Che cos'è un attacco GET flood di tipo DDoS?

Un attacco "GET flood" è un attacco di tipo DDoS (Distributed Denial-of-Service) che prende di mira specificamente i server web e gli endpoint API. In un attacco GET flood di tipo DDoS, viene inviato un numero esorbitante di richieste HTTP GET al server preso di mira, esaurendo le sue risorse e rallentando le sue operazioni o impedendo al dispositivo di rispondere, in modo da fargli rifiutare il servizio offerto anche in presenza di richieste legittime.

Un attacco DDoS (Distributed Denial-of-Service) è un tipo di attacco informatico che influisce sulle performance o sulla disponibilità di un server, un servizio, un sito web o una rete, sovraccaricandoli con un afflusso di traffico Internet. I criminali possono eseguire gli attacchi DDoS utilizzando migliaia o milioni di dispositivi infettati da malware, che vengono definiti "botnet". Il malware consente ai criminali di controllare le azioni di tali dispositivi, forzandoli ad inviare enormi quantità di traffico al sistema preso di mira. Un attacco DDoS esaurisce la larghezza di banda, la memoria o la potenza di elaborazione del sistema preso di mira, che, reso non disponibile per il traffico legittimo, rifiuta il servizio offerto agli utenti. Poiché il traffico dannoso viene distribuito tramite centinaia, migliaia o milioni di dispositivi, gli attacchi DDoS sono difficili da rilevare e arrestare senza il rischio di bloccare anche il traffico legittimo.

Gli attacchi GET flood sfruttano il protocollo HTTP standard utilizzato dai browser web per recuperare le risorse da un server web. Le richieste GET, un tipo specifico di metodo HTTP, possono essere utilizzate per recuperare pagine HTML, risorse API, script, immagini ed altri contenuti che consentono ad un browser di rendere in modo accurato una pagina o un servizio web. In un attacco GET flood di tipo DDoS, i criminali utilizzano una botnet per inviare enormi quantità di richieste GET al server web preso di mira, sovraccaricandolo ed esaurendo la sua CPU, la sua memoria o altre funzioni di applicazioni, come un database. Di conseguenza, il server non riesce più a rispondere alle richieste legittime, rifiutando il servizio offerto agli utenti.

Gli attacchi HTTP POST flood sono persino più efficaci degli attacchi HTTP GET flood. In un attacco POST flood, i criminali inviano ripetutamente richieste POST, che, di solito, includono i dati necessari al server per l'elaborazione, utilizzando un maggior numero di risorse e funzionalità del sistema. Alla fine, il server raggiunge la sua capacità massima e non riesce più a rispondere alla richieste ricevute, il che rende inaccessibile il sito o l'applicazione web.

Gli attacchi DDoS Slowloris, un altro tipo di attacco HTTP flood, inviano un elevato numero di richieste HTTP parziali al server preso di mira, mantenendo aperto le connessione il più a lungo possibile e impedendo agli utenti legittimi di accedere al server.

Gli attacchi di amplificazione HTTP sovraccaricano le risorse del server web preso di mira falsificando l'indirizzo IP del sistema nelle richieste inviate ai server web pubblicamente accessibili che restituiscono un gran numero di risposte.

Come altri tipi di attacchi HTTP flood, gli attacchi GET flood sono difficili da rilevare perché le richieste GET sono tecnicamente valide e corrette tanto da sembrare un tipo di traffico legittimo. Il rilevamento diventa più difficile quando aumenta il numero di richieste HTTP. Le aziende possono usare i servizi di mitigazione WAF (Web Application Firewall) e DDoS che offrono una protezione DDoS a livello delle applicazioni (livello 7) in grado di rilevare e filtrare il traffico di rete dannoso, analizzando le richieste in entrata prima che raggiungano il server web e utilizzando una tecnologia che rileva automaticamente i modelli anomali per identificare un attacco flood. Una volta identificato il traffico dell'attacco, è possibile bloccare o ignorare qualsiasi richiesta ad esso associata.

Gli attacchi DDoS , di solito, prendono di mira uno o più livelli del modello OSI (Open Systems Interconnection)

• Gli attacchi a livello di applicazione (livello 7) sono progettati per rendere le applicazioni non disponibili sovraccaricando le risorse del server (database, memoria, CPU) nel livello dell'applicazione al fine di "inondare" di traffico il server preso di mira.
• Gli attacchi a livello di presentazione (livello 6), di solito, richiedono un tipo di abuso di negoziazione SSL/TLS, che possono causare l'impatto ai sistemi progettati per controllare l'offload e l'infrastruttura di gestione della chiave SSL/TLS. Anche se non comuni come gli attacchi al livello 7, questi eventi possono causare un notevole impatto ad una vasta gamma di risorse delle applicazioni perché sono configurati in modo aggregato. 
• Gli attacchi a livello di trasporto (livello 4) tentano di sovraccaricare l'infrastruttura di rete prendendo di mira protocolli di rete come il TCP (Transmission Control Protocol) o l'UDP (User Datagram Protocol) con un'enorme quantità di traffico. Tra gli esempi di attacchi al livello 4, figurano gli attacchi UDP/SYN flood e gli attacchi di amplificazione.
• Gli attacchi a livello di rete (livello 3) sovraccaricano router, switch e altri dispositivi dell'infrastruttura di rete "inondandoli" di pacchetti IP progettati per utilizzare larghezza di banda e potenza di elaborazione. Tra gli esempi di attacchi al livello 3, figurano gli attacchi di frammentazione IP e gli attacchi ICMP flood.

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. Mantenendo decisioni, app ed experience più vicino agli utenti (e allontanando sempre più attacchi e minacce), possiamo garantire ai nostri clienti e alle loro reti di essere veloci, intelligenti e sicuri.

Le nostre soluzioni di protezione dagli attacchi DDoS e DoS end-to-end forniscono un approccio completo che funge da prima linea di difesa. Con strategie dedicate per la mitigazione di attacchi sull'edge, DNS distribuito e su cloud, le nostre tecnologie anti-DDoS impediscono danni collaterali e single point of failure per fornire ai nostri clienti una maggiore resilienza, una capacità di scrubbing dedicata e una migliore qualità di mitigazione.

App & API Protector offre potenti sistemi di protezione, incentrati sul cliente per offrire il massimo livello di automazione. Offrendo alcune delle funzionalità di automazione più sofisticate presenti oggi sul mercato della sicurezza, questa soluzione rimane comunque semplice da utilizzare. Un nuovo motore di sicurezza adattiva e tecnologie leader del settore offrono protezione dagli attacchi DDoS, sicurezza delle API, mitigazione dei bot e una soluzione WAF (Web Application Firewall) in un prodotto facile da usare. 

Prolexic blocca gli attacchi DDoS con la difesa più rapida ed efficace su larga scala. Con uno SLA immediato per la difesa dagli attacchi DDoS, Prolexic riduce proattivamente gli attacchi e consente di personalizzare i controlli di mitigazione sul traffico di rete per bloccarli all'istante. Il centro SOCC completamente gestito completa i vostri programmi di cybersicurezza esistenti e vi aiuterà a migliorare i tempi di risoluzione dei problemi grazie alla sua consolidata esperienza nel settore.

Edge DNS previene le interruzioni del DNS con la piattaforma edge più grande del mondo, consentendo alle organizzazioni di fare affidamento sulla totale continuità del servizio. Soluzione basata su cloud, Edge DNS garantisce 24 ore su 24 e 7 giorni su 7 la disponibilità del DNS, migliorando la velocità di risposta e assicurando la protezione dagli attacchi DDoS più aggressivi.