Il primo tipo di attacco da esaminare è il denial of service (DoS). Un attacco denial of service è qualsiasi attacco che mira a negare agli utenti legittimi l’uso del sistema di destinazione. Questa classe di attacco in realtà non tenta di infiltrarsi in un sistema o di ottenere informazioni sensibili. Mira semplicemente a impedire agli utenti legittimi di accedere a un determinato sistema. Esempio accedere il sito bancario per inviare un pagamento. Altro esempio giocare online alla piattaforma gaming preferita.
Questo tipo di attacco è una delle categorie più comuni di attacco. Molti esperti ritengono che sia così comune perché la maggior parte delle forme di attacchi denial of service sono abbastanza facili da eseguire. La facilità con cui questi attacchi possono essere eseguiti significa che anche gli attaccanti con competenze tecniche minime possono spesso eseguire con successo una negazione del servizio.
Il concetto alla base dell’attacco denial of service si basa sul fatto che qualsiasi dispositivo ha limiti operativi. Questo fatto si applica a tutti i dispositivi, non solo ai sistemi informatici. Ad esempio, i ponti sono progettati per contenere il peso fino a un certo limite, gli aeromobili hanno limiti su quanto possono viaggiare senza rifornimento di carburante e le automobili possono solo accelerare fino a un certo punto.
Tutti questi vari dispositivi condividono un tratto comune: hanno fissato delle limitazioni alla loro capacità di eseguire specifici lavori. I computer non sono diversi da questi o da qualsiasi altra macchina; anche loro hanno dei limiti. Qualsiasi sistema informatico, web server o rete può gestire solo un carico finito.
Come viene definito un carico di lavoro (e i suoi limiti) varia da una macchina all’altra. Un carico di lavoro per un sistema informatico potrebbe essere definito in diversi modi, tra cui il numero di utenti simultanei, la dimensione dei file, la velocità di trasmissione dei dati o la quantità di dati memorizzati. Il superamento di uno di questi limiti impedirà al sistema di rispondere. Ad esempio, se è possibile inondare un server Web con più richieste di quante ne possa elaborare, sarà sovraccarico e non sarà più in grado di rispondere a ulteriori richieste.
Questa realtà è alla base dell’attacco DoS. Basta sovraccaricare il sistema di richieste e non sarà più in grado di rispondere agli utenti legittimi che tentano di accedere al server Web.
Il semplice invio ping è il metodo più primitivo per eseguire un DoS. Metodi più sofisticati utilizzano tipi specifici di pacchetti. Una versione popolare dell’attacco DoS è l’inondazione SYN. Questo particolare attacco dipende dalla conoscenza dell’hacker su come vengono effettuate le connessioni a un server. Quando una sessione viene avviata tra il client e il server in una rete utilizzando il protocollo TCP, un piccolo spazio buffer in memoria viene messo da parte sul server per gestire lo scambio dei messaggi che imposta la sessione. I pacchetti che stabiliscono la sessione includono un campo SYN che identifica la sequenza nello scambio di messaggi.
Attacco con SYN tenta di interrompere questo processo. In questo attacco, un utente malintenzionato invia una serie di richieste di connessione molto rapidamente e quindi non riesce a rispondere alla risposta che viene inviata dal server. In altre parole, l’attaccante richiede connessioni e quindi non segue mai il resto della sequenza di connessioni. Ciò ha l’effetto di lasciare le connessioni sul server semiaperte e la memoria buffer allocata per loro è riservata e non disponibile per altre applicazioni. Sebbene il pacchetto nel buffer venga eliminato dopo un certo periodo di tempo (di solito circa tre minuti) senza una risposta, l’effetto di molte di queste false richieste di connessione è di rendere difficile la creazione di richieste legittime per una sessione.
Smurf attack è un tipo popolare di attacco DoS. Prende il nome dall’applicazione utilizzata per eseguire questo attacco. Nell’attacco, un pacchetto ICMP viene inviato all’indirizzo di trasmissione di una rete, ma il suo indirizzo di ritorno è stato modificato per corrispondere a uno dei computer su quella rete.
I pacchetti ICMP utilizzano Internet Control Message Protocol per inviare messaggi di errore su Internet. Poiché l’indirizzo dei pacchetti a cui viene inviato è un indirizzo di trasmissione, tale indirizzo risponde inviando il pacchetto a tutti gli host della rete, che quindi lo inviano all’indirizzo di origine contraffatto.
L’invio continuo di tali pacchetti farà sì che la rete stessa esegua un attacco DoS su uno o più dei suoi server membri. Questo attacco è intelligente e semplice. La maggiore difficoltà è inviare i pacchetti sulla rete di destinazione. Ciò può essere realizzato tramite alcuni software come un virus o un trojan che inizierà a inviare i pacchetti.
Il Ping of Death (PoD), è forse la forma più semplice e più primitiva di attacco DoS e si basa sul sovraccarico del sistema bersaglio. I pacchetti TCP hanno dimensioni limitate. In alcuni casi, semplicemente inviando un pacchetto troppo grande, è possibile arrestare un computer di destinazione.
Lo scopo di questo attacco è sovraccaricare il sistema bersaglio e farlo smettere di rispondere. Il PoD lavora per compromettere i sistemi che non sono in grado di gestire pacchetti di dimensioni estremamente grandi. In caso di successo, il server verrà effettivamente arrestato. Naturalmente può essere riavviato.
L’unica vera protezione contro questo tipo di attacco è garantire che tutti i sistemi operativi e il software siano sistematicamente sottoposti a patch. Questo attacco si basa sulle vulnerabilità nel modo in cui un particolare sistema operativo o applicazione gestisce pacchetti TCP anormalmente grandi. Quando vengono rilevate tali vulnerabilità, il fornitore rilascia normalmente una patch. La possibilità di PoD è uno dei motivi, tra i tanti, per cui è necessario mantenere le patch aggiornate su tutti i sistemi.
Questo attacco sta diventando meno comune poiché le versioni più recenti dei sistemi operativi sono in grado di gestire meglio i pacchetti troppo grandi da cui Ping of Death dipende. Se il sistema operativo è stato progettato correttamente, eliminerà tutti i pacchetti di grandi dimensioni, annullando così eventuali effetti negativi che un attacco PoD potrebbe avere.
UDP (User Datagram Protocol) è un protocollo senza connessione e non richiede alcuna procedura di impostazione della connessione per trasferire i dati. I pacchetti TCP si connettono e attendono che il destinatario confermi la ricezione prima di inviare il pacchetto successivo. Ogni pacchetto è confermato. I pacchetti UDP inviano semplicemente i pacchetti senza conferma. Ciò consente di inviare i pacchetti molto più velocemente, semplificando l’esecuzione di un attacco DoS.
Un attacco UDP flood si verifica quando un utente malintenzionato invia un pacchetto UDP a una porta casuale sul sistema vittima. Quando il sistema vittima riceve un pacchetto UDP, determinerà quale applicazione è in attesa sulla porta di destinazione. Quando si rende conto che nessuna applicazione è in attesa sulla porta, genererà un pacchetto ICMP di destinazione non raggiungibile all’indirizzo di origine contraffatto. Se vengono consegnati abbastanza pacchetti UDP alle porte della vittima, il sistema si arresta.
Strumenti DoS
Un motivo per cui gli attacchi DoS stanno diventando così comuni è che sono disponibili numerosi strumenti per eseguire attacchi DoS. Questi strumenti sono ampiamente disponibili su Internet e nella maggior parte dei casi sono scaricabili gratuitamente. Ciò significa che qualsiasi amministratore cauto dovrebbe esserne consapevole. Oltre al loro ovvio utilizzo come strumento di attacco, possono anche essere utili per testare le misure di sicurezza anti-DoS.
Low Orbit Ion Cannon (LOIC) è probabilmente lo strumento DoS più noto e uno dei più semplici. Prima inserisci l’URL o l’indirizzo IP nella casella di destinazione. Quindi fare clic sul pulsante Blocca. È possibile modificare le impostazioni riguardanti il metodo scelto, la velocità, il numero di thread e se attendere o meno una risposta. Quindi fai semplicemente clic sul pulsante IMMA CHARGIN MAH LAZER e l’attacco è in corso.
L’High Orbit Ion Cannon (HOIC) è un po ‘più avanzato del LOIC, ma in realtà è più semplice da eseguire. Fai clic sul pulsante + per aggiungere target. Apparirà una finestra pop-up in cui hai inserito l’URL e alcune impostazioni.
