gli attacchi Denial of Service (DoS) occupano un posto di rilievo per la loro capacità di rendere inaccessibili servizi digitali fondamentali. Sebbene non sempre distruttivi nel senso tradizionale del termine, i DoS possono provocare danni significativi a livello economico, reputazionale e operativo. Ma cosa sono esattamente questi attacchi? Come funzionano? E quali misure possono essere adottate per prevenirli?
In questo articolo esploreremo in profondità il concetto di Denial of Service, analizzando i suoi meccanismi, le varianti più comuni, i casi celebri, e le strategie di difesa adottate dai professionisti della cybersecurity.
Cos’è un attacco Denial of Service?
Un attacco Denial of Service (DoS), in italiano “Negazione del Servizio”, è un attacco informatico il cui obiettivo principale è rendere indisponibile un servizio, un’applicazione o un’intera infrastruttura informatica a utenti legittimi. L’attacco può prendere di mira siti web, server, reti o dispositivi specifici.
A differenza di altre minacce informatiche che mirano al furto di dati o all’accesso non autorizzato, i DoS mirano a sovraccaricare un sistema fino al punto in cui non può più funzionare correttamente.
Come funziona un attacco DoS
Il principio di base di un attacco DoS è l’esaurimento delle risorse. Un aggressore invia un volume eccessivo di richieste o dati verso un sistema, sopraffacendolo. Quando ciò accade, il sistema non riesce più a gestire il carico di lavoro e, di conseguenza, si blocca o rallenta drasticamente.
Le risorse che possono essere colpite includono:
- La larghezza di banda di rete (bandwidth)
- La CPU del server
- La memoria RAM
- I file system
- I database sottostanti
Tipi principali di attacchi DoS
1. Volume-Based Attacks (attacchi basati sul volume)
Questi attacchi mirano a consumare tutta la banda disponibile tra la vittima e internet. Usano tecniche come:
- UDP Floods
- ICMP Floods
- Ping of Death
L’obiettivo è saturare la rete con un enorme volume di traffico.
2. Protocol Attacks (attacchi ai protocolli)
Questi sfruttano debolezze nei protocolli di comunicazione, consumando risorse dei server, dei firewall o degli altri componenti di rete. Tecniche comuni:
- SYN Flood
- Ping of Death
- Smurf Attack
Questi attacchi consumano risorse come tabelle di connessione, rendendo indisponibili nuove connessioni.
3. Application Layer Attacks (attacchi a livello applicativo)
Prendono di mira applicazioni specifiche, come server HTTP, DNS o database. Sono più difficili da individuare perché simulano traffico legittimo. Esempi:
- HTTP Flood
- Slowloris
- Zero-day DoS
Questi attacchi sfruttano chiamate costose a livello software che bloccano il sistema.
Distributed Denial of Service (DDoS)
Una variante più sofisticata del DoS è il Distributed Denial of Service (DDoS). In un DDoS, l’attaccante utilizza più sistemi compromessi (botnet) per coordinare l’attacco verso un unico bersaglio.
Il principale vantaggio del DDoS per l’attaccante è la difficoltà di contrasto: è molto più difficile difendersi da centinaia o migliaia di fonti simultanee piuttosto che da una singola.
Esempi famosi di attacchi DoS/DDoS
GitHub (2018)
Nel 2018, GitHub subì uno degli attacchi DDoS più potenti mai registrati, con un picco di 1.35 Tbps. L’attacco sfruttava la riflessione tramite Memcached, un sistema di caching open source.
Estonia (2007)
Una serie coordinata di attacchi DDoS ha colpito i principali siti governativi, bancari e media in Estonia. È considerato uno dei primi casi di cyber-guerra.
Dyn DNS (2016)
Un attacco DDoS contro Dyn, un fornitore di servizi DNS, rese inaccessibili siti come Twitter, Netflix e Reddit. L’attacco fu realizzato attraverso la botnet Mirai, composta principalmente da dispositivi IoT compromessi.
Conseguenze di un attacco DoS
- Perdite economiche: Un sito e-commerce offline può perdere migliaia o milioni di euro in poche ore.
- Danni alla reputazione: La percezione del marchio può subire un colpo, specialmente se gli utenti percepiscono scarsa sicurezza.
- Interruzioni operative: Servizi essenziali, anche governativi o sanitari, possono subire gravi ritardi.
- Costi di mitigazione: Le aziende possono dover investire ingenti somme in servizi di protezione e consulenze tecniche.
Strumenti utilizzati negli attacchi DoS
Esistono tool legittimi usati per testare la resilienza dei sistemi, ma che in mano a cybercriminali diventano armi pericolose:
- LOIC (Low Orbit Ion Cannon)
- HOIC (High Orbit Ion Cannon)
- Hping
- Slowloris
Molti attacchi provengono da botnet, reti di dispositivi compromessi da malware, spesso inconsapevoli.
Come difendersi da un attacco DoS/DDoS
1. Prevenzione
- Firewall avanzati: I Next-Generation Firewall (NGFW) possono filtrare il traffico sospetto.
- Sistemi IDS/IPS: Monitorano anomalie di traffico.
- Aggiornamenti regolari: Mantenere il software aggiornato aiuta a chiudere vulnerabilità note.
2. Mitigazione
- Content Delivery Network (CDN): Distribuiscono il traffico su più nodi, rendendo più difficile il sovraccarico.
- Servizi anti-DDoS specializzati: Cloudflare, Akamai, Amazon Shield offrono protezione automatica.
- Rate Limiting: Limita il numero di richieste da uno stesso IP.
3. Pianificazione della risposta
- Avere un incident response plan chiaro aiuta a ridurre i tempi di risposta e minimizzare i danni.
Il lato legale e criminale
Gli attacchi DoS sono illegali nella maggior parte dei paesi. Anche se non comportano accessi non autorizzati o furti di dati, il fatto che impediscano l’accesso a servizi digitali li rende perseguibili.
In Italia, ad esempio, il codice penale prevede sanzioni per chiunque “impedisce o interrompe il funzionamento di sistemi informatici pubblici o di pubblica utilità” (art. 615-ter e 635-bis).
Conclusione
Un attacco Denial of Service non ruba dati, non installa malware e spesso non lascia tracce evidenti. Ma è una delle forme più semplici ed efficaci per causare gravi disagi in ambito digitale. Che sia un semplice sito web o un’infrastruttura critica, nessuno è immune se non dispone di adeguate contromisure.
Con la crescente dipendenza da servizi online, la protezione contro i DoS e DDoS è diventata una priorità assoluta per le aziende, i governi e gli utenti. Comprendere come funzionano questi attacchi è il primo passo verso una difesa solida.
