Introduzione agli attacchi  DoS

Con un attacco DOS (Denial Of Service) si cerca di "negare un servizio" mettendo il sistema vittima nell'impossibilità di erogare regolarmente il suo servizio.

Questo genere di attacchi non comporta la compromissione di un sistema, i suoi effetti si esauriscono nel momento in cui viene interrotto e, in vari casi, è tale da risultare quasi impossibile da evitare.
La natura  di un simile attacco è a suo modo "violenta" e brutale e spesso non richiede particolari conoscenze e può essere esguito tramite strumenti e script reperibili in rete.
Un evoluzione di un attacco DOS è un DDOS (Distributed Denial Of Service), in cui gli IP da cui viene sferrato sono molteplici e permettono una amplificazione degli effetti.
Ha fatto notizia, nel Febbraio 2000, una serie di DDOS su siti particolarmente noti (Yahoo, Ebay, CNN...)
che un singolo individuo è riuscito a rendere inutilizzabili per alcune ore utilizzando centinaia di host di origine, a loro volta precedentemente violati.
La diffusione di questi attacchi deriva anche dal fatto che è molto più facile rendere una rete o un sistema impraticabile piuttosto che ottenerne l'accesso e, vista anche la diffusione di comodi tool per farlo, questo ha scatenato le velleità di molti aspiranti hacker che vedono in un DOS un modo veloce per ottenere effetti di cui vantarsi.

La definizione DOS attack si riferisce all'effetto finale che si intende raggiungere, il rendere impraticabile un servizio in rete, ma i modi con cui può essere ottenuto questo scopo sono vari:

ESAURIMENTO DELLA LARGHEZZA DI BANDA
E' uno dei metodi più comuni, consiste nel saturare le linee che garantiscono la connettività dei sistemi bersaglio, in modo da rallentare enormemente il flusso di pacchetti legittimi.
Se l'aggressore può avere a disposizione sui sistemi da cui intende sfoderare il suo attacco una largehzza di banda superiore a quella del suo bersaglio, un simile attacco è facilmente realizzabile, volendo anche con un ping flood che per ogni ECHO REQUEST si aspetta un ECHO REPLY (salvo filtri di qualche firewall).
Più comune è il caso in cui l'attaccante ha a disposizione meno banda del bersaglio, in questo caso è comunque possibile cercare di saturarla utilizzando degli amplificatori.
Un tipico attacco di questo tipo era lo smurf in cui veniva inviato un pacchetto spoofato (con IP sorgente modificato in modo tale da corrispondere al bersaglio dell'attacco invece che all'host attaccante) direttamente all'indirizzo di broadcast di reti particolarmente affollate di host: per ogni pacchetto originario venivano reinviati al presunto mittente molti pacchetti di risposta.
Al giorno d'oggi un attacco smurf è molto improbabile, visto che sono state introdotte adeguate controdifese sulla maggior parte dei dispositivi in rete.

ESAURIMENTO DELLE RISORSE DI UN SISTEMA
Questi tipi di attacchi si differenziano da quelli basati sull'esaurimento della banda in quanto si punta a sovraccaricare il sistema della vittima, sottoponendo a sforzi insostenibili varie componenti quali CPU, memoria, spazio su disco ecc.
Questo effetto può essere ottenuto in vari modi, tutti fondamentalmente basati sul principio di generare il maggior carico possibile su un sistema remoto con il minimo delle risorse. Un SYN flood (inizio di una sessione TCP, con l'invio di un SYN, che non viene mai conclusa in quanto non si risponde al SYN ACK di risposta del bersaglio) può esaurire le socket disponibili di un sistema, una enorme quantità di GET ad una o più pagine Web dinamiche particolarmente pesanti da computare può riempire memoria e CPU di un sistema e contribuire ad allargare a dismisura i file di log (con rischio di esaurimento dello spazio su disco), altri mezzi possono esistere per rendere indisponibili altri servizi.
Anche un mail bombing a suo modo è una forma di DoS attack, sia al server di posta che riceve le mail, che al destinatario finale, che può vedersi esaurire la sua quota.

DIFETTI DI PROGRAMMAZIONE
Difetti di programmazione possono impedire ad un sistema di gestire una situazione eccezionale. Il mondo del software è pieno di bug che possono avere ripercussioni in termini di sicurezza e dare a luogo a vulnerabilità di varia natura. Alcune di questo possono essere tali da saturare la CPU time o causare il crash del sistema o del programma che eroga un servizio.
Tutti gli exploit in grado di sfruttare simili vulnerabilità di fatto costituiscono un attacco di tipo DoS.

ATTACCHI A ROUTING E DNS
Un attacco DoS basato sul routing consiste nella manipolazione da parte dell'aggressore delle tabelle di routing in modo da impedire il normale indirizzamento di pacchetti ai sistemi legittimi.
Alternativamente si può cercare di impedire ai server DNS autoritari per un dato dominio di svolgere correttamente la loro funzione e quindi di impedire la risoluzione degli indirizzi IP.
In entrambi i casi l'attacco non si concentra direttamente sul vero bersaglio (un sito web, per esempio) ma sui sistemi collaterali che sono indispensabili per renderlo accessibile: i router che ne gestiscono la connettività e i server DNS che ne conoscono l'indirizzo IP.

Privacy Policy