Security First

Come Cloudflare contrasta gli attacchi DDoS con l’intelligenza artificiale

3 minuti lettura
Come Cloudflare contrasta gli attacchi DDoS con l'intelligenza artificiale

Il livello di sofisticatezza degli attacchi DDoS continua ad evolvere. Che cos’è un attacco DDoS? Acronimo di Distributed Denial of Service, in parole spicciole si tratta di un tentativo ostile da parte di un malintenzionato che cerca di impedire agli utenti l’accesso a servizi e siti web. L’adozione di best practices può contribuire a salvaguardare il business online: scopriamole insieme.

Cos’è un attacco DDoS?

L’attacco DDoS è un tipo di attacco informatico che mira a inondare un sito web o un servizio con traffico anomalo, rendendolo inaccessibile agli utenti legittimi. Immagina un’orda di persone che cerca contemporaneamente di entrare in un negozio affollandolo e rendendolo inagibile per tutti.

Qual è l’obiettivo di un attacco DDos?

L’attacco DDoS punta a sopraffare il corretto funzionamento dei siti web, sovraccaricando il server con richieste fasulle. Per raggiungere tale scopo, gli attacchi DDoS vengono orchestrati con un serie di dispositivi infettati connessi a Internet. Questi device prendono il nome di bot che, lavorando in rete con altri affini, formano una botnet.

L’obiettivo dell’attaccante è inondare il sito web con una quantità di richieste tali che il server non sarà in grado di gestirle tutte. Gli utenti che tenteranno di raggiungere le risorse potranno riscontrare un servizio lento o non disponibile.

Gli attacchi DDoS volumetrici hanno come obiettivo reti con enormi quantità di traffico e, data la portata, si servono di botnet create con una milizia di singoli dispositivi infetti da malware. I bot vengono utilizzati per causare la congestione con traffico dannoso che si impadronisce di tutta la larghezza di banda disponibile.

Come individuare un attacco DDoS?

Il sintomo iniziale di un attacco DDoS in corso è l’improvviso rallentamento del caricamento delle pagine web. Tuttavia, anche un picco del traffico potrebbe causare un simile disservizio e, dunque, è bene procedere con cautela verificando la provenienza del traffico e le relative informazioni, ad esempio se il traffico arriva dalla stessa posizione geografica, dallo stesso tipo di dispositivo o dal medesimo browser web e punta verso una singola pagina.

L’attacco DDoS HTTP/2

A fine agosto 2023, i sistemi di Cloudflare hanno iniziato a rilevare degli anomali attacchi HTTP che, via via, hanno raggiunto dimensioni record, facendo registrare un picco superiore a 201 milioni di richieste al secondo. Questo valore supera di gran lunga la portata dell’attacco record riscontrato nel mese di febbraio (71 milioni di richieste al secondo).

Ciò che ha destato preoccupazione è il fatto che i cyber criminali siano riusciti a perpetrare tale attacco utilizzando una botnet di appena 20.000 macchine. L’impatto sul traffico dei siti web protetti dalla CDN ha coinvolto circa l’1% delle richieste.

Sebbene si trattasse di un nuovo vettore, le misure di protezione di Cloudflare sono state inizialmente in grado di assorbire la portata dell’attacco DDoS e, nel tempo, sono state perfezionate in modo da garantire che l’attacco non influenzasse l’infrastruttura di Cloudflare e la disponibilità dei progetti web.

Vulnerabilità protocollo HTTP/2

Questi attacchi sono stati orchestrati sfruttando una vulnerabilità del protocollo HTTP/2 che implica l’avvio e l’annullamento rapidi dei flussi. Per fare ciò, gli hacker stabiliscono un insieme di connessioni HTTP/2 ed inviano richieste immediatamente seguite da reset (RST_STREAM frame), che consente di saturare il server senza raggiungere la soglia di flusso simultaneo. Infatti, quando un client annulla uno stream, ottiene immediatamente la possibilità di aprire un altro stream al suo posto, potendo così inviare immediatamente un’altra richiesta. Il server può solo subire il reset poiché si tratta di un’azione intrapresa unilateralmente dal client.

Attacchi DDoS e intelligenza artificiale

In uno scenario in cui gli attacchi evolvono a tal punto da diventare sempre più sofisticati, Cloudflare lavora incessantemente per identificare in modo proattivo le nuove minacce per garantire protezione ai siti web protetti dalla CDN. E l’utilizzo dell’intelligenza artificiale da parte dei cyber criminali rappresenta attualmente una sfida sempre più centrale.

Gli hacker, infatti, sfruttano l’AI per automatizzare e raffinare i loro attacchi, rendendoli più difficili da rilevare e contrastare. Cloudflare si avvale di tecnologie all’avanguardia per stare al passo con le minacce: in questa direzione guarda il “firewall for AI”, uno strumento che aiuta a identificare tempestivamente gli attacchi basati su intelligenza artificiale, in particolare i tentativi malevoli che interessano i modelli generativi (LLM) per l’erogazione di servizi.

Come difendersi dagli attacchi DDoS?

Fare un attacco DDoS è diventato via via sempre più semplice e, se non bastasse, anche economico. Ad esempio, a differenza dei ransomware, gli attacchi DDoS non prevedono l’intrusione nel sistema e non fanno leva sull’ingenuità della vittima per la propagazione del malware.

Negli ultimi mesi, c’è stato un aumento dei DDoS in vari settori con attacchi volumetrici particolarmente importanti. Per una protezione efficace del sito web dovresti intraprendere degli accorgimenti, tra cui:

  1. Applicare le patch di sicurezza
  2. Scegliere password complesse
  3. Implementare l’autenticazione a due fattori (2FA)
  4. Utilizzare firewall
  5. Affidarsi a VPN
  6. Pianificare una strategia di backup

Fintanto che gli imprevisti sono dietro l’angolo, quest’ultimo punto risulta fondamentale per garantire la business continuity. E, per una strategia di sicurezza ancora più completa, Shellrent offre un servizio innovativo, pensato per l’archiviazione e il ripristino dei backup in caso di emergenza.

Avatar photo
460 articoli

Note sull'autore
Appassionata di comunicazione digitale, in Shellrent scrivo e condivido contenuti tecnici, informativi e novità del mondo IT. Fuori dall'ufficio mi divido tra stadi, montagna e altri angoli del mondo.
Articoli
Articoli correlati
Security First

Cos’è e come funziona un attacco brute force

3 minuti lettura
Esistono diversi attacchi cyber che possono compromettere il funzionamento dei siti web. Tra questi, il brute force è uno dei più frequenti e…
Security First

Cos'è un "trojan horse" e come difendersi dal malware

4 minuti lettura
Nel corso degli anni, la sicurezza informatica ha acquisito un’importanza sempre più centrale. Una delle minacce più diffuse nel settore è il…
Security First

Come verificare se un indirizzo IP è in blacklist e come rimuoverlo

3 minuti lettura
Se i messaggi di posta elettronica non raggiungono i destinatari, una delle prime ipotesi da prendere in considerazione è la possibilità che…