Sicurezza informatica a rischio. Nell’ultimo anno è stato rilevato un aumento della dimensione e della frequenza degli attacchi DDoS: gli esperti dichiarano che, nella prima metà di quest’anno, la dimensione media di un attacco è stato di 986Mbps (con un incremento del 30% rispetto al 2015) e che i cybercriminali progettano di lanciare offensive con dimensioni medie di 1.15Gbps entro la fine del 2016.
L’attacco Distributed Denial of Service più potente nella prima metà del 2016 è stato di 579 gigabit al secondo, con un aumento del 73% rispetto al 2015 (secondo quanto rilevato dagli analisti di Arbor Networks). Negli ultimi sei mesi, Atlas ha inoltre registrato 274 attacchi da oltre 100 Gbps, rispetto ai 223 del 2015, e 46 attacchi da oltre 200 Gbps rispetto a 16 dell’anno scorso. Regno Unito, Stati Uniti e Francia sono gli obiettivi principali per gli attacchi da oltre 10Gbps.
Cosa sono e come funzionano i DNS Amplification Attack? Il DNS Amplification Attack o DNS Reflector attack è un attacco di tipo Distributed Denial of Service (DDoS) che abusa di server DNS open resolver e ricorsivi inviando a questi ultimi pacchetti contenenti informazioni falsificate sull’IP di provenienza (IP spoofing).
Come funzionano i DNS Amplification Attack
Come spiegano gli specialisti, il botnet LizardStresser è stato utilizzato per lanciare grandi attacchi da 400 Gbps, volti a colpire siti di gioco in tutto il mondo, istituti finanziari, Internet Service Provider e istituzioni governative. Secondo i ricercatori, queste offensive non sembrano provenire da indirizzi di origine falsificati: sono basati su User Datagram Protocol (UDP), come il Network Time Protocol (NTP ) o il Simple network Management Protocol (SNMP). Tuttavia, il riflesso dell’amplificazione permette agli aggressori sia di amplificare la quantità di traffico che possono generare, sia di offuscare le fonti originarie di quel traffico. La maggior parte dei grandi attacchi recenti ha usato quindi questa tecnica, sfruttando i server (Domain Name System), oltre ai protocolli Network Time e Simple Service Discovery (SSDP).
Negli ultimi sei mesi, come segnalano gli esperti, proprio il DNS è stato il tipo di protocollo più diffuso (prendendo il posto di NTP e SSDP, più utilizzati nel 2015). Secondo l’ultimo rapporto globale di Arbor Networks, la dimensione media degli attacchi DNS reflection/amplification risulta in forte crescita: il picco registrato è stato di 480 Gbps. Gli esperti evidenziano inoltre il fatto che anche le offensive rivolte a siti web e reti a una velocità di soli 1Mbps possono essere sufficienti per mettere completamente fuori uso la maggior parte delle organizzazioni.
Strategie di difesa ibride o multistrato
Questo scenario dimostra la necessità di mettere in atto strategie ibride o multistrato capaci di difendere le imprese dagli attacchi DDoS. “Gli attacchi ad alta larghezza di banda – commenta Darren Anstee, chief security technologist di Arbor Networks – possono essere mitigati solo nel cloud, lontano dal bersaglio designato. Tuttavia, nonostante la massiccia crescita dimensionale delle offensive nella fascia alta, l’80% di tutti gli attacchi sono ancora minori di 1 Mbps e il 90% dura meno di un’ora”.
Secondo gli esperti, la protezione on-premise fornisce la necessaria rapidità di reazione e rappresenta la chiave sia contro gli attacchi di tipo Application-layer (che mirano a esaurire lentamente le risorse) che di tipo State-Exhaustion (rivolti a colpire infrastrutture come i firewall)