La portata degli attacchi HTTP Flood
L’HTTP Flood attack rientra nelle molteplici tipologie di attacchi informatici più diffusi degli ultimi anni.
Prima di entrare nel merito dell’infezione e analizzare la tecnica di attacco, è importante dare una breve definizione di HTTP Flood attack.
In buona sostanza, l’attacco informatico HTTP Flood consiste nell’invio ai siti web di un flusso continuo di traffico “falso”.
L’obiettivo dell’attacco è semplice: portare i server web che ospitano il sito web a saturazione o, nel linguaggio comune, a “crashare”.
Infatti, in funzione dell’elevato numero di richieste di accesso al sito, i sistemi non sono più in grado di rispondere correttamente e per questo motivo, vanno letteralmente in tilt.
Qualsiasi azienda, indipendentemente dal settore operativo e dalle dimensioni, rappresenta una potenziale vittima.
Un attacco di HTTP Flood, se portato a termine, avrà effetti catastrofici, costringendo le aziende stesse a fronteggiare danni economici o reputazionali, un’inevitabile conseguenza dell’impossibilità di accedere alle risorse web.
Differenza tra attacco DoS e DdoS
L’HTTP Flood rientra senza ombra di dubbio nella categoria dei DDoS attack.
Per questo motivo, riteniamo sia fondamentale specificare la differenza tra attacco DoS canonico e l’HTTP flood DdoS attack.
Il primo, acronimo di Denial of Service, è un attacco proveniente da una sola fonte, quindi da un’unica connessione di rete o da un dispositivo compromesso. A distinguere gli attacchi di DDoS è il fatto di provenire da più fonti.
Comune è l’obiettivo: impedire agli utenti di avere accesso alle risorse di rete, dai siti Web ai server. Pertanto, quando un sito web o un server web è sotto attacco, non ha la possibilità di eseguire il compito loro assegnato.
Una percentuale elevatissima di attacchi DdoS si serve delle botnet, ovvero una rete di bot o, ancora, una rete di dispositivi compromessi (chiamati anche computer zombie, sotto il controllo dell’hacker). Un aspetto delle botnet che merita di essere sottolineato è la capacità di spaziare da un numero piuttosto limitato di dispositivi a milioni di dispositivi componenti. Devi anche considerare che l’opportunità di sfruttare risorse compromesse rende inconsapevoli gli utenti, possessori dei dispositivi, dell’avvenuto attacco.
Proprio la “moltiplicazione” delle fonti rende ancora più efficace il tentativo; nel contempo aiuta l’autore a celare la sua identità.
Tipologie di DdoS attack
È possibile distinguere i DdoS attack in tre grandi categorie:
- attacchi basati sul volume
- attacchi al protocollo
- Ddos attack attacchi alle applicazioni.
Gli attacchi che si basano sul volume (conosciuti anche come attacchi “flood”), come appare piuttosto chiaro già dal nome scelto per definirle, sfruttano il volume. Mentre, nel caso degli attacchi al protocollo, dal canto loro, vedono l’hacker impegnato nell’inviare ondate di bot verso protocolli specifici, firewall o web server che includono la risorsa di rete da far bloccare.
Gli attacchi alle applicazioni, infine, costituiscono la tipologia di attacco DDos dalle conseguenze più gravi.
Al tempo stesso, sono giudicati come l’attacco DdoS più sofisticato.
Qual è la ragione?
Per rispondere è sufficiente comprendere come il loro obiettivo sia rappresentato dalle applicazioni web, prese di mira servendosi delle vulnerabilità presenti. Rispetto agli altri attacchi di questo tipo si concentrano sui punti deboli dei server target. Tale caratteristica le porta a utilizzare meno traffico bot, arrivando comunque a monopolizzare protocolli e processi specifici.
Di conseguenza, il volume ridotto di traffico generato tende ad apparire autentico: rilevare l’attacco diverrà più difficile.
Gli attacchi “Low” e “Slow”
Esiste una tipologia di strumenti di attacco in grado di distinguersi per due fattori: da un lato si basano su di un volume ridotto di dati; dall’altro, a caratterizzarli è un funzionamento lentissimo.
In questo caso, lo scopo degli hacker è di inviare una quantità limitata di dati su diverse connessioni, cercando di mantenere aperte quanto più a lungo possibile le porte sul server di destinazione. Così facendo possono continuare ad assorbire le risorse provenienti dal server fino al momento in cui questo non avrà più modo di mantenere ulteriori connessioni.
In genere, tali attacchi informatici colpiscono in modo efficace anche senza ricorrere a una botnet e, di norma, utilizzano una singola macchina.
Come prevenire o bloccare un attacco HTTP Flood
Nei precedenti paragrafi abbiamo già accennato alle difficoltà incontrate nell’identificare un DDoS attack.
D’altro canto, anche una semplice manutenzione eseguita da un amministratore, o un problema tecnico riscontrato delle risorse di rete potrebbero far apparire sintomi del tutto simili a quelli associati a un attacco DdoS.
Se questo è vero, è comunque opportuno dedicare massima attenzione qualora si manifestino prestazioni inspiegabilmente lente o ci si venga a trovare al cospetto di servizi non disponibili. Utile è configurare la protezione DdoS, ad esempio monitorando il traffico di rete.
Non è raro che gli amministratori di sistema decidano di impostare alert nel caso in cui si riscontrino attività anomale di traffico.
Non è detto, però, che tali azioni si rivelino davvero efficaci contro gli attacchi di HTTP Flood.
Per quale motivo?
In quanto gli hacker si stanno dimostrando sempre più abili nel condurre le proprie campagne “distruttive”, arrivando a promuovere attacchi informatici molto estesi e sofisticati. È divenuto sempre più difficile riuscire a rispondere, o anche solo a proteggersi, senza rivolgersi a un’agenzia specializzata in sicurezza.
Per bloccare l’attacco occorrerebbe, infatti, avere a disposizione un servizio cyber security specializzato nella mitigazione DdoS.
Pratiche da adottare per guadagnare tempo
Aumentare la disponibilità della larghezza di banda ben oltre il limite attuale, consentirebbe di fronteggiare picchi di traffico improvviso.
Per attenuare gli effetti di un attacco DdoS in corso d’opera si potranno apportare modifiche a determinati parametri di rete.
Tieni presente che anche limitare la velocità del router è utile nel prevenire il sovraccarico di un web server.
Se l’intenzione è semplificare l’identificazione delle fonti di attacco da parte del server, una buona idea è quella di aggiungere filtri.
Diversi attacchi DdoS sono in grado di sfruttare i protocolli semiaperti, riuscendo così a bloccare la larghezza di banda. Ecco perché si potrebbero creare dei timeout più aggressivi. Così facendo verrà favorita l’operazione di chiusura dei vettori di attacco.
Ma sarà un esperto a disporre degli strumenti migliori per arrivare a comprendere quale sia la natura dell’attacco.
Il cybercriminale potrebbe essere mosso da motivazioni etiche, o puntare esclusivamente a ottenere denaro. Non è detto che gli attacchi abbiano un secondo fine, rivelandosi una tattica diversiva per perpetrare attività di esfiltrazione di dati sensibili.
Perché rivolgersi a Cyberment in caso di http flood attack
Se ritieni che la tua azienda necessiti di maggiore protezione dai pericoli portati dagli hacker, di qualsiasi tipologia essi siano, potrai rivolgerti con fiducia al team di Cyberment.
Specializzati in cyber security, grazie all’esperienza maturata, abbiamo approntato una serie di soluzioni ad hoc in grado di fornire adeguata protezione ad aziende di qualunque dimensione.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.