Azioni di DDoS Scrubbing con cui “dirottare” il traffico malevolo indirizzato alle proprie infrastrutture web e soluzioni operative come l’uso di piattaforme di Web Application and API Protection (WAAP) consentono di rispondere e contrastare efficacemente gli attacchi DDoS che, sebbene vengano spesso classificati come “azioni dimostrative” (le più recenti sono state quelle portate avanti dai gruppi filorussi KillNet e NoName057(16) ai danni di enti e istituzioni italiane), rappresentano una minaccia decisamente seria.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Cosa sono gli attacchi DDoS
Con Denial of Service (DoS) si intende un tipo di attacco informatico finalizzato a minare la piena disponibilità di un servizio Internet (e.g. un portale web corporate aziendale) travolgendolo, ad esempio, con una mole di traffico decisamente superiore a quella per cui è stato dimensionato, fino a impedirne, di fatto, la fruizione da parte dei legittimi utenti: usando una metafora, tutto va come se, in automobile, diretti in farmacia, ci si trovasse bloccati in un ingorgo stradale imprevisto, magari completamente fermi, senza certezze o previsioni di ripresa del proprio viaggio.
Un attacco DDoS (Distributed Denial of Service) è un DoS caratterizzato dall’essere originato da più sistemi informatici, tipicamente da un elevato numero di computer, facenti capo alle cosiddette “botnet”, reti di host (“bot” o “zombie”) normalmente compromessi e sotto il controllo di uno o più threat actor.
Gli attacchi Denial of Service possono operare a tutti i livelli dello stack ISO/OSI, dal Physical (level 1) con la distruzione, l’ostruzione, la manipolazione o il malfunzionamento di asset fisici, al Data Link (level 2) con, ad esempio, la tecnica “MAC flooding”; al Presentation (level 6) ricorrendo, ad esempio, a “malformed SSL request” e facendo quindi leva sull’ingente mole di risorse necessarie per le attività di ispezione dei pacchetti cifrati; all’Application (level 7) che, assieme al Network (level 3) e al Transport (level 4) tipicamente accorpati nel cosiddetto “Network-Layer” secondo la nomenclatura DDoS, costituiscono i livelli più colpiti.
HTTP DDoS e Network-Layer DDoS rappresentano, quindi, gli attacchi di Denial of Service più comunemente sferrati ai danni delle organizzazioni.
Attacchi DDoS: proteggersi adottando piattaforme WAAP
Una tra le soluzioni più efficaci per la protezione dagli attacchi DDoS che minano la disponibilità dei servizi a livello “Applicativo” è rappresentata dalle piattaforme di Web Application and API Protection (WAAP) in particolare quelle cloud-based, che consentono di mitigare sia gli attacchi volumetrici sia quelli cosiddetti “low and slow”, offrendo risorse di rete adeguate (tipicamente bandwidth) funzionalità di calmieramento delle frequenze di request (“requests per second” – rps) e di rilevamento di traffico “anomalo”, introducendo anche un opportuno numero di Point Of Presence (POP) a livello globale, al fine di mitigare i security application threat in prossimità delle sorgenti degli attacchi.
Queste piattaforme, ovviamente, non offrono solo soluzioni atte a contrastare questo genere di attacchi ma anche, ad esempio, capacità di Web Application Firewall (WAF) tese principalmente a mitigare lo sfruttamento delle vulnerabilità delle applicazioni, con riferimento ad esempio alle ben note OWASP Top 10, funzionalità di Bot Management, per l’identificazione e il “blocco” di sorgenti malevole, basandosi anche su tecniche di intelligenza artificiale, e di API Protection.
Secondo il “Magic Quadrant” 2022 di Gartner, entro il 2024, il 70% delle organizzazioni che hanno adottato una strategia multicloud per le web application, opteranno per soluzioni cloud di Web Application and API Protection (WAAP) rispetto a quelle IaaS-native o basate su appliance.
Altri fondamentali servizi tipicamente offerti dai provider di soluzioni WAAP cloud-based, vanno dalla Threat Intelligence, grazie all’osservatorio privilegiato di cui dispongono, implementando di fatto vere e proprie Content Delivery Network (CDN) alle funzionalità SASE (Secure Access Service Edge) ai servizi DNS e di DNS security, alla gestione degli accessi e così via.
In particolare, una CDN dovrebbe essere in grado di mitigare istantaneamente e, per così dire, “by design” gli attacchi Network-Layer DDoS, proprio perché confinati a livelli ISO/OSI differenti da quello applicativo.
La “defense in depth” contro gli attacchi DDoS
La sicurezza non consiste in una soluzione tecnologica e tanto meno è assimilabile a un “silver bullet”, ma coinvolge, piuttosto, livelli multipli di difesa, di mitigazione del rischio: la cosiddetta “defense in depth”.
La protezione dagli attacchi Denial of Service, sempre più sofisticati, richiede quindi soluzioni “intelligenti”, automatizzate e veloci, che facciano leva, ad esempio, sulla Threat Intelligence, sull’analisi del traffico, sul caching, su tecniche di Intelligenza Artificiale e su analisi statistiche, adottando anche misure di protezione adattiva basate sullo “scostamento” da Origin (source prefix) User-Agent (web browser) Location (geoblocking) e Protocol normalmente facenti capo ai servizi erogati, al fine di distinguere e gestire opportunamente il traffico lecito da quello malevolo.
Nella gestione del traffico gioca un ruolo fondamentale il Border Gateway Protocol (BGP) un protocollo nato per lo scambio di informazioni di routing tra diversi Autonomous System (AS) che nel tempo si è evoluto in un protocollo per l’applicazione di politiche di routing, con l’obiettivo fondamentale di rendere scalabile lo scambio di enormi quantità di prefissi IP.
Oltre ad essere lo standard de facto universalmente usato come protocollo di routing inter-domain, può essere oggi considerato come il protocollo di scambio di informazioni di routing più importante delle reti IP.
Una delle infrastrutture fisiche fondamentali (fabric) che consente lo scambio di traffico Internet tra diversi ISP (Internet Service Provider) grazie ad accordi di peering stabiliti attraverso il protocollo BGP, è rappresentato dall’Internet eXchange Point (IXP) il cui ruolo negli anni è cambiato, arrivando ad offrire anche altri servizi utili agli operatori di rete, tra cui quelli fondamentali di mitigazione degli attacchi Denial of Service.
Il BGP ha un funzionamento di base molto semplice che può essere assimilabile a un “grafo” di relazioni (sessioni) tra router di AS che si scambiano informazioni sui prefissi IP che sono in grado di raggiungere, unitamente alla distanza, misurata in termini di AS da attraversare per raggiungere un dato prefisso.
Lo scambio delle informazioni di routing avviene attraverso opportuni messaggi (update) trasportati su una connessione TCP e caratterizzati da tutta una serie di attributi che corrispondono ad altrettante funzioni, la più importante delle quali è quella di permettere la definizione delle politiche di gestione del traffico.
Altre misure di mitigazione del Denial of Service
Alcuni attributi svolgono anche un ruolo determinante nelle politiche di filtraggio degli annunci di prefissi IP contenuti nei messaggi, politiche che sono di fondamentale importanza per il corretto funzionamento di Internet, per favorirne scalabilità e stabilità, e per mitigare, ad esempio, frequenza e impatto di attacchi Denial of Service come il “Prefix Hijacking”, reso possibile dal fatto che il BGP non prevede un’architettura per il controllo dell’identità di chi annuncia i prefissi, che consiste nel dirottamento del traffico verso punti particolari della rete (black hole) dove potrebbe essere analizzato, ad esempio, per scopi di spionaggio industriale o militare, ed eventualmente scartato.
Gli attacchi Denial of Service, del resto, spesso sfruttano indirizzi IP sorgenti appartenenti ai cosiddetti prefissi “Bogon”, comprendenti quelli privati, quelli riservati e quelli non ancora allocati da IANA (Internet Assigned Number Authority) divenuto oggi un dipartimento di ICANN (Internet Corporation for Assigned Names and Numbers) ai cinque Regional Internet Registry (RIR) attualmente esistenti.
Altre misure di mitigazione che il BGP mette a disposizione per contrastare gli attacchi DoS sono la limitazione del numero di prefissi ricevuti e la limitazione del valore della distanza annunciata relativamente a un dato prefisso IP.
Esistono poi due contromisure molto interessanti per gli attacchi DDoS, finalizzate a bloccare il traffico dell’attaccante ai bordi della rete: il Remote-Triggered Black Hole (RBTH) e quella che può essere considerata la sua evoluzione, il BGP FlowSpec (Flow Specification).
Il RTBH consiste sostanzialmente nello scartare o il traffico proveniente dagli indirizzi IP dell’attaccante (source-based) peraltro difficili da individuare essendo potenzialmente molti e cambiando continuamente, o quello destinato verso gli indirizzi IP dell’attaccato (destination-based) che, bloccando il traffico a monte dell’ISP coinvolto, ha l’evidente svantaggio di inibire anche il regolare flusso del traffico legittimo.
Il BGP FlowSpec, rispetto all’RTBH, ha diversi vantaggi, tra cui il prevedere altre azioni oltre al semplice scarto dei pacchetti, il non basarsi solo sugli indirizzi IP, consentendo azioni di contrasto più “granulari”, su singoli micro-flussi, grazie appunto alle informazioni che è possibile codificare negli attributi dei messaggi update, e performance decisamente superiori, grazie al fatto che le azioni sono implementate direttamente in hardware, come sulle interfacce dei router.
Azioni di DDoS Scrubbing: cosa sono e come funzionano
Tra le azioni previste c’è quella di “redirect” che consente di veicolare il traffico in tempo reale verso apparati in grado di “ripulirlo”, scartando quello malevolo e salvaguardando quello legittimo, i cosiddetti “Scrubbing Center” che, tra l’altro, spesso rientrano nei servizi offerti dai maggiori fornitori di servizi WAAP cloud-based, e sono dislocati in zone geografiche strategiche, proprio per cercare di contrastare gli attacchi il più possibile in prossimità delle sorgenti dell’attacco stesso.
L’idea alla base di questa azione è quella di deviare tutto il traffico diretto a un dato target, sullo Scrubbing Center il quale restituisce sulla rete solo il traffico legittimo, evitando ovviamente di creare i cosiddetti “Forwarding Loop”, vale a dire di dirottare nuovamente il traffico ripulito verso lo Scrubbing Center, introducendo la cosiddetta “dirty VRF” (Virtual Routing and Forwarding).
Questo genere di apparati andrebbe opportunamente dimensionato al fine di sostenere eventualmente anche attacchi volumetrici, anche se per questo tipo di attacchi potrebbe risultare sufficiente il BGP FlowSpec, senza ricorrere all’uso di “sofisticati” Scrubbing Center.
Oltre al problema di garantire opportune bandwidth e di implementare un numero sufficiente di centri, studiando accuratamente la loro dislocazione geografica, occorre fare ovviamente i conti anche con i relativi costi, non certo trascurabili, e con l’elevato livello di conoscenze che occorre mettere in campo per costruire, ad esempio, un team di esperti di protocolli a tutti i livelli dello stack ISO/OSI, cosa necessaria e certamente non banale.
Aldilà di questi aspetti, da non sottovalutare, un servizio di DDoS Scrubbing è evidentemente molto efficace in quanto consente di mitigare attacchi su sostanzialmente tutte le porte, i protocolli e le applicazioni di un Data Center, quindi sia HTTP DDoS sia Network-Layer DDoS, garantendo che i servizi coinvolti rimangano completamente operativi anche durante l’attacco, e andrebbe attivato continuamente, non solo on-demand, proprio per sfruttarne efficacia e velocità di risposta.
Potrebbero però esistere approcci anche molto diversi dal ricorso agli Scrubbing Center che potrebbe essere visto, sotto certi aspetti, come una soluzione “monolitica”, poco versatile e flessibile, estremamente costosa e soggetta ad invecchiamento precoce.
Va detto, infine, che il dirottamento del traffico è possibile non solo attraverso lo sfruttamento delle proprietà del protocollo BGP, ma anche attraverso tecniche di reindirizzamento del DNS che però rappresenta una soluzione decisamente meno completa anche se, in certi casi, potrebbe risultare più semplice da configurare.
Nonostante il protocollo BGP si sia rivelato estremamente utile nei processi di mitigazione degli attacchi DDoS, grazie allo sviluppo che ha avuto dal 1989 ad oggi, caratterizzato anche dall’introduzione di diverse misure di sicurezza resesi evidentemente necessarie – forse principalmente meccanismi operativi utili alla costruzione di un’architetture sicura, più che funzionalità di sicurezza – è opportuno sottolineare che è stato concepito prima che le tematiche di sicurezza assumessero l’importanza oggi universalmente riconosciuta, dando quindi per scontato che le reti di cui si compone Internet possano essere considerate fidate.
Potendosi considerare il BGP la vera e propria “struttura” portante dell’intero “ecosistema Internet”, diviene quindi illuminante la storica frase di Randy Bush, Global Connector 2012 della Internet Hall of Fame (premio istituito dalla Internet Society) per aver contribuito significativamente allo sviluppo e alla promozione di Internet: “You’re in Hackerville here on the Internet. Period. All of this stuff lacks formal discipline. It’s paint and spackle.”
Attacchi DDoS: i numeri del fenomeno criminale
Come annunciato dalla Polizia postale e delle comunicazioni, attraverso il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) proprio in questi giorni, tra fine luglio e inizio agosto, il gruppo di hacktivisti filorusso NoName057(16) operativo almeno da marzo dello scorso anno, sta prendendo di mira, con questo tipo di attacchi (DDoS) diversi settori critici italiani, da quello Istituzionale ai Trasporti, dalla Stampa a quello Bancario-Finanziario.
Anche Microsoft ha dichiarato che alcuni tra i suoi più noti servizi sono stati colpiti, a inizio giugno, da attacchi DDoS di livello applicativo, un mix tra flooding di milioni di richieste HTTP(S) bypass della CDN (cache) e slowloris, da attribuirsi al collettivo Anonymous Sudan (aka Storm-1359).
L’ultimo report di Cloudflare (DDoS threat report for 2023 Q2) uno dei più autorevoli del settore, grazie anche all’osservatorio privilegiato di cui dispone, offre una panoramica molto interessante e illuminante sullo stato degli attacchi DDoS nel secondo trimestre di quest’anno, caratterizzato da ondate di attacchi sempre più persistenti, attentamente pianificati e, per certi versi, “ritagliati” sul target, quasi “sartoriali”.
Tra i principali attori coinvolti sono citati i gruppi Killnet, REvil e Anonymous Sudan che avrebbero dichiarato di voler unire le loro forze al fine di sferrare vasti attacchi ai sistemi finanziari occidentali e, in particolare, per paralizzare SWIFT, con le conseguenze che possiamo immaginare.
In realtà, il settore “Banking and Finance” non si è poi rivelato il più attaccato da questa “alleanza”, soprannominata “Darknet Parliament”, che avrebbe prediletto quelli del “Computer Software”, del “Gambling & Casinos” e del “Gaming”.
Gli attacchi HTTP DDoS, dei quali 3 su 1000 provengono dagli USA, posizionati in vetta alla classifica davanti a Cina e Germania, sono aumentati del 15% da un trimestre all’altro, attestandosi a oltre 5 T requests by quarter, e in controtendenza rispetto ad un calo annuale del 35%.
Sono inoltre risultati più sofisticati: è stato osservato un livello di ingegnerizzazione più elevato, in particolare con riferimento al grado di randomizzazione, e una tendenza a “nascondersi” all’interno dei flussi di traffico legittimi, mantenendo bassi livelli di rps (requests per second) al fine di “aggirare” i sistemi di mitigazione preposti.
Questo livello di raffinatezza, in precedenza appannaggio quasi esclusivamente degli state-level o degli state-sponsored threat actor, sarebbe risultato caratterizzare anche gli attacchi dei cosiddetti cyber criminal.
Da notare che se si normalizza rispetto al traffico totale di un dato paese, la sorgente di maggior traffico HTTP DDoS (rps) risulta essere africana, quindi, non più gli USA ma il Mozambico (oltre 19%) seguito da Egitto e Finlandia, mentre quella di maggior traffico Network-Layer DDoS (bytes) risulta essere il Vietnam (oltre 41%) con un aumento del 58% da un trimestre all’altro, seguito da Botswana e Paraguay.
Con riferimento ai settori industriali, il più colpito dagli HTTP DDoS risulta essere quello delle “Cryptocurrency”, con un aumento del 600% da un trimestre all’altro, seguito dal “Gaming & Gambling” e dal “Marketing & Advertising”.
Se invece si normalizza rispetto al traffico totale di un dato settore, balzano in testa il “Management Consulting Corporate” e il “Non-Profit”, mentre con riferimento ai Network-Layer DDoS, la fa da padrone il settore dell’”Information Technology e dei Servizi” con oltre il 32% del suo traffico risultato malevolo, staccando quello “Musicale” di quasi 20 punti percentuali.
Prendendo in esame i continenti e le macroregioni, i settori industriali più colpiti dagli HTTP DDoS risultano quello delle “Telecomunicazioni” in Africa, il “Gaming & Gambling” in Europa e Asia, lo “Sporting Goods” in America Latina, il “Media & Newspaper” in Medio Oriente, il “Marketing & Advertising” nel Nord America e il “Biotechnology” in Oceania.
Per quanto concerne i paesi più colpiti dagli HTTP DDoS, Israele cede il posto agli USA mentre, normalizzando, sale in vetta la Palestina.
Con riferimento ai Network-Layer DDoS, invece, sempre normalizzando, la Finlandia cede il posto alla Cina, con quasi due terzi del suo traffico malevolo, ed esce dalla top ten.
Quasi un terzo dei Network-Layer DDoS attack è risultato utilizzare il protocollo DNS come vettore, con un aumento significativo quanto preoccupante del DNS Laundering.
Sembra inoltre confermarsi l’evoluzione delle botnet da quelle basate sui dispositivi IoT a quelle che sfruttano Virtual Machine, con l’obiettivo di aumentare le risorse computazionali e di banda a disposizione, riducendo contestualmente il numero di zombie necessari a perpetrare l’attacco.
Questa tendenza sarebbe all’origine di quello che risulta essere il più imponente attacco HTTP DDoS hyper-volumetric mai rilevato prima, ben 71 Mrps provenienti da oltre 30.000 indirizzi IP, registrato a febbraio di quest’anno.
Infine, da un lato si rileva un aumento del 103%, da un trimestre all’altro, degli attacchi che durano più di 3 ore, dall’altro si conferma una tendenza della maggior parte degli attacchi a durare poco, anche qualche minuto o addirittura pochi secondi, rendendo vani i sistemi di risposta che non siano veloci e automatizzati, e puntando sul fatto che, seppur breve, un attacco DDoS può richiedere molto più tempo, per il recover, di quanto sia durato l’attacco stesso.
Anche il 2023 DBIR di Verizon (2023 Data Breach Investigations Report) oltre a rilevare il fatto che gli attacchi di tipo Denial of Service continuano a dominare il panorama degli incident a livello globale, registra una ripresa degli attacchi “low volume”.
Come c’era da aspettarsi, però, i valori di “bit per second” che caratterizzano la distribuzione degli attacchi DDoS, è caratterizzata da un inarrestabile trend al rialzo, in una continua competizione tra risorse computazionali e di networking sempre più accessibili agli attaccanti e le diverse soluzioni di mitigazione a disposizione: la mediana è cresciuta in un anno del 57%, da 1,4 Gbps a ben 2,2 Gbps mentre il 97,5-esimo percentile è cresciuto del 25%, passando da 99 Gbps a 124 Gbps.
Conclusioni
Alla luce di quanto visto, se è vero che, come si dice, abbiamo sempre più bisogno di “bigger pipe” vale a dire che necessitiamo di soluzioni di mitigazione che siano in grado di contrastare attacchi DDoS sempre più imponenti dal punto di vista delle risorse “consumate” e quindi sottratte ai legittimi fruitori dei servizi coinvolti, non ci sono dubbi sul fatto che questo genere di minacce, anche se spesso classificate come “azioni dimostrative” o, in alcuni casi, addirittura banalizzate, siano da tenere in seria considerazione e vadano opportunamente contrastate perché minano una delle 3 proprietà fondamentali che la cybersecurity mira a salvaguardare (CIA Triad – Confidentiality Integrity Availability): la disponibilità.
