+39 051 0516686 | security@foresite.it
bclose

Gli attacchi DDoS di protocollo sono un insieme di vari attacchi atti a causare l’interruzione di un ambiente sfruttando una specifica debolezza o inefficienza nel protocollo. La maggior parte di questi attacchi sfruttano debolezze dei protocolli di livello 3 e 4, come il TCP, l’ IP e l’ UDP. A differenza degli attacchi volumetrici, l’intenzione non è quella di saturare la connessione Internet, ma piuttosto di causare un’interruzione con un relativamente piccolo ammontare di traffico di rete.

La maggior parte delle comunicazioni su Internet utilizzano il modello client/server. In questo modello un dispositivo o sistema di rete che presenta una risorsa su internet attende le connessioni dai client. Il client avvia una connessione e una volta che la connessione è stabilita, la comunicazione può iniziare. Per ogni connessione vengono impiegate risorse sia sul client che sul server. Per esempio, quando viene creata una connessione TCP tra il browser di un utente e un server web, il server web assegna varie aree di memoria per tracciare la comunicazione e mantenere dati riguardanti lo stato della connessione. Inoltre, la maggior parte dei sistemi operativi hanno un limite finito per quanto riguarda le dimensioni delle tabelle di connessione e di  altre tabelle interne per lo stato della rete. Gli attacchi protocollo tentano di interrompere la comunicazione logorando queste risorse sul sistema obiettivo. Come regola generale, più risorse sono utilizzate da un protocollo, più questo protocollo è suscettibile ad attacchi DDoS. Gli attacchi DDoS  di protocollo sono possibili a causa del limitato ammontare di risorse del server in rapporto alle risorse totali dei client disponibili nell’intero Internet.

Vediamo l’esempio di un attacco al protocollo TCP, uno degli attacchi di protocollo più triviali. Immaginiamo che il sistema obiettivo abbia un limite finito di configurazione nel sistema operativo, che permette di supportare fino a 20.000 connessioni TCP. Questo significa che una botnet di solo 20 nodi sarebbe in grado facilmente di riempire il pool di connessioni (20 nodi x 1000 connessioni/nodo = 20.000 connessioni). Una botnet di 100.000 nodi è abbastanza comune, e negli ultimi anni sono state scoperte grandi botnet di oltre 10 milioni di nodi. Con le connessioni DDoS che riempiono tutti gli slot per la connessione dell’obiettivo, nessuna connessione legittima può essere stabilita.


Impatto dell’attacco

Incremento dell’utilizzo di memoria sui dispositivi di rete

I dispositivi che tracciano lo stato della connessione di rete, come i firewall, gli IPS/IDS o i load balancer di solito utilizzano più memoria quando si trovano sotto attacco DDoS di protocollo. Ogni nuova connessione o flusso di dati richiede che delle risorse siano assegnate da questi dispositivi. Se l’attacco è abbastanza forte, è possibile che la memoria di questi dispositiva venga esaurita. Piccole perdite di memoria che altrimenti potrebbero passare inosservate saranno esacerbate da questi attacchi.

Incremento di carico sui dispositivi di rete

I dispositivi che tracciano lo stato della connessione di rete, come i firewall, gli IPS/IDS o i load balancer potrebbero utilizzare più risorse CPU. Questo comportamento è comune negli attacchi protocollo relativi al TLS/SSL, dove l’obiettivo o il dispositivo intermedio può decriptare il traffico ad un considerevole costo di CPU.

Raggiungimento di limiti arbitrari

La maggior parte degli stack di rete del sistema operativo contiene specifici limiti che controllano le dimensioni di vari buffer e tabelle archiviate nella memoria fisica.
Pertanto, sebbene l’obiettivo possa apparire normale o inattivo, è possibile che uno di questi limiti arbitrari sia stato superato, il che comporta il rifiuto di connessioni aggiuntive.


Perchè gli attacchi DDoS protocollo sono così efficaci?

Difficoltà di diagnosi

Gli attacchi DDoS di protocollo sono spesso attacchi a bassa banda che possono essere difficili da scoprire. Gli attacchi di protocollo che sfruttano i limiti nei dispositivi di rete potrebbero venire completamente ignorati, in quando il dispositivo potrebbe sembrare inattivo. Questi attacchi vengono a volte diagnosticati male, come semplici interruzioni alla rete e non come attacchi.

Numero finito di risorse

A parte poche eccezioni, la maggior parte delle organizzazioni ha un ammontare finito di CPU e di memoria sui loro dispositivi di rete e server. Un attacco DDoS di protocollo che abbia lo scopo di esaurire la CPU o la memoria di questi dispotivi trae vantaggio da questo fatto. Aumentare la CPU o la capacità di memoria su server o dispositivi di rete richiede spesso l’acquisto costoso hardware, e parecchio tempo per installarlo.

Internet è una risorse di attacco massiva

Indipendentemente da quanto grande possa essere l’ambiente di un’organizzazione, è piccolissimo rispetto alle risorse dell’intero internet. Una grande organizzazione potrebbe avere 10.000 server con 160.000 cpu core e 320 TB di memoria, ma questa stessa capacità può essere raggiunta da una media botnet di solo 100.000 nodi. Quindi, sebbene la maggior parte degli attacchi di protocollo esaurisca quasi una quantità uguale di risorse sul lato dell’aggressore, il pool di risorse disponibili è molto più grande.

Fonti contraffatte

Alcuni attacchi di protocollo non richiedono di stabilire una connessione persistente, per cui gli indirizzi IP sorgenti vengono spesso contraffatti.
Per rendere il rilevamento e la mitigazione dell’attacco ancora più complicati, gli aggressori spesso impostano l’indirizzo IP sorgente come un indirizzo IP completamente random. Questo rende inefficienti le strategie di mitigazione DDoS semplicistiche, che dipendono dall’identificare e bloccare gli indirizzi ip responsabili dell’invio di grandi quantità di dati.


Strategie di mitigazione

Blocco con dispositivi locali

Bloccare gli attacchi DDoS di protocollo con dispositivi locali come IDS/IPS e firewall può avere successo a causa della natura di questi attacchi, che usano poca banda. Questo è in contrasto con gli attacchi volumetrici, dove il collo di bottiglia è a monte e fuori dal controllo dell’organizzazione. Inoltre, a differenza degli attacchi volumetrici, una gran parte degli attacchi di protocollo non hanno indirizzi IP sorgenti contraffatti. Quindi gli attacchi semplici possono essere bloccati con semplici regole di firewall. Gli attacchi più avanzati, in particolare quelli che hanno origine da botnet molto grandi, richiederanno una hardware per la mitigazione DDoS fatto apposta, per identificare propriamente e bloccare in automatico il traffico dell’attacco.

Blocco a monte dell’ ISP

Questo metodo di mitigazione è di solito inefficace per gli attacchi DDoS di protocollo. Il supporto tecnico della maggior parte degli ISP aggiungerà semplici regole per bloccare traffico specifico prima che raggiunga la rete obiettivo. Questo approccio può essere efficace per mitigare attacchi semplici, ma non sarà in grado di mitigare scenari più complessi. La limitazione è relativa alla capacita minima di filtraggio offerta dalla maggior parte degli ISP. Per esempio, molti ISP potranno filtrare tutto il traffico da o per uno specifico indirizzo IP, o che utilizza un certo protocollo. Ma questo è uno strumento molto secco che potrebbe non essere abbastanza granulare da bloccare il traffico DDoS e allo stesso tempo permettere il traffico legittimo. Lo stesso livello di filtraggio è disponibile nei firewall e nei router locali, con in più il beneficio di essere sotto il controllo dell’organizzazione

Analisi del traffico

A causa della bassa banda utilizzata dalla maggior parte degli attacchi di protocollo, una delle cose più difficili è identificare che un attacco è effettivamente in corso. Gli strumenti che analizzano il traffico e cercano anomalie basate su dati storici potrebbero essere di nessun valore per determinare questi attacchi.

Null Routing sull’IP obiettivo

Questo metodo di mitigazione è generalmente non raccomandato per gli attacchi DDoS di protocollo, perché blocca tutto il traffico diretto verso l’obiettivo. Questa opzione è molto imprecisa e avrà effetto sia sul traffico dell’attacco che sul traffico legittimo destinato all’IP obiettivo.

Nascondersi dietro un grande CDN

I CDN tradizionali (Content distribution networks, in italiano: reti di distribuzione di contenuto) funzionano posizionando le cache del web server in tutto il mondo, per fornire i contenuti a internet. Un CDN tipicamente funziona come un proxy HTTP(S) dove tutte le richieste vengono fatte al server CDN, che in seguito avvia una connessione privata al server dell’organizzazione per ottenere i dati. In relazione agli attacchi di protocollo, utilizzare un CDN spesso implicitamente protegge una rete da questo tipo di attacchi perché il traffico viene inviato al CDN, che spesso è composto da una rete massiva distribuita globalmente. Questo tipo di soluzione di mitigazione protegge solo i servizi supportati dal CDN (di solito HTTP e HTTPS).

Servizi di mitigazione dedicati

Un servizio di mitigazione DDoS dedicato è spesso l’approccio più efficace. Questi servizi sono simili all’approccio CDN precedentemente menzionato, ma con capacità avanzate specifiche atte ad identificare e bloccare il traffico DDoS. Come un CDN un servizio di mitigazione rispettabile ha una massiva rete distribuita globalmente in grado di bloccare grossi attacchi DDoS.