Denial of Service e Botnets

Pubblicato da Mattia Felici il

Reading Time: 6 minutes

Denial of Service (DoS) e botnet sono concetti correlati e spesso complementari. Attacchi basati su DoS sono responsabili sia di disagi economici che di malfunzioni temporanee.
Gli attacchi Denial of Service sono spesso eseguiti da botnet.

Denial of Service

Il Denial of Service è un modo comune per attaccare i siti web aziendali e governativi.

Un attacco Denial of Service è solitamente un flusso di messaggi di input che supera la capacità di elaborazione dell’obiettivo dell’attacco e la grande mole di messaggi blocca i clienti legittimi del sito, che non vedono la risorsa disponibile.

In altre parole, viene negato il servizio e il sito (o la risorsa) viene temporaneamente bloccato.
L’utente legittimo di solito, si accorge di questo evento notando rallentamenti generali sulle prestazioni del sito web, tanto da essere inutilizzabile, o non rispondere completamente.
Le aziende che vengono attaccate, perdono vendite, transazioni, visite e soprattutto la loro reputazione per il servizio.

Una forma più avanzata di denial of service è chiamata DdoS (Distributed Denial of Service).
Un attacco distribuito proviene da più di una fonte contemporaneamente.

Gli attacchi distribuiti sono più efficaci degli attacchi singoli perché il volume dei messaggi è maggiore e sono più difficili da respingere per la vittima.

Le botnet sono un modo efficace per lanciare attacchi denial of service distribuiti.
Fra poco vedremo più nel dettaglio cos’è una botnet.

I tipi di messaggio inviati durante un attacco variano.
Un esempio è l’invio di una raffica di e-mail. Altri attacchi utilizzano protocolli di alto livello come HTTP (Hypertext Transfer Protocol).

Altri utilizzano protocolli di livello inferiore che ignorano gran parte dell’elaborazione dei livelli superiori.

Alcuni attacchi sono progettati per danneggiare i server e renderli inutilizzabili oltre a sovraccaricarne la capacità.

Alcuni di questi attacchi portano ad un sovraccarico (anche temporaneo) del processore, che può causare il surriscaldamento e il guasto del processore, anche in modo permanente (immaginate se questa cosa succedesse su un server di produzione con n macchine al suo interno…).

Sebbene gli attacchi Denial of Service non siano considerati sofisticati come altri tipi di attacco, stanno diventando sempre più frequenti.

Tra il 2013 e il 2014, la frequenza degli attacchi denial of service distribuiti è quasi raddoppiata.
Anche il volume di dati lanciato contro la vittima è aumentato notevolmente.

Il numero di attacchi Denial of Service continua ad aumentare, anche se alcuni esperti prevedono che l’intensità di ogni attacco potrebbe diminuire perché un numero maggiore di attacchi deboli è più difficile da rintracciare per le autorità.

Man mano che gli strumenti utilizzati dagli aggressori si evolvono per evitare il rilevamento e facilitare gli attacchi, i dettagli degli attacchi cambiano, ma il concetto di denial of service rimane lo stesso.

Con l’evolversi delle tecniche di attacco, si evolvono anche le strategie per eludere gli attacchi.

Botnets

Gli utenti della rete sono più coinvolti in attacchi Denial of Service di quanto possano pensare.
Gli attacchi distribuiti sono spesso eseguiti da sistemi chiamati botnet, che girano anche su dispositivi personali di vittime ignare.

Botnet è un’elisione di “robot” e “rete”. Una rete di robot, o bot, è una botnet.
I bot sono dispositivi, di solito personal computer, che vengono controllati per eseguire gli ordini di un bot master.
I bot vengono reclutati utilizzando tecniche come phishing e drive-by.

I bot ricevono ordini dal master.
A seconda della sofisticazione della botnet, un bot può accettare solo ordini semplici oppure può essere in grado di eseguire programmi più complessi.

L’utente spesso non sa che il proprio dispositivo è diventato uno “schiavo” del bot master.

I bots non sono sempre attivi, ma quando lo sono, il dispositivo slave potrebbe essere lento e occasionalmente bloccarsi. Questi sintomi però possono essere spiegati da un numero qualsiasi di condizioni, per questo non è semplice accorgersi della presenza di un bot.

La maggior parte di essi può essere rilevata e rimossa da un software anti-malware, sebbene il software del bot cambi frequentemente per eludere il rilevamento.

Le botnet possono essere enormi. Alcune reti hanno avuto milioni di utenti, anche se ultimamente c’è la tendenza a limitare le dimensioni a decine di migliaia.

Si presume che la logica sia che il bot master decida che molte reti più piccole sono più difficili da rilevare e spegnere rispetto a una singola mega-rete.

I singoli bot sono relativamente facili da rilevare e rimuovere rispetto alla rimozione di un’intera botnet.
Le reti possono essere gestite in gerarchie complesse, come reti peer-to-peer o altri modelli. Anche i server botnet possono essere installati su diversi dispositivi, compromettendoli e rendendo difficile l’inseguimento del bot master.

Le autorità potrebbero rimuovere una botnet e vederla riapparire alcuni mesi o settimane dopo.

Tracciare il traffico di una rete fino alla sua origine può essere molto difficile. Quando arriva un messaggio Internet, l’autore e il luogo di origine possono essere nascosti nel corpo del messaggio, ma non fanno parte della sezione obbligatoria dell’involucro in cui il messaggio viene impacchettato e spedito.

L’unica cosa richiesta su questo wrapper è un indirizzo per il destinatario e un indirizzo per un messaggio di ritorno.

Un’analogia con la posta cartacea può aiutare a fissare le comunicazioni Internet.
L’ufficio postale richiede alcune informazioni sulla busta, ma il contenuto della busta può essere qualsiasi cosa desideri il mittente.

In modo simile un wrapper di messaggi Internet deve avere un indirizzo destinatario e un indirizzo di ritorno, ma il corpo può essere qualsiasi cosa.

Le informazioni sulla busta richieste sono un indirizzo che l’ufficio postale utilizzerà per consegnare la lettera. La busta può avere un indirizzo di restituzione, ma la lettera verrà comunque consegnata se l’indirizzo di restituzione è vuoto, errato o ingannevole.

Internet è simile. I messaggi devono avere un indirizzo recapitabile. Se l’indirizzo è sbagliato, il messaggio non può essere recapitato. Fine della storia.

È richiesto anche un indirizzo di origine. In questo Internet è più stretto dell’ufficio postale, che ignora gli indirizzi di ritorno assenti; ma il processo è debole riguardo al contenuto dell’indirizzo di origine.

Come un indirizzo di ritorno, può essere ingannevole.
La mancanza di un requisito per un indirizzo di ritorno verificato su una lettera cartacea è stata il punto cruciale di molti romanzi gialli su minacce anonime e ricatti, il che non è lontano da ciò che può accadere su Internet.

Per complicare ulteriormente, gli indirizzi (IP) Internet non sono come un indirizzo stradale.
Sono più come le indicazioni stradali per raggiungere l’indirizzo.

Possono essere semplici e diretti, oppure complicati e intenzionalmente difficili da seguire. Anche quando le indicazioni sono semplici e dirette, individuare il dispositivo esatto che ha inviato un messaggio è spesso difficile o impossibile perché un gruppo di dispositivi potrebbe avere lo stesso indirizzo.

Ad esempio, una rete Wi-Fi domestica con più dispositivi viene solitamente percepita dall’esterno come se tutti avessero lo stesso indirizzo.

Il router Wi-Fi di casa, collegato a Internet, ordina gli indirizzi.

Questi router mantengono la tabella che usano per abbinare i messaggi in arrivo al dispositivo corretto, ma queste tabelle di solito non rimangono a lungo, quindi trovare la corrispondenza esatta in un secondo momento potrebbe essere impossibile.

Le persone che vogliono essere anonime si assicurano che le indicazioni siano estremamente difficili da seguire e che le loro tracce vengano cancellate istantaneamente. La maggior parte delle reti funziona più o meno in questo modo.

Le botnet e gli hacker in generale si affidano al normale funzionamento dell’indirizzamento Internet per eludere la scoperta.

Aggiungendo a tutto questo uno strato di VPN o proxy server per la navigazione anonima, l’attaccante è pressochè irrintracciabile.

Le botnet vengono utilizzate per diversi tipi di attacco.

Ho menzionato il lancio di attacchi denial of service distribuiti, ma gran parte dello spam di Internet viene distribuito da botnet.

Ogni bot invia spam, combinandosi in una valanga di e-mail. A volte, si stima che le botnet generino dal 10% al 20% del traffico e-mail globale.

Oltre a lanciare attacchi denial of service distribuiti, le botnet possono essere utilizzate per fornire le risorse informatiche per decifrare password o estrarre valuta informatica come bitcoin.

I proprietari di botnet a volte mettono in vendita il servizio botnet.

I criminali con pochi computer o poca potenza di calcolo possono utilizzare questi servizi per lanciare i propri attacchi.

Categorie: Attacchi Informatici
Tag:

Articoli correlati

Attacchi Informatici

Attacchi crittografici

Gli attacchi crittografici prendono di mira l’algoritmo di crittografia o di hash. Si presentano in diverse forme, ma richiedono tutte una sofisticazione matematica. Un tipo di attacco è chiamato attacco di collisione (collision attack). Alcuni Leggi tutto…

Attacchi Informatici

Approccio Assume Breach

Anche con sistemi di prevenzione degli attacchi informatici in crescita, inclusi antivirus di nuova generazione, firewall e web firewall, le minacce avanzate riescono comunque a bypassare i sistemi di sicurezza. Pertanto, nessuna delle tecnologie di Leggi tutto…

Attacchi Informatici

Tipologie di Virus

Quando si parla di virus, è importante comprendere che non tutti i virus sono creati allo stesso modo. Bisognerebbe comprendere che ce ne sono di diversi tipi anche se è complicato capire tutte le forme Leggi tutto…

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.