A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.
Un attacco ad attività bassa e lenta è un tipo di attacco DoS (Denial-of-Service) progettato per eludere il rilevamento tramite l'invio di traffico o richieste HTTP apparentemente legittime ad una velocità molto bassa. Noti anche come attacchi a bassa velocità, gli attacchi ad attività bassa e lenta richiedono una ridotta larghezza di banda e possono essere sferrati da un solo computer o con una botnet. Il traffico proveniente da questo tipo di attacchi è difficile da rilevare perché sembra traffico legittimo di livello 7 (il livello dell'applicazione) del modello OSI e non viene inviato ad una velocità tale da attivare gli avvisi di sicurezza volumetrici.
Anche gli attacchi di forza bruta potrebbero utilizzare una metodologia ad attività bassa e lenta, tentando di ottenere un accesso non autorizzato ad un account o un sistema indovinando il nome utente e la password ad una velocità relativamente bassa per evitare il rilevamento o l'attivazione di un blocco. I criminali sfruttano grandi reti di host infettati o violati per sferrare questi attacchi, che, di solito, utilizzano migliaia o milioni di bot.
Cos'è un attacco DoS o DDoS?
Gli attacchi DoS (Denial-of-Service) e DDoS (Distributed Denial-of-Service) prendono di mira server, siti web, applicazioni o reti inondandoli con traffico dannoso. Inviando una quantità di traffico o di richieste tali da esaurire la potenza di elaborazione, la larghezza di banda o le risorse di memoria di un server, gli attacchi DoS (Denial-of-Service) causano il rallentamento o l'interruzione del dispositivo, rendendolo non disponibile per il traffico valido e gli utenti legittimi. Un attacco DoS utilizza un solo dispositivo per generare il traffico. Un attacco DDoS (Distributed Denial-of-Service) genera traffico utilizzando migliaia o milioni di dispositivi infettati da malware che funzionano sotto il controllo dei criminali informatici.
Come funzionano gli attacchi ad attività bassa e lenta?
A differenza di altri attacchi DoS (Denial-of-Service) che "bombardano" un server con enormi quantità di traffico in poco tempo, gli attacchi DDoS ad attività bassa e lenta inviano piccole quantità di traffico dannoso al sistema preso di mira per evitare improvvisi picchi di traffico che potrebbero attivare gli avvisi di sicurezza. Questo tipo di attacco invia il traffico ai server web basati sui thread, impegnando ogni thread con richieste a bassa velocità. Questo attacco, quando viene sferrato su una scala sempre maggiore, impedisce al server di rispondere al traffico legittimo. Gli attacchi ad attività bassa e lenta spesso si focalizzato sul protocollo HTTP, ma possono anche coinvolgere le sessioni TCP con basse velocità di trasferimento dirette a qualsiasi servizio basato sul protocollo TCP.
Perché gli attacchi ad attività bassa e lenta sono efficaci?
Gli attacchi ad attività bassa e lenta sono efficaci perché eludono i sistemi di rilevamento delle intrusioni. Poiché il traffico inviato ai server crea pacchetti ad una velocità molto bassa, è difficile distinguerlo dal traffico legittimo. Limitando la velocità delle richieste inviate ad un server, gli attacchi ad attività bassa e lenta possono eludere le tecniche di protezione della velocità solitamente usate per identificare e bloccare gli attacchi DDoS tradizionali.
Quali sono i più comuni tipi di attacchi ad attività bassa e lenta?
Sono tre i più comuni tipi di attacchi ad attività bassa e lenta:
- Slowloris. Un attacco Slowloris si connette ad un server e invia lentamente intestazioni HTTP parziali, forzando il server a mantenere la connessione aperta per attendere il resto dell'intestazione. Utilizzando il massimo numero di connessioni disponibili sul server, gli attacchi Slowloris esauriscono le risorse del server, impedendogli di rispondere agli utenti legittimi.
- Sockstress. Un attacco Sockstress sfrutta una vulnerabilità presente nell'handshake a tre vie TCP/IP per creare una connessione indefinita.
- R.U.D.Y. Questo attacco, denominato con l'acronimo di R-U-Dead-Yet? (Sei già morto?), genera richieste HTTP POST per compilare i campi dei moduli. Poiché le richieste dannose non dicono quanti dati sono previsti e inviano i dati molto lentamente, un server continuerà a mantenere le connessioni aperte per attendere l'arrivo degli altri dati.
Come vengono mitigati gli attacchi ad attività bassa e lenta?
Per fermare gli attacchi ad attività bassa e lenta, i team addetti alla cybersicurezza devono adottare un approccio alla mitigazione multilivello.
- Analisi del comportamento. Analizzando i modelli del traffico normale e monitorando continuamente il comportamento del traffico in tempo reale, i team addetti alla sicurezza potrebbero notare delle anomalie che indicano un attacco ad attività bassa e lenta.
- Monitoraggio in tempo reale. Monitorare le risorse, come la CPU, la memoria, gli stati e i thread delle applicazioni e le tabelle di connessione, può rivelare anomalie che indicano un attacco in corso.
- Miglioramento delle connessioni. L'aggiornamento della disponibilità del server e l'aggiunta di più connessioni rende più difficile esaurire le risorse di un server da parte di un attacco ad attività bassa e lenta.
- Protezione basata su proxy inverso. Questo approccio mitiga gli attacchi ad attività bassa e lenta prima che raggiungano il server di origine.
- Distribuzione di soluzioni per la mitigazione e la protezione dagli attacchi DDoS. Le soluzioni per la protezione dagli attacchi DDoS offrono varie tecnologie, come i WAF (Web Application Firewall), per rilevare e mitigare gli attacchi.