Che cos'è un attacco QUIC flood di tipo DDoS?

Un QUIC flood è un attacco DDoS (Distributed Denial-of-Service) che cerca di sovraccaricare un server preso di mira con i dati inviati tramite il protocollo QUIC. Poiché utilizza risorse che elaborano grandi volumi di dati QUIC, il server preso di mira viene rallentato e, alla fine, potrebbe interrompere le sue attività. Gli attacchi QUIC flood sono difficili da mitigare perché utilizzano i pacchetti UDP, che offrono pochissimi dettagli al server preso di mira per bloccare l'attacco. Gli attacchi QUIC flood, inoltre, crittografano i dati dei pacchetti, rendendo difficile stabilire se un pacchetto è legittimo o meno.

In un attacco DDoS, un criminale tenta di interrompere le attività o arrestare un server, un sito web o una rete, sovraccaricandoli con enormi quantità di traffico indesiderato o illegittimo. Per raggiungere il loro scopo, i criminali utilizzano una botnet , ossia una raccolta di migliaia o milioni di dispositivi infettati da malware, che consente ai criminali di controllarli. Quando i criminali forzano i computer violati ad inviare enormi volumi di traffico al dispositivo preso di mira, quest'ultimo esaurisce le sue risorse o utilizza tutte le sue connessioni per elaborare o rispondere al traffico dannoso. Di conseguenza, il dispositivo potrebbe arrestarsi o rallentare le sue attività, il che lo renderebbe non disponibile a rispondere al traffico e agli utenti legittimi.

Il protocollo QUIC è un nuovo protocollo di trasporto crittografato e orientato alla connessione, che è stato sviluppato da Google per velocizzare e proteggere maggiormente le connessioni Internet. Sostituisce potenzialmente il protocollo di trasporto TCP e il protocollo di crittografia TLS. Basato sull'UDP (User Datagram Protocol), il protocollo QUIC è stato progettato come protocollo di trasporto a bassa latenza per app e servizi che richiedono connessioni online rapide. Per velocizzare le connessioni online, il protocollo QUIC sostituisce il lento handshake TLS a tre vie (utilizzato per stabilire una connessione TLS) con un solo handshake. Il protocollo QUIC utilizza il multiplexing per inviare vari flussi di dati contemporaneamente, riducendo la latenza causata dalla potenziale perdita di dati e dalla logica tradizionale delle richieste/risposte HTTP. Il protocollo QUIC crittografa automaticamente tutti i dati integrando la crittografia TLS nel processo di comunicazione standard.

Il protocollo QUIC è particolarmente vulnerabile agli attacchi DDoS che usano la riflessione, perché questa tecnica implica lo spoofing dell'indirizzo IP del server preso di mira durante la richiesta delle informazioni da più server. Quando i server rispondono, tutti i dati vengono trasmessi al sistema preso di mira anziché ai dispositivi dei criminali. In un attacco QUIC con riflessione, i criminali usano il messaggio "hello" per avviare una connessione QUIC. Poiché il protocollo QUIC combina il protocollo di trasporto UDP con la crittografia TLS, il server preso di mira deve includere nella sua risposta il certificato TLS, il che genera una prima risposta iniziale molto più lunga rispetto al primo messaggio dei criminali. Poiché ciò si verifica su un elevato numero di risposte, il server preso di mira può venire sovraccaricato da grandi quantità di dati indesiderati.

Gli attacchi QUIC flood possono comportare notevoli interruzioni per le attività aziendali, soprattutto per quelle che si basano molto sui servizi e sulle applicazioni online. Quando un server viene "inondato" da grandi volumi di dati QUIC, può rallentare ed, eventualmente, interrompere le sue attività. Ciò può causare problemi di downtime per siti web, applicazioni e servizi online, influendo sia sulla produttività che sulle customer experience.

Ad esempio, le piattaforme di e-commerce potrebbero subire un'interruzione delle proprie transazioni, il che si traduce in perdita delle vendite e clienti insoddisfatti. Analogamente, i provider di servizi online, come le piattaforme di streaming o i servizi di software basati su cloud, potrebbero subire interruzioni dei servizi con conseguenti danni alla reputazione e alle user experience.

I settori che si basano molto su Internet per le loro attività sono maggiormente a rischio di subire gli attacchi QUIC flood. Tra questi settori, figurano l'e-commerce, il settore finanziario e quello tecnologico. Le aziende di e-commerce sono particolarmente vulnerabili a questi attacchi poiché le loro attività si svolgono interamente online. Un attacco QUIC flood riuscito potrebbe condurre a significative perdite finanziarie dovute all'interruzione delle transazioni e alla perdita delle vendite.

Anche il settore finanziario, che comprende le aziende di tecnologia finanziaria e online banking, è a rischio poiché tratta i dati sensibili dei clienti e si basa su servizi disponibili 24/7. Una qualsiasi interruzione non solo può causare perdite finanziarie, ma anche danneggiare la fiducia dei clienti.

Gli attacchi QUIC flood si possono considerare un tipo di attacco di amplificazione, in cui un piccolo input viene utilizzato per sferrare un attacco di notevoli dimensioni che causa danni significativi. Questi attacchi sfruttano l'utilizzo del protocollo UDP da parte del protocollo QUIC, analogamente ai protocolli DNS e ICMP, anch'essi vulnerabili agli attacchi di amplificazione.

L'autenticazione svolge un ruolo fondamentale nella mitigazione di questi attacchi. Mediante un controllo sull'origine del traffico, le aziende possono escludere i pacchetti dannosi. Tuttavia, la crittografia utilizzata negli attacchi QUIC flood rende questa operazione difficoltosa.

Gli attacchi DoS, inclusi gli attacchi QUIC flood, tendono a sovraccaricare un sistema con una notevole quantità di traffico, rendendolo non disponibile. I firewall possono aiutare a mitigare questi attacchi monitorando il traffico in entrata e bloccando eventuali attività sospette. Tuttavia, l'efficacia dei firewall tradizionali è limitata dalla natura crittografata del traffico QUIC. Pertanto, è necessario ricorrere a misure di sicurezza avanzate, come i servizi di mitigazione DDoS, in grado di gestire attacchi sofisticati, come gli attacchi QUIC.

I team addetti alla sicurezza possono prevenire o mitigare gli attacchi QUIC flood seguendo alcune best practice.

• Limitazione della velocità. I meccanismi di limitazione della velocità possono restringere il numero di pacchetti QUIC consentiti da un singolo indirizzo IP sorgente o da una specifica sottorete.
• Dimensione minima del messaggio client iniziale. L'impostazione di una dimensione minima per il messaggio "hello" iniziale richiede ai criminali l'utilizzo di significative quantità di larghezza di banda per l'invio di messaggi "hello" fittizi, che, potenzialmente, scoraggiano gli attacchi.
• Servizi di mitigazione degli attacchi DDoS. I team addetti alla sicurezza possono sottoscrivere un contratto per ricevere un servizio di mitigazione degli attacchi DDoS, che offre varie tecniche per il rilevamento e la mitigazione degli attacchi, fornendo, al contempo, l'accesso a reti abbastanza grandi da assorbire gli attacchi DDoS più imponenti.

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. Mantenendo decisioni, app ed experience più vicino agli utenti (e allontanando sempre più attacchi e minacce), possiamo garantire ai nostri clienti e alle loro reti di essere veloci, intelligenti e sicuri.

Le nostre soluzioni di protezione dagli attacchi DDoS e DoS end-to-end forniscono un approccio olistico che funge da prima linea di difesa. Con strategie dedicate per la mitigazione di attacchi sull'edge, DNS distribuito e su cloud, le nostre tecnologie anti-DDoS impediscono danni collaterali e single point of failure per fornire ai nostri clienti una maggiore resilienza, una capacità di scrubbing dedicata e una migliore qualità di mitigazione.

App & API Protector offre un set olistico di potenti sistemi di protezione, incentrati sul cliente per offrire il massimo livello di automazione. Anche se offre alcune delle funzionalità di automazione più sofisticate presenti oggi sul mercato della sicurezza delle applicazioni , questa soluzione rimane comunque semplice da utilizzare. Un nuovo motore di sicurezza adattiva e tecnologie leader del settore offrono protezione dagli attacchi DDoS, sicurezza delle API, mitigazione dei bot e una soluzione WAF (Web Application Firewall) in un prodotto facile da usare. 

Prolexic blocca gli attacchi DDoS con la difesa più rapida ed efficace su larga scala. Con uno SLA immediato per la difesa dagli attacchi DDoS, Prolexic riduce proattivamente gli attacchi e consente di personalizzare i controlli di mitigazione sul traffico di rete per bloccarli all'istante. Il centro SOCC completamente gestito completa i vostri programmi di cybersicurezza esistenti e vi aiuterà a migliorare i tempi di risoluzione dei problemi grazie alla sua consolidata esperienza nel settore.

Edge DNS previene le interruzioni del DNS con la piattaforma edge più grande del mondo, consentendo alle organizzazioni di fare affidamento sulla totale continuità del servizio. Soluzione basata su cloud, Edge DNS garantisce 24 ore su 24 e 7 giorni su 7 la disponibilità del DNS, migliorando la velocità di risposta e assicurando la protezione dagli attacchi DDoS più aggressivi.

• Cos'è la protezione dagli attacchi DoS?
• Che cos'è un attacco ICMP flood?
• Che cosa sono gli attacchi DDoS Memcached?
• Che cosa sono gli attacchi SYN flood di tipo DDoS?
• Che cos'è un attacco DDoS Slowloris?
• Che cos'è un attacco UDP flood di tipo DDoS?
• Che cos'è un attacco DDoS a livello di applicazione?
• Che cos'è un attacco di amplificazione al DNS?
• Che cos'è un attacco DDoS SSDP?
• Che cos'è un attacco DDoS con riflessione CLDAP?