Quando un sito viene attaccato da degli hacker, avrete forse sentito associata la parola DDOS. Scopriamo cosa significa e come questo attacco avviene, con anche un paragone con la vita di tutti i giorni.
Qualcuno di voi forse ricorderà quanto successo sul sito INPS durante il periodo di lockdown dovuto al coronavirus. Poco dopo l’attivazione della procedura per la richiesta di un sussidio, il sito è diventato inutilizzabile e si sono verificati forti disservizi .
Gli investigatori che hanno verificato la situazione hanno alla fine raccolto prove che si sia trattato di un attacco hacker di tipo DDOS.
Ma cosa significa questa sigla e cos’è successo durante l’attacco?
DDOS, ovvero Distributed Denial Of Service
L’acronimo DDOS è la contrazione delle parole Distributed Denial Of Service, che tradotto significa all’incirca Interruzione di Servizio Distribuita. Un attacco di questo tipo avviene quando un certo sito o servizio presente su internet viene preso di mira da un numero di richieste (generate artificialmente) molto più alto di quello che potrebbe effettivamente gestire in un determinato lasso di tempo.
Come avviene questo attacco?
Le richieste con cui il servizio bersaglio viene “bombardato” sono generate da migliaia di dispositivi (siano essi PC, Smartphone, Server) probabilmente infetti da un virus. Questo virus, sotto il diretto controllo di chi esegue l’attacco (spesso gruppi di hacker organizzati), rimane dormiente sul dispositivo restando in attesa di istruzioni su come operare.
Una volta ricevute queste istruzioni, che spesso simulano comuni azioni di navigazione o richieste fatte ai servizi bersaglio (apertura di una pagina web, tentativi di login, invio di form o file), il virus comincia a spedirle a ripetizione. A seconda del tipo di dispositivo infetto, queste richieste potrebbero diventare fino a centinaia al secondo.
Visto che l’attacco DDOS viene fatto partire in contemporanea da tutti i dispositivi infetti, potete ben capire che i server che saranno bersagliati arriveranno a ricevere decine di migliaia di richieste al secondo, in contemporanea. Con questa mole di dati, un servizio non adeguatamente protetto e dimensionato sarà facile preda di interruzioni e disservizi.
Pensiamo ad un bar…
Pensate ad un bar o un locale. Avete un edificio, una porta per entrarci e un barista a servire. Questo è il nostro servizio.
I clienti entrano, chiedono da bere, consumano ed escono. I clienti rappresentano le richieste fatte al servizio.
Il bar, così com’è strutturato, può gestire idealmente 100 persone all’ora. Improvvisamente, ne arrivano 1000 nel giro di 10 minuti, e tutte si accalcano al bancone a chiedere da bere. Il vostro barista potrà fare del suo meglio, ma immagino che non vi meravigliereste se ad un certo punto collassasse a terra ?
Perché vengono fatti questi attacchi?
Le motivazioni dietro gli attacchi DDOS variano in genere a seconda del bersaglio, e si possono ricondurre a:
Concorrenza sleale
Caso più comune se il bersaglio è un’azienda privata. Un’azienda concorrente potrebbe commissionare volontariamente l’attacco hacker per creare un disservizio o semplicemente avvantaggiarsi potendo lavorare più velocemente.
Magari il bar dell’altra parte della città, che quel giorno doveva rimanere chiuso per ristrutturare, vi ha inviato tutte quelle persone per non farvi lavorare.
Danno d’immagine
Chi attacca potrebbe voler mettere in cattiva luce il proprio bersaglio, facendo apparire i suoi siti o servizi come lenti, non utilizzabili o mal funzionanti. Spesso, se l’intento è questo, gli attacchi sono svolti contemporaneamente ad eventi o lanci di prodotti, per amplificare l’effetto mediatico.
Sempre il bar dell’altra parte della città, avendo saputo che stavate per lanciare la vostra nuova brioche, vi ha fatti prendere d’assalto per creare scontento nei clienti veramente interessati, che potrebbero non arrivare ad assaggiare il vostro prodotto perché finito o non riuscire nemmeno ad entrare.
Estorsione di denaro
Gruppi criminali possono avvisare il bersaglio di questo attacco con brevissimo anticipo, richiedendo denaro per non eseguirlo. In alternativa potrebbero comunque eseguire l’attacco, e richiedere i soldi per interromperlo.
“O ci paghi, o ti riempiamo il bar di persone che non compreranno niente“
Ideali particolari o motivazioni politiche
In questo caso i soggetti più bersagliati sono le grandi multinazionali, gli enti e le agenzie pubbliche. Oltre a cercare di creare un danno d’immagine, chi svolge l’attacco si espone pubblicamente e dichiara le motivazioni che lo hanno spinto contro quel particolare soggetto (ad esempio corruzione o collusione, eccesso di potere etc…)
In pratica, dentro il vostro bar è appena entrato un grosso gruppo di manifestanti contrario ai prodotti che utilizzate, e non permette a nessuno di avvicinarsi al bancone.
Come ci si protegge da un attacco DDOS?
Essendo fuori dal controllo di chi mette a disposizione siti o servizi, è impossibile impedire questi tipi di attacco. Ci si può pero proteggere da essi con determinati accorgimenti, e quindi mitigarne l’effetto finale permettendo ai veri fruitori dei servizi di continuare ad usarli con disagi minimi.
Ridondanza dei server
Chi offre un determinato servizio può ospitarlo su più di un server, in modo da smistare le richieste su più macchine ed alleggerire il carico complessivo di lavoro tra esse. Se una di esse dovesse diventare completamente inutilizzabile, ci saranno sempre le altre verso le quali le richieste saranno reindirizzate.
Complimenti, avete appena assunto un altro barista per servire più velocemente da bere.
Firewall con protezione DDOS
Spesso messi a disposizione dalle server farm che ospitano i server, o direttamente presenti nelle grandi aziende che preferiscono mantenere le macchine al proprio interno, questi apparati vengono installati tra i server e la rete esterna e si occupano di filtrare le richieste in entrata ed uscita.
Tramite vari algoritmi e tecnologie, questi apparati sono in grado di riconoscere quando è in corso un attacco DDOS, e cominceranno a rifiutare le richieste che ne fanno parte non facendole nemmeno arrivare ai server, che elaboreranno solo le richieste valide.
Avete appena assunto un buttafuori per il vostro bar.
Sistemi di cache e CDN (Content Delivery Network)
Utilizzate più che altro dai siti internet, queste funzioni permettono di servire più velocemente una richiesta recuperando e restituendo una risposta salvata in precedenza.
Nel caso dei sistemi di cache, questa operazione sarà svolta dal server che ospita il sito o il servizio stesso, nel caso dei CDN invece da server di terze parti.
In entrambi i casi questi sistemi ricevono per primi la richiesta di una determinata pagina. Se per essa non sono presenti dati salvati inoltreranno la richiesta al server che ospita il servizio, salveranno la risposta e la restituiranno a chi l’ha eseguita.
La prossima volta che qualcuno farà la solita richiesta, non sarà necessario che questi sistemi contattino il server del servizio, e risponderanno direttamente e più velocemente con i dati in memoria, alleggerendo il carico di lavoro.
In poche parole, per il vostro bar avete preparato in anticipo i drink che di solito vi ordinano, e li tenete pronti sotto il bancone oppure in uno stand davanti all’entrata.
Una combinazione di tutti i metodi
Questi metodi non sono esclusivi tra loro, e possono essere combinati per massimizzare la protezione.
Conclusioni
Con un esempio della vita di tutti i giorni, un bar, abbiamo visto come funziona un attacco DDOS e alcuni dei metodi per proteggersi da esso.
Daniele Rigoli
