un flusso continuo di pacchetti UDP all’host bersaglio, consumando la sua banda di rete e la sua capacità di elaborazione.

3. Attacchi contro difetti di programmazione:

  • Exploit: L’attaccante sfrutta bug o vulnerabilità nel software o nei protocolli utilizzati dall’host bersaglio per causarne il malfunzionamento o il crash.
  • Applicazioni non sicure: Software con falle di sicurezza possono essere utilizzati per lanciare attacchi DoS contro altri sistemi.

Un aspetto comune a molti attacchi DoS è l’utilizzo di IP Spoofing, una tecnica che maschera l’indirizzo IP dell’attaccante, rendendo difficile risalire alla fonte dell’attacco e ostacolando le misure di contrasto.

Gli attacchi DoS possono avere gravi conseguenze per le aziende e le organizzazioni, causando interruzioni del servizio, perdite finanziarie e danni alla reputazione. Per contrastare questa minaccia, è fondamentale adottare adeguate misure di sicurezza, come firewall, sistemi di rilevamento delle intrusioni e soluzioni di bilanciamento del carico.

Inoltre, è importante mantenere aggiornati software e sistemi operativi, implementare controlli di accesso rigorosi e sensibilizzare gli utenti sui rischi associati agli attacchi DoS.

Smurf

Nello scenario degli attacchi informatici, lo Smurf rappresenta un’insidiosa tecnica DoS (Denial of Service) che sfrutta la potenza di interi segmenti di rete per sopraffare la banda di un host bersaglio.

L’attacco si basa su un principio semplice ma efficace: l’amplificazione. L’aggressore invia pacchetti ICMP (Internet Control Message Protocol) di tipo ECHO REQUEST, falsificandone l’indirizzo mittente con quello della vittima. Questi pacchetti, detti anche “ping”, vengono indirizzati a specifici indirizzi broadcast presenti in diverse sottoreti.

Ogni sottorete possiede un indirizzo broadcast che, se raggiunto da un pacchetto, obbliga tutti i dispositivi connessi a rispondere. In questo modo, l’attaccante trasforma ogni host della sottorete in un involontario amplificatore del suo attacco.

I dispositivi, ricevendo il pacchetto fasullo con l’indirizzo della vittima come mittente, inviano automaticamente una risposta ICMP ECHO REPLY, un comune “pong”. La vittima, ignara di quanto accade, si ritrova sommersa da una valanga di risposte provenienti da tutti gli host delle sottoreti raggiunte dall’attacco.

L’effetto è devastante: la banda di rete della vittima viene saturata, rendendola irraggiungibile per connessioni legittime. Siti web, servizi online e intere infrastrutture possono essere resi inutilizzabili a causa di questo bombardamento di traffico indesiderato.

La pericolosità dello Smurf risiede nella sua semplicità e nella sua efficacia. L’attaccante, con un numero relativamente basso di host compromessi, può scatenare un’ondata di traffico in grado di sopraffare anche le reti più robuste.

SYN Flood

Nel panorama degli attacchi informatici, il SYN Flood rappresenta una minaccia subdola e pericolosa, atta a sopraffare le risorse di un server con un’inondazione di richieste di connessione incomplete.

Il suo funzionamento sfrutta un meccanismo fondamentale del protocollo TCP: la handshake a tre vie. Quando un client desidera stabilire una connessione con un server, invia un pacchetto SYN (Synchronize). Il server, in risposta, invia un pacchetto SYN-ACK (Synchronize-Acknowledge), allocando temporaneamente risorse per la connessione in arrivo. Infine, il client completa la handshake con un pacchetto ACK (Acknowledge), finalizzando la connessione.

Il punto debole di questo processo risiede nel fatto che il server mantiene allocate le risorse per un certo periodo di tempo in attesa del pacchetto ACK dal client. Se il pacchetto ACK non arriva entro il tempo limite, il server libera le risorse.

L’attacco SYN Flood consiste nell’invio di un gran numero di pacchetti SYN al server, con indirizzi IP sorgente falsificati (“spoofati”). Questi pacchetti innescano la procedura di handshake, ma il server non riceve mai il pacchetto ACK finale, poiché gli indirizzi IP sorgente sono inesistenti o spenti.

Di conseguenza, il server si ritrova con un numero crescente di connessioni in sospeso, ognuna delle quali occupa risorse preziose come memoria e CPU. Con l’aumentare del numero di richieste SYN incomplete, il server si esaurisce, diventando incapace di elaborare connessioni legittime e di fornire i propri servizi.

La pericolosità del SYN Flood risiede nella sua semplicità e scalabilità. L’attacco può essere eseguito anche con connessioni internet lente e, grazie allo spoofing degli indirizzi IP, risulta estremamente difficile risalire all’origine dell’attacco.

Per contrastare il SYN Flood, è necessario implementare diverse misure di sicurezza:

  • Limite delle connessioni TCP: Stabilire un limite massimo per il numero di connessioni TCP in sospeso che il server può gestire contemporaneamente.
  • Filtraggio degli indirizzi IP: Implementare firewall e sistemi di Intrusion Detection System (IDS) per identificare e bloccare pacchetti SYN provenienti da indirizzi IP sospetti o con caratteristiche anomale.
  • Monitoraggio del traffico: Effettuare un monitoraggio costante del traffico di rete per individuare picchi di richieste SYN anomale e potenziali attacchi in corso.

In aggiunta a queste misure tecniche, è fondamentale educare gli utenti sui rischi connessi agli attacchi informatici e promuovere l’adozione di buone pratiche di sicurezza per proteggere i propri dispositivi e la rete aziendale.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario