Vi diamo il benvenuto sulla piattaforma CI.

logo cyber insight
Accesso
Iniziare gratuitamente
logo cyber insight

Attacchi DoS

Gliattacchi Denial of Service (o attacchi DoS) sono attacchi più maligni che mirano a inondare un sistema, server o / e rete con il traffico al fine di sovraccaricare le sue risorse e la larghezza di banda e quindi interrompere le operazioni aziendali. Il risultato è che il sistema non è più in grado di elaborare e soddisfare richieste legittime e agli utenti viene impedito di eseguire compiti di routine e necessari.

Mentre un attacco DoS ha origine da un solo sistema, gli hacker lanciano un attacco DDoS (distributed denial of service) da un numero maggiore di macchine host infettate da malware che controllano. Questi attacchi sono più veloci e più difficili da bloccare rispetto agli attacchi DoS, poiché più sistemi devono essere identificati e neutralizzati per evitare l'interruzione.

A cosa servono?

Gli attacchi DoS e DDoS non beneficiano direttamente gli attaccanti. Il loro obiettivo principale è quello di interrompere l'efficacia del servizio della vittima. Questo è il motivo per cui sono anche chiamati attacchi denial of service - colpiscono il sito bersaglio in modo che non possa più fornire servizi a coloro che vogliono accedervi.

Gli hacker li usano anche per creare un'opportunità per un altro tipo di attacco. Un attacco DoS o DDoS riuscito di solito richiede che il sistema vada offline, il che può renderlo vulnerabile ad altri tipi di attacchi. Un modo comune per prevenire tali attacchi è quello di utilizzare un firewall che rileva se le richieste inviate al sito web sono legittime. Le richieste false possono quindi essere scartate, permettendo al traffico normale di fluire senza interruzioni.

Gli attacchi DoS più comuni sono: Attacco TCP SYN Flood, attacco Teardrop, attacco Smurf, attacco Ping-of-Death e Botnets.

Attacco TCP SYN Flood

Gliattacchi TCP SYN Flood (chiamati anche SYN Flood ) sono attacchi DoS che consumano tutte le risorse disponibili del server attaccato e lo rendono inaccessibile al traffico legittimo. Può prendere di mira qualsiasi sistema connesso a Internet e che offre servizi TCP (Transmission Control Protocol) (ad esempio, server web, server di posta elettronica, trasferimento di file).

Gli attacchi SYN flood funzionano sfruttando il processo di handshake di una connessione TCP. Il livello TCP si satura e impedisce il completamento del processo di handshake tra client e server su ogni porta.

In condizioni normali, qualsiasi connessione tra un client e un server che utilizza il protocollo TCP richiede l'handshake a tre vie. Questo consiste in una serie di messaggi scambiati dal client e dal server:

  1. Il client inizia la connessione inviando un messaggio SYN (sincronizzazione) al server;
  2. Il server conferma questo messaggio inviando un messaggio SYN / ACK (Synchronize-Acknowledge) al client;
  3. Il client conferma la connessione con un messaggio ACK finale. Con questo, la connessione TCP è stabilita e può inviare e ricevere dati.

Lo scopo di questa trasmissione di messaggi è quello di verificare l'autenticità di ogni partecipante e di determinare la chiave di crittografia e le opzioni che assicureranno l'ulteriore comunicazione. Questo processo deve essere completato prima che un'interfaccia di comunicazione sia disponibile tra le due parti.

Descrizione dell'attacco

In un attacco TCP SYN flood, l'attaccante invia ripetute richieste SYN ad ogni porta del server bersaglio per sopraffarlo e renderlo incapace di rispondere a richieste di connessione genuine. Questo funziona come segue:

  • L'hacker invia un gran numero di richieste SYN al server, spesso tramite indirizzi IP spoofed;
  • Il server, che non è a conoscenza dell'attacco, risponde a ciascuno dei tentativi di connessione con un pacchetto SYN / ACK e lascia una porta aperta per ricevere la risposta;
  • L'hacker invia più richieste SYN mentre il server aspetta la conferma ACK. Ogni nuovo pacchetto SYN fa sì che il server tenga aperta una nuova connessione alla porta per un certo tempo. Quando tutte le porte disponibili sono occupate, il server non può più funzionare normalmente. Questo mette tutte le porte di comunicazione del server in uno stato semiaperto - il server sta costantemente lasciando le connessioni aperte, aspettando che ogni connessione termini prima che la porta diventi di nuovo disponibile. Ecco perché questo tipo di attacco è chiamato "attacco semiaperto".
Attacco DoS; attacco TCP SYN flood

Mitigazione

Ci sono alcuni metodi per prevenire questo tipo di attacco:

  • Uso dei cookie SYN: utilizzando l'hashing crittografico, il server invia la sua risposta SYN-ACK con un numero di sequenza (seqno). Questo è formato dall'indirizzo IP del client, il numero di porta e alcune altre informazioni uniche. Quando il client risponde, questo hash è incluso nel pacchetto ACK. Il server prima controlla l'ACK e solo dopo alloca la memoria per la connessione;
  • Uso dei cookie RST: il server invia intenzionalmente un SYN-ACK non valido per la prima richiesta di un particolare client. Questo fa sì che il client generi un pacchetto RST per informare il server che qualcosa non va. Quando questo pacchetto viene ricevuto, il server sa che la richiesta è legittima, registra il client e accetta ulteriori connessioni in entrata da esso;
  • Uso di micro-blocchi: Allocazione di un micro record (fino a 16 byte) nella memoria del server per ogni richiesta SYN in arrivo invece di un oggetto di connessione completo.
  • Aumentare la coda di arretrati: regolare gli stack TCP per mitigare l'impatto dei SYN flood. Questo può essere fatto sia riducendo il timeout fino a quando uno stack rilascia la memoria allocata a una connessione, sia eliminando selettivamente le connessioni in arrivo.
  • Riciclaggio della più vecchia connessione TCP semiaperta: Sovrascrivere la connessione semiaperta più vecchia non appena l'arretrato viene riempito. Questo metodo presuppone che le connessioni legittime possano essere stabilite completamente in meno tempo di quello necessario per riempire l'arretrato di pacchetti SYN malevoli. Tuttavia, questa difesa fallisce quando il volume dell'attacco aumenta.

Attacco a goccia

Gli attacchiTeardrop sono attacchi DoS che consistono nell'invio di pacchetti di dati frammentati a un server bersaglio. Questi attacchi sfruttano un difetto di riassemblaggio della frammentazione TCP/PI nel codice di alcuni sistemi operativi che elaborano grandi quantità di dati. Invece di assemblare tutti i pezzi nell'ordine corretto e consegnarli come previsto, i sistemi aspettano pezzi che non arrivano mai. Gli aggressori sfruttano questa falla inviando enormi pacchetti di dati frammentati al computer di destinazione che si sovrappongono l'un l'altro. Poiché il server non è in grado di riassemblare i pacchetti, è sovraccarico e si blocca. Gli attacchi Teardrop di solito funzionano su computer con sistemi operativi più vecchi, come Windows 95, Windows 3.1x, Windows NT e alcune versioni precedenti di Linux. Tuttavia, alcuni attacchi hanno funzionato anche su sistemi con Windows 7 e Windows Vista.

Mitigazione

Le attuali reti di dispositivi sono molto avanzate e possono facilmente rilevare i pacchetti frammentati corrotti. Una volta che un pacchetto problematico è identificato, può essere facilmente escluso per prevenire l'attacco a goccia.

Alcuni metodi per disinnescare un attacco a goccia:

  • Se le macchine più vecchie sono ancora in uso e le patch corrispondenti non sono disponibili, SMBv2 deve essere disattivato e le porte 139 e 445 bloccate (come raccomandato da Microsoft);
  • Un efficiente firewall di rete: filtra la spazzatura e i dati infetti e li tiene fuori dallo spettro della rete;
  • Cache: fornisce contenuti di stato necessari per il normale funzionamento di un dispositivo, aiutando a mitigare i rischi associati all'attacco;
  • Secure proxy: controlla i pacchetti in entrata e impedisce che dati errati entrino nell'unità.

Attacco dei puffi

Gli attacchi Smurf sono attacchi DoS in cui l'attaccante inonda il server di destinazione, sfruttando le vulnerabilità del protocollo Internet (IP) e Internet Control Message Protocol (ICMP). Questi attacchi hanno origine dal computer dell'attaccante e prendono di mira i router che interagiscono con un gran numero di dispositivi. Funzionano sovraccaricando le risorse di rete inviando richieste ICMP echo alle macchine sulla rete. I computer rispondono con risposte eco. Questo crea una situazione di botnet che genera un alto tasso di traffico ICPM. Di conseguenza, il server viene inondato di richieste di dati e pacchetti ICPM che sovraccaricano e rallentano il sistema, rendendolo inutilizzabile e vulnerabile agli attacchi.

Descrizione dell'attacco

L'attacco Smurf funziona normalmente nei seguenti passi:

  • In primo luogo, il malware crea un pacchetto di rete collegato a un falso indirizzo IP. Questa tecnica è chiamata "spoofing". Il malware può essere scaricato da un sito web non verificato o da un allegato email infetto, per esempio. Di solito rimane inattivo finché un utente remoto non lo attiva;
  • Il pacchetto contiene un messaggio ICMP ping che chiede ai nodi di rete che ricevono il pacchetto di inviare una risposta;
  • Queste risposte, o "echi", vengono poi rimandate agli indirizzi IP della rete, creando un ciclo infinito.

Mitigazione

Ci sono alcune tecniche per difendersi da questi attacchi DoS:

  • Bloccare le trasmissioni dirette da IP: La disabilitazione del traffico di trasmissione diretta sui router impedisce le richieste di trasmissione ICPM echo ai dispositivi di rete.
  • Configurare i router e gli host in modo che non rispondano alle richieste ICPM echo.

Attacco Ping of Death (PoD)

Gliattacchi Ping of Death (PoD) sono attacchi DoS in cui l'attaccante mira a interrompere, distruggere o congelare il sistema bersaglio inviando pacchetti di dati sovradimensionati con un semplice comando ping.

Un pacchetto IPv4 (Internet Protocol Version 4) corretto consiste di 65.535 byte. Alcuni computer non possono elaborare pacchetti più grandi.

Descrizione dell'attacco

L'attacco funziona come segue:

  • I computer usano un sistema di messaggistica ICMP echo response (noto come "ping") per testare le connessioni di rete. Il sistema funziona essenzialmente come un sonar tra dispositivi. Invia un impulso che fa eco per informare l'operatore sull'ambiente della rete. Se la connessione funziona come dovrebbe, i dispositivi di origine ricevono una risposta dai dispositivi di destinazione. I comandi ping sono limitati a una dimensione massima di 65.535 byte.
  • Gli attaccanti usano i comandi ping per sviluppare un comando ping of death. Scrivono un semplice ciclo che permette loro di eseguire il comando ping con dimensioni di pacchetti che superano il limite massimo di 65.535 byte quando il computer di destinazione cerca di riassemblare i frammenti.
  • L'invio di pacchetti più grandi di 65.535 byte è contro le regole dell'IP. Per evitare questo, gli aggressori inviano pacchetti in frammenti, che il loro sistema bersaglio cerca poi di assemblare. Se questo riesce, il pacchetto sovradimensionato causa un overflow di memoria. Questo fa sì che il server di destinazione si blocchi, si blocchi o si riavvii.

Gli hacker possono sfruttare questa vulnerabilità in qualsiasi fonte che invia datagrammi IP. Questo include ICMP echoes, Internetwork Packet Exchange (IPX), Transmission Control Protocol (TCP) e User Datagram Protocol (UDP).

Mitigazione

Le aziende possono utilizzare le seguenti tecniche per prevenire questi attacchi DoS:

  • Uso di firewall che controllano i pacchetti IP frammentati per la loro dimensione massima e bloccano i messaggi ICMP ping;
  • Aggiungere controlli al processo di riassemblaggio per assicurare che i pacchetti di dati non superino la dimensione massima dei pacchetti dopo la ricombinazione;
  • Impostare un buffer di memoria con spazio sufficiente per elaborare i pacchetti che superano la dimensione massima.

Botnets

Una botnet è un gruppo di dispositivi connessi a internet e infettati da malware controllati da un hacker (chiamato anche bot-herder ). Ogni singola macchina all'interno della rete botnet è chiamata bot. Il bot-herder gestisce l'infrastruttura botnet da un punto centrale e può utilizzare i dispositivi compromessi per eseguire simultaneamente un'azione criminale coordinata. Le botnet sono spesso utilizzate per attacchi DDoS, infiltrazione di malware, invio di email di spam, crimini finanziari e click fraud.

Le botnet si verificano quando il bot-herder invia bot sotto il suo comando e dai server di controllo a destinatari inconsapevoli, utilizzando condivisioni di file, e-mail, applicazioni di social media o altri bot come intermediari. Non appena il destinatario apre il file dannoso sul proprio dispositivo, il bot riporta al centro di controllo, dove il bot-herder può dettare i comandi alle macchine infette.

Le botnet sono adatte per le intrusioni a lungo termine. I bot possono essere facilmente aggiornati dal bot-herder e possono cambiare la loro intera funzionalità a seconda di ciò che vuole ottenere con loro. Possono anche adattarsi alle regolazioni e alle contromisure del sistema di destinazione. Possono anche utilizzare altri dispositivi infetti nella rete botnet come canali di comunicazione, dando all'attaccante un gran numero di canali di comunicazione per adattare le sue funzioni e fornire aggiornamenti.

Attacco DoS; Botnet

Mitigazione

Le seguenti tecniche possono aiutare a mitigare gli attacchi botnet:

  • Aggiornamenti regolari del software per ridurre la probabilità che un attacco botnet sfrutti le vulnerabilità del sistema;
  • Distribuzione di un sistema di rilevamento delle intrusioni (IDS) in tutta la rete;
  • Uso di filtri blackhole che fermano il traffico indesiderato prima che entri in una rete protetta.

Se non hai ancora analizzato il tuo livello di sicurezza con la nostra applicazione gratuita, registrati qui!

Condividi post:

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su e-mail

Anche questi articoli potrebbero interessarti

Attacchi DoS

Gli attacchi Denial of Service (o attacchi DoS) sono attacchi più maligni che mirano a inondare un sistema, server o / e rete con il traffico al fine di disattivare il suo

Leggi di più
13 aprile 2022

Suggerimento:

L'applicazione sarà presto disponibile.