La tecnica di riflessione e amplificazione permette a un attaccante di moltiplicare il volume di traffico generabile e nascondere contemporaneamente le fonti originali di tale traffico.

Il 2015 parte male: è boom degli attacchi DDoS. A lanciare l’allarme è Arbor Networks che, analizzando le minacce nel primo trimestre dell’anno, ha evidenziato volumi estremamente elevati tra cui il più grande attacco DDoS mai registrato dall’infrastruttura di intelligence specializzata Arbor ATLAS: un evento da 334Gbps diretto contro un operatore di rete asiatico. Nel primo trimestre 2015 si sono verificati globalmente 25 attacchi di dimensioni superiori a 100Gbps.

Gli attacchi significativamente sopra il livello dei 200Gbps possono essere estremamente pericolosi per gli operatori di rete e provocare danni collaterali a service provider, società di cloud hosting e reti aziendali –  ha dichiarato Darren Anstee, Director, Solutions Architects di Arbor Networks. – Gli attacchi DDoS continuano a evolvere. Non solo gli attacchi volumetrici sono cresciuti notevolmente di dimensioni e frequenza negli ultimi 18 mesi, ma anche quelli diretti contro il layer applicativo continuano a essere molto diffusi.

La maggior parte degli attacchi più grandi avvenuti di recente sfrutta una tecnica di riflessione e amplificazione basata su Network Time Protocol, Simple Service Discovery Protocol (SSDP) e su server DNS, con grandi quantità di attacchi significativi rilevati in tutto il mondo.

La tecnica di riflessione e amplificazione permette a un attaccante di moltiplicare il volume di traffico generabile e nascondere contemporaneamente le fonti originali di tale traffico. Questa tecnica approfitta di due fatti: innanzitutto, molti service provider non implementano ancora alla periferia delle loro reti i filtri necessari a bloccare il traffico associato a indirizzi IP di origine falsificata (‘spoofed’); in secondo luogo Internet pullula di tantissimi dispositivi malamente configurati e scarsamente protetti che mettono a disposizione servizi UDP che forniscono un fattore di amplificazione tra la query ricevuta e la risposta generata.

ATLAS STATS

Arbor raccoglie questi dati attraverso ATLAS, una partnership collaborativa con oltre 330 clienti, tutti service provider, che condividono con Arbor dati di traffico anonimizzati permettendo di creare una panoramica aggregata completa del traffico e delle minacce a livello globale. ATLAS raccoglie statistiche che rappresentano 120Tbps di traffico Internet e che costituiscono la base per la realizzazione della Digital Attack Map, una visualizzazione del traffico globale degli attacchi creata in collaborazione con Google Ideas. 

“Per affrontare l’intero ventaglio di minacce DDoS attuali consigliamo caldamente una difesa multistrato che integri protezione on-premise dagli attacchi contro il layer applicativo con protezione basata su cloud dagli attacchi volumetrici. Solo allora un’azienda risulta totalmente protetta dagli attacchi di oggi” ha concluso Darren Anstee.