DDoS

Un DDoS (acronimo per Distributed Denial of Service) è un attacco informatico svolto utilizzando un numero elevato di macchine attaccanti.

L'obbiettivo è quello di rendere non disponibile una risorsa o un servizio. Per far ciò si "bombarda" di richieste il server dove risiede il servizio in modo da saturarlo e quindi impedirgli di rispondere correttamente alle richieste degli utenti leciti.

Gli hacker considerano il DDoS un attacco a forza bruta, in quanto non fa affidamento su conoscenze avanzate o su bachi del sistema, ma si avvale esclusivamente del numero elevatissimo di richieste che molti attaccanti sono in grado di generare.

Gli attaccanti tendono ad non esporsi direttamente, dato che per le forze dell'ordine sarebbe relativamente semplice risalire ai computer utilizzati per l'attacco. Gli attaccanti, per evitare di essere individuati e per avere a disposizione un numero sufficiente di computer per l'attacco inizialmente, infettano un numero elevato di computer con dei virus o worm che lasciano aperte delle backdoor a loro riservate; quando il numero di computer è ritenuto adeguato, o quando scatta una specifica data, i computer infetti si attivano e sommergono il server bersaglio di false richieste. Con l'avvento della banda larga il fenomeno dei DDOS sta assumendo proporzioni preoccupanti, dato che attualmente esistono milioni di persone dotate di una connessione ad Internet molto veloce e permanente ma con scarse o nulle conoscenze e contromisure riguardanti la sicurezza informatica.

Una particolare categoria di DDoS è il cosí detto Reflected DDoS. In questa particolare tipologia di attacco, il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci utilizzando come indirizzo di provenienza non il proprio bensí quello del bersaglio dell'attacco. In questo modo i server risponderanno affermativamente alla richiesta di connessione non all'attaccante ma al bersaglio dell'attacco. Una tale scenario vede immediatamente esaurirsi le risorse del bersaglio.

Quest'ultimo tipo di attacco è particolarmente subdolo perché, a causa della natura delle risposte, è difficilmente schermabile dall'utente comune: infatti se si filtrassero le risposte dei server verrebbe compromessa la funzionalitá stessa della connessione di rete impedendo, di fatto, la ricezione anche delle informazioni desiderate. Le risposte dei server, sollecitate dall'attaccante, sono infatti indistinguibili da quelle generate da una richiesta legittima della vittima. Il problema si sta presentando con maggiore incidenza da quando Microsoft ha deciso di rendere le "Raw Sockets", interfaccia di accesso al TCP/IP, facilmente disponibili. Le RAW sockets permettono appunto di cambiare l'indirizzo di provenienza del pacchetto per sostituirlo con quello della vittima, fatto che è strumentale per questo tipo di attacco.