Cos’è il DDoS – Distributed Denial-of-Service
La guerra russo-ucraina ha portato prepotentemente alla ribalta della cronaca l’importanza della cosiddetta “guerra non cinetica”, ossia quella guerra condotta non sui campi di battaglia ma nel mondo cibernetico.
Nelle ultime settimane infatti il mondo ha assistito ad un significativo numero di attacchi DDoS (Distributed Denial-of-Service) che ha colpito siti governativi, fornitori di servizi di comunicazione e istituzioni finanziarie Ucraine.
L’incremento dell’attività DDoS in Europa, al crescere delle tensioni geopolitiche, risulta evidente sin dall’autunno 2021. Nella sola zona EMEA infatti, gli attacchi di questo tipo, sono cresciuti del 220% rispetto alla media dei quattro anni precedenti (dati Akamai). Anche prima dell’intensificarsi delle tensioni tra Russia e Ucraina però l’incidenza di questo tipo di attacchi è stata evidenziata dal rapporto Clusit 2021, dal quale risulta evidente come, nonostante rispetto all’anno precedente non siano aumentati di numero, sia aumentata lo loro intensità. Nel 2020 infatti si sono registrati attacchi DDoS che hanno superato il traffico di 2.3 Tbps, in evidente crescita rispetto all’anno precedente nel quale si era registrata un’intensità massima di 1.8 Tbps.
In questo articolo descriveremo brevemente il funzionamento base di un DDoS e approfondiremo come questa tecnica di attacco sta evolvendo nel tempo.
Un attacco DDoS volumetrico si basa sull’invio di un numero molto elevato di richieste a sistemi accessibili attraverso Internet con lo scopo di sovraccaricarli e rendere indisponibili i servizi erogati agli utenti finali. Quest’azione viene effettuata da più dispositivi distribuiti su una o più reti, controllati e coordinati via Internet (botnet).
Esistono diverse tecniche che consentono di effettuare attacchi DDoS di tipo volumetrico, tra cui le più popolari sono: reflection e amplification.
La tecnica di reflection prevede che l’attaccante mandi un gran numero di richieste ad un server “impersonando” il proprio obiettivo, in tal modo il server tenterà di rispondere ad ogni richiesta ricevuta, sovraccaricando di fatto reti e sistemi.
La tecnica di amplification invece prevede semplicemente che ogni richiesta inviata ad un server produca quanti più dati possibili in risposta. Il rapporto tra le dimensioni della risposta e della richiesta è noto come fattore di amplificazione.
L’uso combinato delle due tecniche produce spesso effetti che possono impattare gravemente la normale disponibilità e fruibilità dei servizi sotto attacco.
Il Distributed Reflective Denial-of-Service (DRDoS) è un’evoluzione del DDoS che prevede l’utilizzo di entrambe le tecniche sfruttando server UDP accessibili e fattori di amplificazione della larghezza di banda (BAF) per saturare il server vittima.
Con questa tecnica consolidata, l’attaccante coordina la propria botnet per l’invio contemporaneo e continuativo di un elevato numero di richieste DNS o NTP via protocollo UDP, richieste contraffatte dall’attaccante stesso e contenenti come indirizzo IP di origine l’IP dell’host vittima (IP Spoofing). I server contattati generano in risposta una gran quantità traffico di rete verso l’host vittima, saturandone la banda di rete o le risorse hardware. Un classico attacco DRDoS che sfrutta anche tecniche di DNS amplification fa leva, oltre che sulla tecnica di spoofing, anche sulle elevate dimensioni di alcuni record DNS. Un esempio è costituito dai record dell’ente governativo americano CPSC.gov, tramite i quali è possibile con un singolo payload di richiesta di 65 bytes in input, ricevere in output una risposta di 4426 bytes, ottenendo un fattore di amplificazione di 68.
Un recente articolo scientifico, pubblicato ad Agosto 2021 ed intitolato “Weaponizing Middleboxes for TCP Reflected Amplification”, illustra come in linea teorica alcuni dispositivi intermedi (middlebox) possano essere sfruttati per effettuare attacchi di tipo reflection e amplification anche con il protocollo di trasporto TCP, vettore finora non ritenuto praticabile. Attacchi che sfruttano questo tipo di meccanismo sono stati rilevati appena sei mesi dopo l’uscita di questo articolo.
Gli autori dello studio hanno scoperto che alcuni modelli di middlebox non verificano la validità dello stato delle connessioni TCP, reagendo anche a stimoli provenienti da pacchetti non pienamente conformi al protocollo; gli attacchi basati su reflected amplification fanno leva su queste anomalie per ottenere fattori di amplificazione significativi.
Test condotti dai ricercatori hanno mostrato come alcune middlebox vulnerabili offrano un fattore di amplificazione addirittura maggiore delle controparti UDP (NTP, RIPv1, memcached). In alcune condizioni, a titolo di esempio, inviando un singolo pacchetto SYN con 33 byte di payload, si può causare una risposta di 2156 byte, ottenendo in questo modo un’amplificazione del 6533%.
Con questo nuovo approccio per realizzare un attacco DDoS di tipo volumetrico su protocollo TCP, un attaccante non ha più necessariamente bisogno di una estesa botnet né di ingenti risorse di rete (in alcuni casi è sufficiente 1/75 della banda necessaria in passato) rendendo questa minaccia sempre più attuabile e pericolosa.
In ultima analisi, è quindi possibile affermare che gli attacchi DDoS stanno continuando ad evolvere e che con il tempo stanno diventando sempre più efficienti e sofisticati. A pochi giorni dall’ultima allerta Cyber diramata dal CSIRT Italiano, non ci resta che raccomandare a tutti la massima attenzione e consigliare un’attenta valutazione delle misure di protezione delle infrastrutture digitali suggerite dallo stesso CSIRT.