Sì, è possibile rilevarli tempestivamente tramite un attento monitoraggio del traffico di rete e il riconoscimento di modelli insoliti che indicano un potenziale attacco flood.
Un attacco flood basato su WS-Discovery è un attacco di riflessione DDoS che utilizza il protocollo WS-Discovery per amplificare in modo significativo la potenza dell'attacco. I criminali lanciano gli attacchi flood basati su WS-Discovery allo scopo di sovraccaricare server, siti web, reti o altri computer con enormi quantità di traffico al punto da rallentarne o interromperne le operazioni. Alcune tecniche di amplificazione come quelle usate negli attacchi flood basati su WS-Discovery consentono ai criminali di generare attacchi massicci con il minimo sforzo e poche risorse.
Cosa significa il termine "attacco DDoS"?
Un attacco DDoS (Distributed Denial-of-Service) è un attacco informatico in cui gli hacker assumono il controllo di migliaia o milioni di sistemi infettati da malware, come computer o dispositivi IoT, e li forzano ad inviare traffico e richieste ad un obiettivo preso di mira o una vittima, solitamente un server. Nel tentativo di rispondere o di comprendere l'enorme quantità di richieste ricevute, il server preso di mira viene sovraccaricato e rallenta o interrompe le sue operazioni. Di conseguenza, un attacco DDoS può mettere fuori uso siti web, reti e organizzazioni per un certo periodo di tempo.
Che cos'è un attacco di riflessione DDoS?
In un attacco di riflessione, i criminali falsificano gli indirizzi IP di destinazione, usando l'indirizzo IP della vittima designata o del server preso di mira interrogando un altro server mediante l'invio di richieste di pacchetti. Quando il sistema a cui è stata inviata la query risponde alla richiesta di pacchetti, le risposte vengono indirizzate al computer della vittima anziché a quello dei criminali. Questa tecnica consente di "riflettere" il traffico DDoS tramite altri computer anziché inviarlo direttamente al sistema preso di mira.
Per amplificare i loro attacchi, i criminali cercano di riflettere il traffico lontano dai computer che ricevono una risposta di dimensioni molto più grandi rispetto alla richiesta iniziale. In questi attacchi di amplificazione, i criminali possono usare un numero relativamente ridotto di pacchetti iniziali e impiegare poche risorse per generare enormi quantità di traffico contenente un gran numero di dati, sovraccaricando i sistemi presi di mira in modo più rapido e semplice.
Che cos'è il protocollo WS-Discovery?
Il protocollo Web Services Dynamic Discovery (WS-Discovery o WSD) è un protocollo di comunicazione multicast progettato per il rilevamento dei dispositivi sulle reti locali. Il protocollo WS-Discovery usa l'UDP (User Datagram Protocol), uno dei principali protocolli di trasporto per le comunicazioni Internet, ma possono anche utilizzare il TCP (Transmission Control Protocol). I dispositivi abilitati per l'uso del protocollo WSD, come telecamere IP, videoregistratori digitali, altoparlanti, ecc., emettono dei beacon per semplificare il rilevamento dei dispositivi e le connessioni tra un dispositivo e l'altro. Ad esempio, un videoregistratore digitale potrebbe usare il protocollo WSD per rilevare eventuali telecamere IP nelle vicinanze con cui poter comunicare. Anche se non è ampiamente conosciuto, il protocollo WS-Discovery è stato adottato dall' ONVIF, un'organizzazione che promuove la standardizzazione delle interfacce per incrementare l'interoperabilità dei prodotti di rete. Di conseguenza, il protocollo WSD è ora incluso in centinaia di migliaia di prodotti in tutto il mondo.
Il protocollo WSD era stato inizialmente limitato alle reti locali (LAN). Poiché è stato prodotto un nuovo hardware contenente il servizio WSD e gli utenti hanno implementato questo hardware su internet, i criminali hanno trovato un nuovo vettore di attacco per gli attacchi di riflessione DDoS.
Come funziona un attacco flood basato su WS-Discovery?
Un attacco di riflessione DDoS basato su WS-Discovery sfrutta una vulnerabilità presente nel protocollo UDP/TCP. Poiché l'UDP è un protocollo stateless, è semplice per i criminali contraffare o falsificare un indirizzo IP durante l'invio di richieste ad altri dispositivi. In tal modo, i criminali possono dirigere enormi quantità di traffico dai dispositivi WS-Discovery agli obiettivi dei loro attacchi DDoS. Anche se il protocollo TCP è orientato alla connessione o stateful, può comunque essere sfruttato come parte dello spoofing IP e degli attacchi WSD.
Ciò che rende un attacco flood basato su WS-Discovery così potente è rappresentato dalle dimensioni molto maggiori della risposta WSD rispetto a quelle della richiesta iniziale. I piccoli pacchetti iniziali inviati ad un dispositivo WS-Discovery possono generare risposte di 75-150 volte più grandi. Numerosi attacchi hanno persino mostrato velocità di amplificazione superiori di 300 e 500 volte. Si tratta di cifre molto più grandi di altri attacchi basati sul protocollo UDP che tendono ad avere un fattore di amplificazione medio pari a 10.
Anche gli attacchi flood basati su WS-Discovery sono difficili da identificare. Il protocollo risponde con un numero elevato di porte casuali e payload di dati univoci che rendono difficile riconoscere e mitigare l'attacco. Inoltre, a causa delle dimensioni dell'amplificazione e della riflessione, prima che l'attacco raggiunga i servizi o i sistemi di origine, i valori di uplink in Internet sono già saturati e si perde la possibilità di rilevare e mitigare l'attacco.
Domande frequenti (FAQ)
I team addetti alla sicurezza possono implementare una serie di sistemi di protezione per difendersi dagli attacchi di riflessione basati su WS-Discovery.
- Blocco del traffico sulla porta UDP 3702. I team addetti alla sicurezza possono bloccare la porta di origine UDP 3702 sui loro dispositivi gateway e sui firewall per prevenire il traffico WSD. Tuttavia, poiché questo approccio non impedisce al traffico di utilizzare la larghezza di banda dei router, sono consigliati altri approcci di mitigazione sul cloud.
- Filtraggio IP. I team addetti alla sicurezza possono implementare la tecnologia di filtraggio IP per rifiutare le richieste provenienti da indirizzi IP non consentiti.
- Servizi di mitigazione degli attacchi DDoS. L'implementazione dei servizi di mitigazione degli attacchi DDoS sul cloud da parte di un importante provider di servizi di cybersicurezza, come Akamai, è uno dei modi più efficaci per bloccare gli attacchi di amplificazione e DDoS.
Gli attacchi flood basati su WS-Discovery, anche se non si verificano ogni giorno, sono abbastanza significativi da meritare un'attenzione particolare. Comprendere la frequenza con cui si verificano aiuta a concepire strategie proattive per la sicurezza della rete.
Anche se non esiste una rete totalmente immune, le misure di sicurezza proattive riducono in modo significativo la vulnerabilità degli attacchi flood basati su WS-Discovery.
I rischi associati agli attacchi flood basati su WS-Discovery vanno dalle interruzioni di rete ad altri attacchi multivettore che conducono a potenziali violazioni di dati, il che li rende, pertanto, un significativo problema di sicurezza.
Perché i clienti scelgono Akamai
A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.