Verisign è il noto Registro delle estensioni .COM e .NET che si occupa anche di monitorare e mitigare attacchi DDoS, uno dei tanti pericoli che devono affrontare quotidianamente le imprese in Rete. Come detto in altre sedi, il confronto tra esperti di sicurezza ed hacker non avrà mai fine: non appena i primi studieranno un sofisticato metodo di protezione i secondi (in un lasso di tempo variabile) individueranno una vulnerabilità o un espediente per aggirarlo. E così via.
Al giornod’oggi gli hacker hanno a disposizione diverse strategie per colpire i propri obiettivi: i cosiddetti layer 7 sono gli attacchi DDoS più sofisticati e difficili da individuare per chi si occupa di salvaguardare le aziende. In un post di approfondimento, Verisign ha spiegato meglio come funzionino e come possano essere contrastati.
In primo luogo i layer 7 sono in grado di “imitare” il normale comportamento degli utenti, lasciano quindi delle “tracce” che possono essere facilmente scambiate per altri “movimenti” (es: il download di un pdf); una loro seconda caratteristica è quella di prendere di mira specifiche parti del “target” – se pensiamo ad un portale potrebbe trattarsi di un semplice logo aziendale, ogni qualvolta che il logo viene scaricato, l’hacker sottrae risorse preziose al server fino a provocarne il collasso finale. Trattandosi di “movimenti” difficili da identificare tra i grafici ed i dati inerenti il traffico di un sito, è evidente come la sfida rappresenta dai layer 7 sia notevole.
Secondo i dati rilevati da Verisign, nel secondo trimestre 2016 i layer 7 sarebbero aumentati notevolmente andandosi ad affiancare ai layer 4 ed i layer 5 (flood attacks), creando quindi degli attacchi DDoS contacatenati e di tipologia variabile. Un recente attacco contrastato dalla compagnia ha raggiunto un picco di traffico pari a 50 Gbps o circa 5 milioni di pacchetti al secondo: gli hacker, con l’intenzione di saturare la banda del loro obiettivo, hanno esordito sfruttando attacchi di “riverbero NTP” (Network Time Protocol, protocollo UDP utilizzato per sincronizzare l’ora tra il client ed il server) e “riverbero SSDP” (Simple Service Discovery Protocol integrato a sua volta nell’UPnP, Universal Plug and Play, che consente a dispositivi connessi alla medesima rete di “individuarsi” tra loro) per inondare il bersaglio di dati.
Successivamente, una volta appreso che la prima ondata era stata mitigata (dai sistemi Verisign in questo caso), gli hacker sono passatti ad attacchi HTTP flood layer 7. Si tratta di un metodo che, poggiando sempre su una botnet, invia al server-obiettivo un ingente flusso di richieste GET (immagini, script) o POST (file o form) al fine di causarne il crash. Le varianti adoperate sono state le seguenti:
- Basic HTTP Floods: richiesta di URL con una vecchia versione di HTTP non più utilizzata dai recenti browser e proxy;
- WordPress Floods: attacco che sfrutta la funzione di pingback del CMS, ovvero la notifica che uno dei nostri link è stato menzionato da un altro sito. In ciascuna richiesta è stato inserita una serie casuale di cifre in modo che ognuna di esse figurasse come “unica” e non una semplice copia della copia;
- Randomized HTTP Floods: richieste casuali di URL inesistenti – dato un esempio.com valido veniva invece richiesto esempio.com/locid=12345
Il tutto è stato possibile grazie ad una botnet distribuita a livello globale (circa 30.000 bot) ma in cui il 50% del traffico era generato dagli Stati Uniti.
Contrastare un attacco layer 7: conclusioni
Quando si parla dei layer 7, osserva Verisign, la principale sfida è rappresentata dalla distinzione fra il traffico legittimo degli utenti e quello “malevolo” dei bot. A fronte del loro progressivo incremento e del livello di complessità raggiunto dagli attacchi layer 7, con pattern e metodologie variabili, addetti ai lavori ed aziende devono mettere in atto strategie dinamiche di mitigazione che contemplino anche monitoraggio proattivo e sistemi di allarme avanzati.
Un errore abbastanza comune è quello di concentrare i propri sforzi nella realizzazione di sistemi in grado di individuare/gestire attacchi DDoS di considerevoli dimensioni, tralasciando strumenti pensati per individuare minacce meno “vistose” (richiedono infatti meno banda) ma ugualmente efficaci come gli attacchi DDoS layer 7.
Fonte