Un DDoS (Distributed Denial of Service, diniego del servizio distribuito) è un attacco informatico che mira a rendere un sistema, un servizio o una rete indisponibili ai suoi utenti legittimi, saturandone le risorse (banda, CPU, connessioni, memoria) attraverso un volume di traffico o richieste generato da un gran numero di sorgenti distribuite. La natura distribuita distingue il DDoS dal DoS (Denial of Service) semplice: il traffico proviene da migliaia o milioni di macchine compromesse (botnet), rendendo impossibile il blocco selettivo della sorgente.
Tassonomia degli attacchi
Volumetrici: obiettivo è saturare la banda disponibile. Si misurano in Gbps o Tbps. Tecniche: UDP flood, ICMP flood, amplificazione DNS (il resolver risponde con pacchetti molto più grandi della query; l’attaccante usa IP spoofing per far arrivare le risposte alla vittima), amplificazione NTP, amplificazione memcached. Gli attacchi di amplificazione raggiungono fattori di 50.000: 1 (memcached).
Protocollo (State Exhaustion): obiettivo è esaurire la tabella delle sessioni di firewall, load balancer o server. Tecnica classica: SYN flood — l’attaccante invia massivamente pacchetti TCP SYN con IP sorgente falso; il server alloca stato per ogni half-open connection e la tabella si esaurisce. Il server legittimo non riesce più ad accettare nuove connessioni.
Applicativi (Layer 7): traffico HTTP/HTTPS apparentemente legittimo, ma progettato per massimizzare il carico sul server applicativo. HTTP flood: migliaia di GET su endpoint costosi. Slowloris: apre molte connessioni HTTP mandando header a ritmo lentissimo, esaurendo il pool di connessioni del server. Questi attacchi sono difficili da distinguere dal traffico legittimo e richiedono analisi del comportamento.
Botnet
La maggior parte dei DDoS è eseguita tramite botnet: reti di dispositivi compromessi (PC, server, ma sempre più spesso dispositivi IoT con firmware vulnerabile) controllati da un C2 (command and control). I proprietari dei dispositivi non sanno di partecipare all’attacco. Botnet come Mirai (2016, circa 600.000 dispositivi IoT) hanno generato attacchi record da 1, 1 Tbps contro Dyn, interrompendo DNS per gran parte di Internet.
Mitigazione
La mitigazione di un DDoS volumetrico non può avvenire sull’infrastruttura della vittima (la banda è già saturata prima di raggiungere il server): richiede filtraggio upstream presso il provider di rete o specialisti CDN/anti-DDoS (Cloudflare, Akamai, AWS Shield).
Tecniche principali:
- BGP Blackholing (RTBH): il traffico verso l’IP vittima viene scartato a livello di routing Internet. Risolve il problema saturazione ma rende il servizio comunque irraggiungibile.
- Scrubbing center: il traffico viene deviato verso un datacenter specializzato che filtra il traffico malevolo e rimanda solo quello legittimo.
- Rate limiting e CAPTCHA (Layer 7): efficaci contro attacchi applicativi, inutili contro flood volumetrici.
- Anycast: la stessa rete IP è annunciata da decine di PoP nel mondo; il traffico di attacco si distribuisce su tutti i nodi invece di concentrarsi su uno solo.
La disponibilità (Availability) della Triade CIA è la proprietà direttamente minacciata dal DDoS.