Un attacco DDoS mira a rendere un servizio informatico indisponibile sovraccaricandolo con traffico distribuito da molteplici sorgenti. Questa guida spiega in modo chiaro caratteristiche, tipologie, impatti e strategie di mitigazione.
Che cos’è un DDoS
DDoS (Distributed Denial of Service) indica un attacco informatico volto a impedire l’accesso a un servizio — ad esempio un sito web, un’API, un server di posta o un’applicazione — generando un volume di traffico o un numero di richieste tale da esaurire le risorse disponibili (banda, CPU, memoria, connessioni).
A differenza del DoS (una sola sorgente), un DDoS proviene da molteplici sorgenti (spesso migliaia), come dispositivi compromessi riuniti in una botnet. La distribuzione delle origini rende più difficile distinguere il traffico malevolo da quello legittimo.
Come funziona
Un DDoS tenta di bloccare il servizio mirando a tre aree principali:
Banda di rete: saturazione del collegamento Internet del bersaglio.
Risorse di sistema: esaurimento di CPU, RAM, socket, file descriptor, thread/processi.
Livello applicativo: richieste “costose” che sfruttano funzionalità del software (ad es. motori di ricerca interni, API non limitate).
L’attaccante orchestra le sorgenti per inviare, in modo coordinato, volumi elevati di pacchetti o richieste in tempi ristretti, costringendo l’infrastruttura a deviare risorse dalla normale erogazione del servizio.
Tipologie di attacco
1) Attacchi volumetrici
Mirano a saturare la larghezza di banda verso l’obiettivo. Esempi frequenti includono invii massivi di pacchetti UDP o ICMP, oppure attacchi di amplificazione (DNS, NTP, SSDP) che sfruttano server mal configurati per riflettere e moltiplicare il traffico verso la vittima.
2) Attacchi a livello di protocollo
Sfruttano aspetti del protocollo di trasporto o rete. Un esempio classico è il SYN flood, che inonda il server di richieste di connessione TCP senza completare l’handshake, saturando le tabelle di connessione e impedendo nuovi accessi legittimi.
3) Attacchi a livello applicativo
Colpiscono direttamente l’applicazione (livello HTTP/HTTPS o specifiche API). Gli HTTP flood simulano utenti reali con molte richieste GET/POST; gli attacchi “lenti” (es. richieste volutamente incomplete o a basso bitrate) tengono occupate le risorse del web server a lungo.
Caratteristiche distintive dei DDoS moderni
Distribuzione geografica: sorgenti sparse a livello globale.
Uso di botnet: PC, server, dispositivi IoT compromessi e controllati da attori malevoli.
Variabilità: durata da minuti a giorni; intensità e tecniche che cambiano durante l’attacco.
Mimetismo: traffico che imita utenti reali, specie a livello applicativo.
Automazione: tooling che consente a un singolo attore di coordinare migliaia di nodi.
Impatto e motivazioni
Gli impatti includono indisponibilità del servizio, degrado delle prestazioni, perdita di ricavi, danni reputazionali, costi di mitigazione ed escalation verso altri attacchi (es. estorsioni).
Le motivazioni vanno dall’hacktivismo alla concorrenza sleale, fino alla criminalità organizzata o al cyber warfare. Talvolta gli attacchi sono “dimostrativi” o usati come diversivo per altre intrusioni.
Rilevazione e segnali da osservare
Spikes di traffico in banda o pacchetti al secondo (pps) anomali.
Code di richieste che crescono in modo improvviso (HTTP 503/504, tempi di risposta elevati).
Numerose connessioni parziali o stati TCP sospetti (es. tante connessioni in SYN-RECV).
Pattern irregolari nei log (URI ripetuti, user-agent sospetti, assenza di referer).
Esaurimento risorse (thread, file descriptor, memoria) o riavvii del servizio.
Una buona osservabilità (metriche, log centralizzati, alert) è cruciale per distinguere un picco legittimo da un attacco.
Strategie di mitigazione
La difesa efficace è spesso multilivello e combina misure preventive e reattive:
Rate limiting e conn-limit su firewall/reverse proxy per contenere il numero di richieste per IP o per rotta.
Protezione a livello applicativo: timeout per richieste lente, limiti su richieste costose, caching aggressivo su contenuti idonei.
CDN e servizi anti-DDoS: filtraggio distribuito, scrubbing center, protezione L3/L4/L7.
Ridondanza e scalabilità: bilanciamento del carico, replica geografica, anycast.
Profilazione del traffico: regole basate su comportamenti (ad es. challenge/response, bot management).
Runbook di risposta: procedure operative per isolamento, deviazione del traffico, comunicazione interna/esterna.
Buone pratiche operative
Pianificazione: definire soglie, playbook e contatti di escalation (provider, CDN, SOC).
Test periodici in laboratorio per validare limiti, timeout e osservabilità.
Hardening di sistema e applicazioni; aggiornamenti costanti.
Segmentazione: separare servizi critici; usare WAF per endpoint esposti.
Telemetria: metriche (CPU, memoria, connessioni), log centralizzati, dashboard per trend e anomalie.
Documentazione: mantenere schematiche architetturali e inventario dipendenze per reazione rapida.
Glossario essenziale
Botnet
Rete di dispositivi compromessi usati per coordinare attacchi.
Amplificazione
Tecnica che sfrutta servizi terzi per moltiplicare il traffico verso la vittima.
HTTP Flood
Molteplici richieste HTTP che imitano utenti reali per saturare le risorse applicative.
SYN Flood
Invio massivo di pacchetti SYN per esaurire le connessioni parziali del server.
Scrubbing
Pulizia del traffico presso infrastrutture specializzate prima di inoltrarlo al bersaglio.
Conclusioni
I DDoS sono attacchi versatili e in continua evoluzione. La resilienza si costruisce con prevenzione, infrastrutture distribuite, limiti e controlli adeguati, oltre a un’osservabilità matura e procedure di risposta ben collaudate. Approccio multilivello e preparazione fanno la differenza tra disservizio prolungato e rapida continuità operativa.
Esercizi e pratica
IMPORTANTE: esegui questi test solo su macchine di tua proprietà e in rete isolata.