Un DDoS (Distributed Denial of Service, diniego del servizio distribuito) è un attacco informatico che mira a rendere un sistema, un servizio o una rete indisponibili ai suoi utenti legittimi, saturandone le risorse (banda, CPU, connessioni, memoria) attraverso un volume di traffico o richieste generato da un gran numero di sorgenti distribuite. La natura distribuita distingue il DDoS dal DoS (Denial of Service) semplice: il traffico proviene da migliaia o milioni di macchine compromesse (botnet), rendendo impossibile il blocco selettivo della sorgente.
Tassonomia degli attacchi
Volumetrici: obiettivo è saturare la banda disponibile. Si misurano in Gbps o Tbps. Tecniche: UDP flood, ICMP flood, amplificazione DNS (il resolver risponde con pacchetti molto più grandi della query; l’attaccante usa IP spoofing per far arrivare le risposte alla vittima), amplificazione NTP, amplificazione memcached. Gli attacchi di amplificazione raggiungono fattori di 50.000:1 (memcached).
Protocollo (State Exhaustion): obiettivo è esaurire la tabella delle sessioni di firewall, load balancer o server. Tecnica classica: SYN flood — l’attaccante invia massivamente pacchetti TCP SYN con IP sorgente falso; il server alloca stato per ogni half-open connection e la tabella si esaurisce. Il server legittimo non riesce più ad accettare nuove connessioni.
Applicativi (Layer 7): traffico HTTP/HTTPS apparentemente legittimo, ma progettato per massimizzare il carico sul server applicativo. HTTP flood: migliaia di GET su endpoint costosi. Slowloris: apre molte connessioni HTTP mandando header a ritmo lentissimo, esaurendo il pool di connessioni del server. Questi attacchi sono difficili da distinguere dal traffico legittimo e richiedono analisi del comportamento.
Botnet
La maggior parte dei DDoS è eseguita tramite botnet: reti di dispositivi compromessi (PC, server, ma sempre più spesso dispositivi IoT con firmware vulnerabile) controllati da un C2 (command and control). I proprietari dei dispositivi non sanno di partecipare all’attacco. Botnet come Mirai (2016, circa 600.000 dispositivi IoT) hanno generato attacchi record da 1,1 Tbps contro Dyn, interrompendo DNS per gran parte di Internet.
Mitigazione
La mitigazione di un DDoS volumetrico non può avvenire sull’infrastruttura della vittima (la banda è già saturata prima di raggiungere il server): richiede filtraggio upstream presso il provider di rete o specialisti CDN/anti-DDoS (Cloudflare, Akamai, AWS Shield).
Tecniche principali:
- BGP Blackholing (RTBH): il traffico verso l’IP vittima viene scartato a livello di routing Internet. Risolve il problema saturazione ma rende il servizio comunque irraggiungibile.
- Scrubbing center: il traffico viene deviato verso un datacenter specializzato che filtra il traffico malevolo e rimanda solo quello legittimo.
- Rate limiting e CAPTCHA (Layer 7): efficaci contro attacchi applicativi, inutili contro flood volumetrici.
- Anycast: la stessa rete IP è annunciata da decine di PoP nel mondo; il traffico di attacco si distribuisce su tutti i nodi invece di concentrarsi su uno solo.
La disponibilità (Availability) della Triade CIA è la proprietà direttamente minacciata dal DDoS.