Come si attua un attacco DoS

Recentemente alcuni siti, tra cui Ikaro.net, hanno subito e sofferto attacchi di tipo DoS. In cosa consiste questo tipo d’attacco e come si attua?

Per DoS s’intende Denial of Service e non DOS, come MS-DOS che vuol dire Disk Operatine Sistem inventato dalla Microsoft come sistema operativo. I Denial of Service si applicano ai Siti Web, o più precisamente, sui computer che li ospitano con lo scopo di rendere inaccessibile il sito o mal funzionante.

Un attacco di tipo DoS consiste nel creare un disservizio o bloccare temporaneamente la visualizzazione del server vittima. Il più delle volte si attione portando alla saturazione il computer vittima fino ad un blocco per insufficienza di risorse. Questo è il caso più semplice da attuare, ma sappiate che n’esistono altre più raffinate e subdole. Ogni volta che visitiamo un sito Web non facciamo altro in realtà che andare a parlare con un computer che alloca una percentuale delle sue risorse per erogarti un servizio. Questo tipo di richiesta pretenderà in condizioni normali un’irrisoria esigenza di RAM, CPU, processi ed altro. È subito chiaro cosa accade se il server riceve moltissime richieste e tutte contemporaneamente.

Esistono tre tipi di livelli o tipologie d’attacco DoS:

1. Quelli che ne saturano la Banda Internet.
2. Attacchi che sfruttano qualche vulnerabilità nel WebServer o nelle fondamenta dei protocolli TCP/IP
3. Sfruttando bug o saturando protocolli offerti dalla vittima.

Si potrebbero aggregare per tipologia, tuttavia adesso si possono attuare attacchi DoS tramite 7 vie:

1. Smurf
2. Che sfruttano il SYN
3. Che sfruttano l’UDP o l’ICMP
4. Richieste CGI
5. Autenticazione al Server
6. Che sfruttano i DNS
7. Usando il PING tramite uno spoofing dell’indirizzo

Ovviamente non è questa la sede per analizzarli nel dettaglio, ma vediamo sommariamente alcuni di questi.

• Smurf: si hanno attacchi generati da focolari [rete aziendali, scolastici etc] dove ogni singolo computer invece di risolvere il problema internamente alla propria rete spedisce le informazioni ad un server vittima.
• UDP, ICMP o PING: A differenza dello smurf, i computer possono non far parte della medesima sotto-rete. Questi computer sono stati resi schiavi tramite virus o hacking da parte dell’attaccante che al momento opportuno li “attiverà” tutti contemporaneamente per fargli avviare un attacco. Comunemente sono chiamati Zombie e fra di loro fanno parte di una rete immaginaria chiamata BotNet.
• Attacco ai DNS: ogni computer connesso ad internet ha un IP. Questo ip è univoco. Digitare sul proprio browser una serie di numeri invece che un www.qualcosa è per la mente umana meno intuitivo. I server DNS si occupano proprio di semplificare quest’inconveniente. Associano l’IP ad un nome. Attaccando i DNS è chiaro che si otterrà lo scopo di rendere irraggiungibile il server vittima ottenendo la finalità ultima di azzoppare la vittima.

Guardando le immagini si potrebbe aver la parvenza che sia facile attuare un attacco DoS. Ovviamente dovete immaginarvi diverse migliaia di computer che attaccano insieme e non uno sparuto numero di computer.

Ma perché è difficile poter prevedere questo tipo d’attacco?
Fondamentalmente ogni richiesta è lecita, quindi a priori la vittima non può preventivare se quella richiesta è stata fatta per un preciso scopo malevolo. Esistono forme di controllo sui firewall o router per limitare il numero massimo di richieste in modo da non arrivare mai alla saturazione delle risorse. In base ad alcune tipologie è possibile anche capire o ipotizzare che stia avvenendo un attacco DoS e quindi il sistema si regola di conseguenza, tuttavia sono solo espedienti in quanto non esiste una ricetta completa e sicura per prevenire attacchi Denial of Service.

Prospettiva:
Visto con un occhio diverso, l’impossibilità di ottemperare ad una mole improvvisa di lavoro rende di fatto qualunque computer soggetto alla saturazione delle risorse. Si può quindi affermare che le risorse medie di un server web saranno proporzionate al numero di traffico e ai servizi generalmente offerti. Se all’improvviso il sito satura la banda, cpu o altro vuol dire che:

• il vostro server potrebbe non essere in grado di gestire il fabbisogno quotidiano minimo. Quindi va preso un computer più potente o meglio configurato denotando una scarsa qualità nella scelta dell’hosting.
• Avete avuto un successo talmente dirompente per la pubblicazione di un articolo o altro che se ieri vi sembrava sciocco spender molti più soldi per un server più potente quando ancora non vi leggeva nessuno, oggi per reggere tutte le richieste e non avere un sito irraggiungibile, state rivalutando l’idea.