+39 051 0516686 | security@foresite.it
bclose

Un attacco DDoS volumetrico è un attacco che cerca di sopraffare l’obiettivo saturando la capacità di rete disponibile.

Internet è composta da un vasto numero di reti individuali tutte interconnesse tra di loro. Le grandi reti (ISP) forniscono accesso alle reti più piccole. Le connessioni tra queste reti hanno tutte un ammontare limitato di capacità di banda, che è spesso fisso, per limiti tecnici o contrattuali.
A prescindere dalle limitazioni, la maggior parte dei collegamenti non può essere facilmente aumentata ad una capacità maggiore senza incorrere in costi sostanziali, sia in termini di denaro che di tempo.
Gli attacchi DDoS volumetrici sono possibili a causa della relativamente piccola capacità di rete di un obiettivo comparato alla capacità d’insieme di tutti i dispositivi connessi ad internet.

Prendiamo ad esempio un ipotetico attacco DDoS volumetrico di questo tipo: immaginiamo che la rete obiettivo abbia una capacità di collegamento massima di 1 Gbps e ogni nodo della botnet che sta attaccando sia su una comune connessione a banda larga residenziale capace di inviare traffico a 20 Mbps. In questo caso una botnet di appena 50 nodi sarebbe sufficiente per sopraffare la rete obiettivo (50 nodi x 20 Mbps = 1 Gbps).
Botnet di 100.000 nodi sono abbastanza comuni, e negli ultimi anni sono state scoperte botnet di oltre 10 milioni di nodi. Con il traffico del DDoS che consuma tutta la capacità di collegamento, nessun traffico legittimo è in grado di passare attraverso la connessione.


Impatto dell’attacco

Saturazione del collegamento

L’effetto primario dell’attacco volumetrico è la saturazione dei collegamenti che connettono la rete obiettivo a internet. Quando ad un collegamento viene inviato più traffico di quello che possa trasmettere, il traffico in eccesso viene fatto cadere dal dispositivo di rete. Il risultato di ciò è una significativa perdita di pacchetti, che porta ad un degrado della performance o addirittura ad una completa interruzione della rete. La grandezza della perdita di pacchetti dipende dall’ammontare del traffico in eccesso, ma può raggiungere anche il 100%. Un utente può notare un impatto sulle applicazioni anche sono con il 5-10% di perdita dei pacchetti.

Incremento del carico sui dispositivi di rete

L’aumento del traffico di rete causato da un attacco DDoS volumetrico causa un utilizzo superiore al normale delle risorse su dispositivi di rete come routers, switch e firewall. Se i dispositivi non sono propriamente calibrati per quel livello di traffico, potrebbero riavviarsi, bloccarsi o comunque peggiorare nelle prestazioni.

Nascondere altri vettori di attacco

Un attacco DDoS volumetrico produce così tanto traffico che potrebbe rendere difficoltoso rilevare attacchi più sottili che potrebbero avvenire simultaneamente. Vari aggressori hanno utilizzato attacchi volumetrici per sopraffare dispositivi quali sistemi di rilevamento o di prevenzione di intrusioni o firewall. Rendendo questi dispositivi inefficienti, possono aumentare la percentuale di successo di un exploit tradizionale di vulnerabilità remote.

Aumento dei costi di rete

Molte organizzazioni utilizzano un modello di prezzo a livelli per l’acquisto di connettività di rete. Un attacco DDoS volumetrico può far lievitare i costi aumentando l’utilizzo del collegamento.


Perché gli attacchi DDoS volumetrici sono così efficaci?

Capacità di rete limitata

Nella maggior parte dei casi, le organizzazioni hanno una capacità di rete limitata che non può essere facilmente aumentata per gestire il traffico aggiuntivo causato da un DDoS volumetrico. Prendiamo ad esempio un’azienda che ha una connessione di 1 Gbps dal suo ISP. Per aumentare la capacità a 10Gbps avrebbero bisogno di un nuovo collegamento fisico (un cavo), di un equipaggiamento di rete più potente (router/firewall/switch) e di tempo per l’implementazione informatica. Il tempo richiesto dalla maggior parte degli ISP per aggiungere capacità di collegamento è in generale da 4 a 6 settimane.

Semplicità

Ogni obiettivo situato su internet può essere colpito da un DDoS volumetrico. L’aggressore non ha necessità di avere una conoscenza speciale dell’ambiente della vittima, o non deve conoscere tecniche avanzate di DDoS. L’aggressore ha solo bisogno dell’ indirizzo IP della vittima e della capacità di inviare traffico. Per questa ragione gli attacchi volumetrici cono spesso il primo tipo di attacchi DDoS tentati da un aggressore.

Fondamentale per la topologia di internet

Internet è composta da tante reti più piccole interconnesse. Questa topologia significa che qualsiasi rete, non importa quanto grande sia l’organizzazione, è piccolissima comparata alla capacità combinata di tutte le reti connesse ad internet. A causa di questa topologia, gli attacchi DDoS volumetrici saranno sempre possibili e la scala degli attacchi dipenderà principalmente dalla abilità dell’aggressore di controllare risorse vulnerabili per costruire una botnet.

Richiede il blocco a monte

Per mitigare un attacco DDoS volumetrico, il traffico deve essere bloccato a priori rispetto alla sua trasmissione sul collegamento di rete saturo. Per fare questo, è necessaria la partecipazione dei provider di rete a monte della rete obiettivo. Per le piccole organizzazioni ciò vuol dire contattare il proprio ISP, o, per quelle che utilizzano il routing BGP, la creazione e la propagazione di null routes.
Quindi mitigare un attacco DDoS per un’azienda vuol dire essere dipendente da fornitori (ISP) che potrebbero non avere la preparazione o la volontà di assisterle nel processo di mitigazione di un DDoS

Qualsiasi traffico va bene

Un attacco DDoS volumetrico può fare leva su ogni protocollo, e avere come obiettivo qualsiasi client anche se l’obiettivo non fornisce un servizio accessibile al pubblico. L’unico requisito per un attacco DDoS volumetrico è di instradare il traffico sulla rete che l’aggressore sta cercando di attaccare. Per esempio, un aggressore potrebbe inviare un grosso volume di pacchetti UDP ad un indirizzo IP e ad una porta che non sono nemmeno in uso nella rete obiettivo. Essendo l’indirizzo IP instradabile, il traffico attraverserà i collegamenti di rete dell’organizzazione obiettivo, colpendola.

Fonti contraffatte

Visto che l’attacco DDoS volumetrico non dipende dallo stabilire una connessione persistente, l’indirizzo IP sorgente è spesso contraffatto. Per rendere il rilevamento e la mitigazione dell’attacco ancora più complicati, gli aggressori spesso impostano l’indirizzo IP sorgente come un indirizzo IP completamente random. Questo rende inefficienti le strategie di mitigazione DDoS semplicistiche, che dipendono dall’identificare e bloccare gli indirizzi ip responsabili dell’invio di grandi quantità di dati.


Strategia di mitigazione

Blocco con dispositivi locali

Tentare di bloccare un attacco DDoS volumetrico utilizzando dispositivi locali come IPS/IDS o firewall è solitamente inefficace. Questi dispositivi sono posizionati “a valle” nella rete rispetto al punto in cui il traffico DDoS causa la saturazione del collegamento e la perdita di pacchetti. Scartare il traffico dopo il collo di bottiglia non ha alcun effetto sulla mitigazione dell’attacco.

Blocco a monte dall’ISP

Se contattato, il supporto tecnico della maggior parte degli ISP può aggiungere delle semplici regole per bloccare traffico specifico prima che raggiunga la rete obiettivo. Questo approccio può essere efficace per mitigare attacchi semplicistici, ma non sarà in grado di mitigare scenari più complessi. La limitazione è relativa alle minime capacità di filtraggio offerte dalla maggior parte degli ISP. Per esempio, molti ISP potranno filtrare tutto il traffico da o per uno specifico indirizzo IP, o che utilizza un certo protocollo. Ma questo è uno strumento molto secco che potrebbe non essere abbastanza granulare da bloccare il traffico DDoS e allo stesso tempo permettere il traffico legittimo.

Null Routing sull’IP obiettivo

Una organizzazione che utilizza BGP può utilizzare le null routes per evitare che i dispositivi su internet inviino traffico all’IP obiettivo. Il principale beneficio di questo approccio è il suo effetto distribuito, in quanto l’annuncio di “null routing” è inviato a tutti i dispositivi su internet che ricevono gli annunci delle tabelle di routing. Questo sistema rende l’IP obiettivo irraggiungibile, per cui è utile soltanto se questo IP è sacrificabile e il traffico può essere scartato per salvare altre risorse sulla stessa rete. Per questa ragione, le null routes sono tipicamente una mitigazione efficace solo in ambienti multiutente dove un utente problematico può essere eliminato per assicurare che i restanti utenti non abbiano problemi.

Nascondersi dietro un grande CDN

I CDN tradizionali (Content distribution networks, in italiano: reti di distribuzione di contenuto) funzionano posizionando le cache del web server in tutto il mondo, per fornire i contenuti a internet. Un CDN tipicamente funziona come un proxy HTTP(S) dove tutte le richieste vengono fatte al server CDN, che in seguito avvia una connessione privata al server dell’organizzazione per ottenere i dati. In relazione agli attacchi volumetrici, utilizzare un CDN spesso implicitamente protegge una rete da questo tipo di attacchi perché il traffico viene inviato al CDN, che spesso è composto da una rete massiva distribuita globalmente.

Servizi di mitigazione dedicati

Un servizio di mitigazione DDoS dedicato è spesso l’approccio più efficace. Questi servizi sono simili all’approccio CDN precedentemente menzionato, ma con capacità avanzate specifiche atte ad identificare e bloccare il traffico DDoS. Come un CDN un servizio di mitigazione rispettabile ha una massiva rete distribuita globalmente in grado di bloccare grossi attacchi DDoS.