Le parole di Internet: DDOS, Distributed Denial of Service

Questo articolo era stato pubblicato inizialmente il [11/01/2013] sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

DDOS, Distributed Denial of Service. Forma di attacco informatico realizzato sovraccaricando il sito-bersaglio con una quantità insostenibile di richieste di dati che lo portano a cessare il servizio all'utenza normale (denial of service). Questa quantità anomala viene generata utilizzando un grande numero di computer infettati, sui quali è quindi distribuito l'attacco (da qui il termine “distributed”).

Il caso che sta interessando l'Internet svizzera in queste ore usa un DDOS particolare, denominato DDOS amplificato: in questa tecnica, l'aggressore usa una botnet (un numero molto grande di computer infettati, di cui ha il controllo) per mandare migliaia di richieste di dati a dei server DNS (i “centralini” di Internet, che convertono i nomi dei siti negli indirizzi numerici usati per gestire la Rete). Le richieste contengono un mittente falso (che è il sito che si vuole colpire) e sono formulate in modo da obbligare il server DNS a rispondere a questo mittente con un numero molto elevato di dati. In questo modo il flusso di dati generato dall'aggressore viene amplificato (fino a 40 volte) dai server DNS di un'organizzazione che non c'entra niente.

Questa tecnica, in altre parole, consente all'aggressore di moltiplicare la potenza del proprio attacco utilizzando i sistemi informatici altrui. Esistono delle contromisure reattive e anche preventive: la prima spetta ai comuni utenti, che devono evitare di farsi infettare per non diventare parte della botnet, mentre la seconda è compito dei provider e delle aziende che hanno allacciamenti a Internet, che devono attivare filtri di autenticazione delle richieste di dati DNS. Switch.ch fornisce ampia documentazione in proposito.