Logo principale
Il gruppo si alimenta dell'espressione di ciascuno. Il valore del gruppo è superiore alla somma dei singoli.
Torna alla pagina iniziale Aggiungi ai Preferiti Area Riservata Contatto
::: Testo | A- | A+ | A0 :::
   Pagina iniziale // Reti // DDOS: che mostri sono?
::: Cambia visualizzazione ::: who am i? :::   

DDOS: che mostri sono?

1 di 2 | >>

Il più minaccioso sistema per mettere in ginocchio sistemi web, anche quelli dei più BIG. Come???? Con i Distributed Denial of Services attack, qui spiegati nel dettaglio.

A meno che non siate vissuti isolati nei mesi scorsi, avrete sicuramente sentito parlare dei sabotaggi recentemente effettuati contro alcuni dei principali siti Internet.
Numerosi BIG della Rete sono stati messi in ginocchio da quello che sembra essere stato il più massiccio attacco mai lanciato contro importanti portali e siti web.
Yahoo! è stato il primo a subirli, avendo riportato un blackout di tre ore domenica 6 febbraio 2000.
Buy.Com non era raggiungibile la mattina di lunedì 7, CNN ed eBay non lo erano nel pomeriggio, mentre Amazon e Zdnet sono rimasti isolati parecchie ore la notte di lunedì.

Articoli tecnici hanno spiegato il fenomeno come un Distributed Denial of Services attack (DDoS): un genere di attacco nel quale i cosiddetti pirati (crackers) attivano un numero elevatissimo di false richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del fornitore del servizio. In questo modo il provider "affoga" letteralmente sotto le richieste e non è più in grado di erogare i propri servizi, risultando quindi irraggiungibile.

Alcuni dei network provider coinvolti hanno dichiarato di essere stati sommersi da oltre 1 Gb al secondo di traffico.
Anche se questo genere di attacco non è affatto nuovo sulla Rete, non ne erano mai stati rilevati su così vasta scala e su così tanti obiettivi importanti quasi in contemporanea.
Gli antenati degli attuali attacchi si manifestavano andando ad esaurire risorse hardware della vittima, quali lo spazio su disco, la memoria e la CPU: ciò era ottenibile spedendo pochi pacchetti malformati che mandavano in crash il sistema remoto. Il più noto tra le utility di questo genere è stato Nuke e il più popolare WinNuke, che mandava in crash il famoso OS della casa di Redmond (WinNuke è ancora in grado di mandare in crash molte macchine desktop Win95 e server NT se non hanno applicato le opportune patch).

Il primo (e il più abusato) prodotto di DoS che ha acquisito notorietà è stato lo smurf attack che tutt'oggi è in grado di paralizzare reti con tecnologie non aggiornate (generalmente piccole/medie aziende e ISP locali).
In seguito è venuto The LowDown, conosciuto anche come Network Saturation Attack o Bandwidth Consumption Attack: un nuovo attacco DoS in grado di inondare un network di un numero impressionante di pacchetti. I router e server che subiscono l'attacco, nel tentativo di gestire correttamente il traffico compiono un eccessivo lavoro che li mette in crisi. Ovviamente l'eccesso di traffico ostile rende impossibile anche il traffico lecito (posta, web, ecc.) bloccando quindi in pochi minuti intere reti.

La generazione successiva (l'attuale) è appunto quella dei Distributed Denial of Service (DDoS) attack. Spingendo all'eccesso l'idea del network saturation attack, il DDoS ripete lo stesso approccio utilizzando però diversi punti d'ingresso contemporanei: in questo modo un cracker è in grado di mettere in ginocchio sistemi più grandi che sarebbero indifferenti ad un singolo flood. Per effettuare questo genere di operazione si deve poter installare un proprio agente sui sistemi da cui si vuole scatenare l'attacco stesso.

È quindi una tecnica che viene preparata per tempo, attrezzandosi con un pool di macchine compromesse da poter scagliare contro il sistema vittima.
David Dittrich ha fatto un eccellente lavoro descrivendo i diversi tools attualmente usati per questo genere di attacco. L'analisi di questi prodotti è disponibile su http://staff.washington.edu/dittrich/misc; nello specifico:

Sulla Rete sono disponibili alcune note sul workshop del CERT (Computer Emergency Response Team) presso: http://www.cert.org/reports/dsit_workshop.pdf e alcune note esplicative su: http://staff.washington.edu/dittrich/talks/cert/

Il CERT ha inoltre pubblicato un avviso a questo riguardo proprio lo scorso mese di gennaio: http://www.cert.org/advisories/CA-2000-01.html

Tra le diverse ipotesi prese in considerazione vi è anche quella di un'azione portata avanti dai servizi segreti americani per sensibilizzare l'opinione pubblica sulla questione della sicurezza su Internet e far approvare più rapidamente il nuovo testo di legge (Electronic law enforcement), che introduce severe restrizioni e controlli sulla Rete. Maggiori dettagli su questa ipotesi presso http://listserv.syr.edu/scripts/wa.exe?A2=ind0002&L=foi-l&F=&S=&P=9484

In realtà questi attacchi sono resi possibili dall'attuale implementazione del protocollo TCP/IP. Per una scelta di realizzazione, infatti, non è stata posta particolare sicurezza sull'identificazione del mittente di ogni pacchetto e se questo da una parte consente garanzie di anonimato, dall'altro può essere sfruttato con apposite tecniche per far credere che il pacchetto provenga da sistemi differenti da quello effettivo. Queste limitazioni saranno in parte superate dalla prossima adozione di IPv6.

Ad oggi non esiste una soluzione unica al problema ma esistono molti modi per tutelarsi; qui di seguito ne presentiamo alcuni..

Pagina 1 di 2 | Pag. successiva >>
::: Pagina iniziale ::: Torna all'inizio della pagina ::: Stampa la pagina ::: 
Valid HTML 4.01 Transitional Valid CSS!