DOS

Che cos’è?

Il termine Denial of Service nel campo della sicurezza informatica indica un malfunzionamento dovuto ad un attacco informatico che causa la saturazione deliberata delle risorse di un sistema informatico, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio.

Un attacco DOS può essere anche di tipo distribuito (DDoS – Distributed Denial of Service). Il DDOS mantiene gli stessi scopi del DOS, ma in questo caso il traffico che colpisce la vittima proviene da molteplici fonti distribuite anche geograficamente. L’attacco DDOS viene portato da più botnet coordinate su più livelli (ad esempio un numero elevatissimo di tentativi di connessioni FTP insieme a tentativi di accesso http). Di conseguenza un attacco distribuito avrà bisogno di un lasso di tempo minore per avere successo.

Perché è rilevante?

L’attacco DoS può comportare il rallentamento o la mancata erogazione di servizi (anche essenziali) forniti via rete, con conseguenti danni a livello di immagine, economico e sociale.

Come mi difendo?

  • Implementando filtri su pacchetti di dati alterati (cioè spoofed) all’ingresso dei propri router e firewall. In questo modo, anche se non verrà immediatamente bloccato l’attacco, si potrà individuare il traffico malevolo e applicare in tempi relativamente brevi una contromisura.
  • Utilizzando sistemi di riconoscimento delle intrusioni (IDS).
  • Utilizzando sistemi di prevenzione delle intrusioni (IPS).
  • Utilizzando la tecnica del sinkholing che prevede di “far defluire” tutto il traffico proveniente da uno o più indirizzi IP “malevoli” verso un server “civetta” creati appositamente per ridurre il traffico in eccesso.
  • Sovrastimando le risorse necessarie, in modo da fronteggiare attacchi che puntano a saturare la banda o la capacità di calcolo di un sistema informatico.
  • Adeguando la configurazione del server e dei servizi, ad esempio indicando quante e quali risorse può utilizzare un servizio e come questo può rispondere alle richieste esterne. In caso di attacco, le conseguenze non si ripercuoteranno su tutto il sistema ma solo sul software oggetto dell’attacco.

Cos’è tecnicamente?

Gli attacchi vengono tipicamente eseguiti inviando molti pacchetti di richieste, di solito ad un server web, FTP o server di posta elettronica saturandone le risorse. Il sistema tende a essere non più disponibile agli utenti e a non erogare il servizio.

L’attacco avviene in genere utilizzato molti computer compromessi, detti zombie, sui quali precedentemente viene iniettato un codice malevolo per attacchi DoS e che si attiva mediante un comando inviato dall’attaccante. In caso di diffusione su molti pc, si viene a creare una rete detta botnet, che produce inconsapevolmente e nello stesso istante un enorme flusso di dati che  travolgerà come una valanga il sito bersaglio.

Come si rimedia?

Trattandosi di connessioni apparentemente legittime, è impossibile bloccarle senza interrompere anche il flusso inoffensivo. Però, limitando drasticamente il numero di sessioni aperte simultaneamente, l’impatto dell’attacco si riduce considerevolmente senza limitare il flusso dei pacchetti regolari.