Attacchi DDoS

A Attacco DDoS (Distributed Denial-of-Service) inonda un target con più traffico di quello che può gestire, esaurendo la larghezza di banda, la CPU o la capacità dell'applicazione. Poiché il traffico proviene da molte fonti (spesso decine di migliaia di dispositivi compromessi che agiscono come botnet o amplificazione tramite server configurati in modo errato), il filtraggio a destinazione non funziona: l'attacco deve essere assorbito o eliminato a monte.

LI tre livelli di attacco

Gli attacchi DDoS prendono di mira uno dei tre livelli:

• Volumetrico (livello 3/4) attack: inonda la rete con pacchetti grezzi per saturare la larghezza di banda. Alluvioni UDP, alluvioni ICMP, alluvioni SYN. Spesso basati sull'amplificazione: una piccola richiesta a un server non configurato correttamente produce una risposta di grandi dimensioni all'IP di origine falsificato (la vittima).
• Attacchi al protocollo: sfruttano i punti deboli dei protocolli stessi. Slowloris mantiene aperte migliaia di connessioni TCP senza completarle; Gli attacchi di rinegoziazione SSL impongono costose operazioni di crittografia.
• Attacchi a livello di applicazione (Layer 7): sembrano traffico utente legittimo ma sono progettati per esaurire le risorse dell'applicazione. Flood HTTP, query di ricerca costose, richieste ripetute a endpoint dinamici che perdono la cache.

Gli attacchi volumetrici fanno notizia (classe Tbps), ma gli attacchi a livello di applicazione sono spesso più dannosi perché sono più difficili da filtrare senza colpire gli utenti reali.

Amplificazione: rendere enormi le piccole inondazioni

LI più grandi attacchi DDoS si basano su amplification: l'aggressore invia una piccola richiesta UDP con un IP di origine falsificato (l'indirizzo della vittima) a un server che restituisce una risposta molto più ampia. La vittima riceve la gigantesca risposta e non ha idea da dove provenga la richiesta originale. Fattori di amplificazione:

• DNS: amplificazione 50–100× con risposte EDNS0 e DNSSEC
• NTP monlist: fino a 500× (da tempo con patch, ma server legacy ancora esistono)
• memcached: storicamente fino a 50.000× nel 2018; per lo più con patch ora
• CLDAP — circa 50×
• SSDP/UPnP — circa 30×

LI più grandi attacchi DDoS divulgati pubblicamente si sono tutti basati sull'amplificazione combinata con botnet, raggiungendo picchi superiori a 3 Tbps. Il più grande nel 2025 ha raggiunto i 5 Tbps.

Botnet: da dove proviene il traffico

Dietro gli attacchi più grandi: una botnet di dispositivi compromessi. I dispositivi IoT (telecamere di sicurezza, router, smart TV, DVR) sono obiettivi facili perché vengono forniti con credenziali predefinite e raramente ricevono aggiornamenti di sicurezza. La botnet Mirai (2016) ha compromesso centinaia di migliaia di dispositivi IoT ed è stata utilizzata nei famosi attacchi Krebs e OVH. Il codice sorgente di Mirai è trapelato pubblicamente e dozzine di derivati sono ancora in funzione.

Le botnet moderne includono anche server cloud compromessi, macchine virtuali ottenute con carte di credito rubate e proxy residenziali (servizi IP mobili che sono effettivamente botnet noleggiate).

Servizi antistress/booter

Per meno di 50 dollari al mese, chiunque può affittare la capacità di attacco dal "booter" o servizi "stressanti". Il marketing afferma che servono per stress test legittimi; in pratica la maggior parte dei clienti attacca i siti altrui. Diversi grandi stress sono stati eliminati dalle forze dell’ordine internazionali, ma nuovi li sostituiscono nel giro di pochi mesi. L'offerta è troppo economica e la domanda troppo costante per scomparire.

Come funziona la protezione DDoS

Difendere un singolo sito dagli attacchi multi-Tbps è impossibile: nessun sito normale dispone di una larghezza di banda così ampia. La difesa consiste nel mettere la protezione del sito presso un fornitore con una capacità molto maggiore:

• BGP reindirizzamento/blackholing: ritira gli instradamenti all'IP di destinazione, eliminando tutto il traffico. Utile come ultima risorsa, ma disconnette completamente la vittima.
• Centri di pulizia: Cloudflare, Akamai, AWS Shield, Imperva e altri gestiscono grandi strutture in cui il traffico in entrata viene filtrato. Il traffico legittimo viene inoltrato all'origine; il traffico degli attacchi viene interrotto.
• Limitazione della velocità: limite alle velocità di richiesta per IP al limite della CDN per evitare inondazioni a livello di applicazione.
• Sfide JavaScript: presenta una breve sfida di calcolo che i browser reali completano in modo invisibile ma la maggior parte dei bot non può.
• CAPTCHA fallback: in caso di traffico sospetto, chiedi la verifica umana.

LI grandi provider CDN/WAF possono assorbire attacchi praticamente di qualsiasi dimensione visti in natura: la capacità di rete di Cloudflare supera i 300 Tbps a partire dal 2026.

Cosa puoi fare come sito di piccole dimensioni operator

• Siediti dietro una CDN con protezione DDoS: il livello gratuito di Cloudflare copre la protezione di base per siti di piccole dimensioni; i livelli a pagamento e altri provider (Akamai, Fastly) ne gestiscono di più.
• Nascondi il tuo IP di origine: consenti solo il traffico dagli intervalli IP della CDN; rifiutare le connessioni dirette.
• Utilizzare una politica di limite di velocità ragionevole: molti livelli CDN gratuiti offrono limiti di velocità di base.
• Sii paziente durante un attacco: le difese entrano in azione, gli aggressori finiscono i soldi o si annoiano.

La corsa agli armamenti continua

2024–2026 ha visto nuove categorie di attacchi: attacchi HTTP/2 "Rapid Reset" che sfruttano i punti deboli del protocollo, attacchi di livello 7 generati dall'intelligenza artificiale per imitare il comportamento umano e attacchi ipervolumetrici di livello 3 forniti tramite VM cloud dirottate. I difensori hanno risposto con filtri comportamentali più intelligenti, mitigazione accelerata dall’hardware e una più stretta cooperazione tra i fornitori. La tendenza netta: i piccoli attacchi sono più economici che mai, ma anche i siti ben difesi si riprendono più velocemente che mai.