Come rispondere a una minaccia DDoS di riscatto

Nell’ultimo periodo, stiamo assistendo a diverse ondate di attacchi sulla nostra rete che prevedono l’utilizzo di una tecnologia di tipo DDoS. Le minacce sono state create per colpire siti web amministrativi, regionali, di diversi aeroporti e contro banche e giornali, al fine di rendere inaccessibili le piattaforme e provocare danni ingenti alle società colpite. Nella stragrande maggioranza dei casi, all’attacco viene anche annessa una richiesta di riscatto per riavere indietro il completo accesso ai dati e per poter utilizzare nuovamente il servizio. Attacchi brevi e mirati, praticamente imprevedibili, ma capaci di provocare danni al secondo con una criticità mai vista. Nella maggior parte dei casi il motivo che porta a queste azioni è di tipo ideologico: un’organizzazione criminale si organizza per arrecare danni o accedere ad informazioni col fine di indebolire la controparte. Siccome questa minaccia sembra esser diventata il trend del momento, è opportuno venire a conoscenza di come difendersi in caso di attacco DDoS.  

Diverse tipologie di attacchi DDos

Il modo migliore per capire come difendersi da una qualsiasi minaccia digitale, consiste sempre nell’analizzare i dettagli di ogni attacco e così comprendere quali azioni sono necessarie per evitarlo. Facile a dirsi ma sempre più difficile a farsi, visto che gli hacker stanno sperimentando virus e malware sempre nuovi, e quindi quasi impossibili da prevedere. Abbiamo già parlato del Ransom DDoS, un tipo di minaccia che non punta solo ad opporsi ad iniziative politiche o ideali, ma prevede anche un guadagno monetario ed un opposto indebolimento per gli enti colpiti. Ma non è l’unica tecnica utilizzata, aspetto che rappresenta un grosso ostacolo visto che le continue evoluzioni degli attacchi non permettono il loro riconoscimento e quindi la loro eliminazione immediata. Nonostante ciò possiamo dividere gli attacchi DDoS in tre grandi categorie:

• attacchi di tipo volumetrico che bloccano il funzionamento di una rete inviando una quantità di pacchetti tale che provochi un sovraccarico dell’ infrastruttura;
• attacchi al protocollo che invece mirano ad esaurire le risorse del firewall e del server;
• attacchi applicativi specifici per le applicazioni Web e non per l’intera rete, facili da architettare ma molto difficili da prevedere e mitigare.

Difendersi dai diversi tipi di attacco DDoS

A queste categorie più generiche è necessario aggiungere un ulteriore divisione in gruppi che presentano caratteristiche uniche, per vedere meglio come potersi difendere. 

• Per gli attacchi ICMP e UDP Flood (volumetrici), che inondano la rete di pacchetti  UDP e richieste ICMP fino a sovraccaricarla, l’unica soluzione è la disattivazione del servizio ICMP appunto. Prassi che è possibile svolgere però solo su alcuni tipi di router e modem. In caso contrario si può agire limitando dimensione e velocità massima di trasmissione dei pacchetti in risposta alle richieste che provengono da terzi.
• Per gli attacchi SYN Flood, tramite cui i malintenzionati accedono tramite connessione non autorizzata all’host e ne bloccano le risorse, si deve agire sulle connessioni TCP. Aumentando il numero possibile di connessioni semi aperte, le risorse per compiere l’attacco devono essere maggiori e spesso un numero impossibile da raggiungere. Anche la diminuzione dei tempi di timeout lato server può aiutare, così da imitare l’impiego di risorse per richieste che di fatto sono già molto sospette.
• Per gli attacchi Flood invece, quelli che colpiscono le applicazioni e utilizzano più risorse possibili per bloccare il corretto funzionamento del server, possono essere evitati grazie al CDN. Si tratta del Content Delivery Network, un servizio che permette di ricevere prima le le richieste GET e POST e le gira al server avendone già assorbito l’impatto. Impostare limiti sulle richieste degli utenti, basandosi su statistiche medie, è un ulteriore barriera con cui proteggere il sovraccarico del server.