DOS ATTACK

Attacchi alla sicurezza informatica

ATTACCHI DoS E DDoS

Bini, Carlotti, Centonze

START

INDICE

sMURF

cosa sono?

SYN FLOOD

differenze

tipologie di attacco

ack FLOOD

COME DIFENDERSI?

strategIe di attacco

ATTACCO DoS (Denial of Service) e DDoS (Distributed DoS)

Cosa sono?

Forme di attacco informatico mirate a rendere un servizio o una risorsa online inaccessibili, rendendoli incapaci di rispondere alle richieste legittime degli utenti.

Obiettivi?

Esaurire le risorse o la larghezza di banda della vittima, in modo da creare un'interruzione dei servizi .

DIFFERENZE

• L'attacco DoS è condotto da una singola macchina

più facile da individuare e mitigare.

• L'attacco DDoS è condotto da botnet, ovvero un insieme di computer infettati da malware ("bot" o "zombie"), ognuno dei quali viene controllato da un attacker da remoto tramite internet.

poche probabilità di scovare il punto di origine reale.

TIPOLOGIE DI ATTACCO DDoS

3 tipologie di attacco:

• volume-based: consumare una risorsa del sistema target, come la larghezza di banda (esempio: flood di pacchetti).

• protocol: sfruttare le vulnerabilità nei protocolli di trasporto come TCP e UDP (esempio: SYN flood).

• application: sfruttare le vulnerabilità o sovraccaricare le risorse di un'applicazione specifica (esempio: HTTP Flood).

STRATEGIE DI ATTACCO DDoS

Gli attaccanti possono manipolare le richieste inviate alla vittima mirando a:

• saturazione della banda larga: se il limite di banda viene superato, i servizi offerti da una risorsa di rete non saranno più disponibili per gli utenti che tentano di accedervi.

esempio: Smurf.

• sovraccarico delle risorse del sistema: un server web può instaurare solo un numero limitato di connessioni e se viene superato questo limite, i servizi non saranno più accessibili dagli utenti.

esempio: HTTP Flood, SYN Flood e UDP Flood.

• sfruttamento di errori nei software: attacchi basati su delle falle di sicurezza di un sistema

esempio: Ping of Death.

SMURF ATTACK

Cos'è?

L'attacco Smurf è un tipo di DDoS volume-based che consiste in un’inondazione del server della vittima di pacchetti IP e ICMP contraffatti.

Come funziona?

1. l'attacker individua l’indirizzo IP del target;
2. l'attacker crea pacchetti di dati contraffatti;
3. l'attacker invia le richieste di echo ICMP (ping) con indirizzo mittente "spoofato", corrispondente all'indirizzo IP del target;
4. la vittima è inondata di richieste ICMP;
5. il server della vittima viene sovraccaricato.

SYN FLOOD

Cos'è?

Il SYN flood è un tipo di attacco DDoS che prende di mira un server e lo rende indisponibile al traffico consumandone tutte le risorse, inviando ripetutamente pacchetti di richieste di connessione iniziale (SYN).

Come funziona?

1. l’attacker invia un elevato volume di pacchetti SYN al server vittima, con indirizzi IP contraffatti;
2. il server preso di mira risponde a ciascuna delle richieste di connessione e lascia una porta aperta pronta per ricevere la risposta;
3. mentre il server attende la risposta, l’attacker continua a inviare pacchetti SYN, così da finire le porte utilizzabili e il server non sarà più in grado di funzionare correttamente.

ACK FLOOD

Cos'è?

• Firewall e server sono gli obiettivi più probabili per un flusso di ACK
• I pacchetti ACK legittimi e illegittimi sembrano essenzialmente uguali, rendendo difficile fermare le inondazioni di ACK

Un attacco ACK Flood si verifica quando un utente malintenzionato tenta di sovraccaricare un server con pacchetti TCP ACK illegittimi.

Obiettivo?

Negare il servizio ad altri utenti rallentando o bloccando il bersaglio utilizzando dati spazzatura.

COME DIFENDERSI?

1. Utilizzare strumenti di monitoraggio della rete e delle applicazioni
2. Costruire una strategia difensiva, valutando e analizzando i rischi di attacchi DoS
3. Avere un piano B per ripristinare rapidamente i servizi a seguito di un attacco DoS
4. Includere la sicurezza informatica nella continuità aziendale
5. Implementare un modello di sicurezza Zero Trust garantendo che solo gli utenti autorizzati ottengano l’accesso ad applicazioni e servizi critici.
6. Incorporare gli attacchi DDoS nei test di penetrazione per simulare attacchi complessi, identificare le vulnerabilità e rafforzare le difese.

GRAZIE PER L'ATTENZIONE