Attacchi DDoS: Hit and Run
Recentemente abbiamo notato il crescente trend degli attacchi DDoS soprannominati Mordi e Fuggi (Hit and Run),con questo articolo analizzeremo questo trend per capirne l’efficienza.
Hit and Run DDoS: periodiche sequenze di attacchi DDoS ad alto volume di traffico dalla durata limitata.
Per questa tipologia di attacchi DDoS non sono necessarie risorse su larga scala o botnet per causare dei seri disservizi all’obiettivo.
Gli attacchi DDoS sono tra i servizi più redditizi all’interno dell’ecosistema underground dei cyber criminali, solitamente gli aggressori attaccano per un periodo prolungato di tempo il target, rendendolo incapace di erogare il servizio, sia esso un’applicazione o un sito web.
Con gli attacchi Hit and Run lo schema è differente, il criminale attacca l’obiettivo per brevi sequenze temporali (5-20-60 minuti) di attacchi DDoS ad alto volume, durante le quali le risorse del target vengono saturate, intervallate da periodi di inattività, durante i quali il servizio torna disponibile.
Questo schema permette ai cyber criminali di massimizzare il profitto e le risorse, infatti, con questo schema si possono eseguire più attacchi in sequenza, durante le “pause” di un DDoS, i server di attacco punteranno a un altro target.
Gli attacchi Mordi e Fuggi sono molto insidiosi poiché non è facile identificare i loro schemi d’attacco, sono disposti periodicamente per interferire con il funzionamento dell’infrastruttura di rete attaccata e gli aggressori limitano la durata degli attacchi per evitare l’intervento dei meccanismi predisposti alla difesa. Infatti le difese tipiche contro gli attacchi DDoS hanno lunghi tempi di risposta e funzionano bene contro attacchi di lunga durata, risultando però inefficienti contro quelli di breve durata.
Altro elemento importante di questa tipologia di attacchi è la capacità degli attaccanti di “generare” richieste onerose per la CPU del target causando un uso intensivo delle risorse che può portare alla paralisi del sistema bersaglio.
“Questi attacchi non prendono di mira solo le risorse del server, gli attaccanti mirano inoltre a esaurire anche le persone che mantengono questi server e le loro capacità organizzative” – Incapsula.
Le soluzioni di difesa “always-on” non sono utilizzabili per mitigare queste minacce, seppur effettive nel fermare gli attacchi, l’uso di nodi intermedi per la “pulizia” del traffico malevolo crea un’ inevitabile latenza, tale da degradare le prestazioni della navigazione utente impattando così sull’usabilità del servizio.
In genere la latenza è compensata dal caching e dalle distribuzioni diffuse ottimizzate, tuttavia, la maggior parte dei servizi di difesa dagli attacchi DDoS sono strutturati per la protezione dagli attacchi e non per la distribuzione dei contenuti. Inoltre, mantenendo la protezione DDoS in “modo attivo” l’interazione dell’utente con il servizio è degradata, poiché i visitatori sono generalmente soggetti a costante verifica, causando falsi positivi ove non si superi la verifica dell’integrità del browser o la soluzione del Captcha.
Gli attacchi DDoS Mordi e Fuggi potrebbero essere mitigati con un sistema di rilevamento rapido, in grado di attivare in breve tempo meccanisimi di mitigazione degli attacchi, ma attualmente sistemi di questo genere sono inefficenti e penalizzano eccessivamente l’esperienza dell’utente.
di VoidSec e kalup