Attacchi DDoS a livello applicativo, Nitol batte tutti i record

Un paio di settimane fa, il team Incapsula, operante presso la società Imperva, è riuscito a respingere un potente attacco DDoS a livello di applicazione (livello 7), rivolto ad uno dei propri clienti, situato in Cina e specializzato nell’organizzazione di lotterie. Questo attacco si è rivelato di particolare interesse non solo per il consistente carico applicato sulle risorse di calcolo (si è registrato un picco di 163.000 richieste al secondo), ma anche per il tentativo di intasare, contemporaneamente, i canali di comunicazione, elemento davvero insolito in incidenti del genere. Durante l’assalto, il carico gravante sui canali ha raggiunto 8,7 Gbit/sec; si tratta, secondo gli esperti, di un indice mai riscontrato in precedenza, per gli attacchi DDoS a livello applicativo.

Nel commentare tali cifre, Incapsula spiega che gli incidenti DDoS di livello 7 mirano ad esaurire le risorse del server attraverso un flusso di richieste HTTP, il quale genera un’enorme quantità di task da elaborare. La potenza di simili attacchi, di solito, non è molto elevata, ma si dimostra sufficiente per rendere del tutto inaccessibili i server non protetti; molti proprietari di applicazioni web, in effetti, si basano su un valore massimo di 100 richieste al secondo.

Lo scorso anno, gli esperti avevano rilevato flussi di richieste persino superiori, nel corso di altri attacchi DDoS a livello applicativo – fino a 268.800 richieste al secondo; il carico sui canali, tuttavia, si era sempre rivelato piuttosto contenuto (di molto inferiore ai 500 Mbit/sec), visto che le dimensioni dei pacchetti non superavano, in genere, i 200 byte. Questi attacchi possono essere facilmente neutralizzati per mezzo di appositi filtri installati presso il cliente.

Nello specifico caso qui esaminato, tuttavia, gli esperti si sono trovati di fronte ad un ulteriore problema, ovvero l’aumento inatteso del carico anche sui canali, carico che il bersaglio dell’attacco non era chiaramente in grado di assorbire. Valori elevati dell’indice inerente ai Gbit/sec caratterizzano, abitualmente, gli assalti DDoS a livello di rete; simili valori, in tal caso, sono ampiamente attesi. Così, in questi ultimi anni, la stessa Incapsula, ed i “colleghi di reparto”, si sono imbattuti, a più riprese, in attacchi di rete di una potenza pari a 200, 300, persino 400 Gbit/sec; un valore di “soli” 8,7 gigabit, quindi, rappresenta per essi una cosa del tutto usuale, ma non nel caso di un attacco rivolto alle applicazioni.

Cercando di comprendere in che modo i malintenzionati fossero riusciti a raggiungere indici così elevati su entrambi i fronti, cogliendo di sorpresa la protezione esistente, gli esperti hanno iniziato ad analizzare le richieste POST malevole. È emerso, di fatto, che gli attacker si avvalgono di un particolare script, il quale genera, in maniera casuale, file di grandi dimensioni, e tenta poi di caricare gli stessi sul server sottoposto ad attacco. Tali voluminose richieste POST presentano un aspetto del tutto legittimo, ma nel momento in cui viene stabilita la connessione TCP, il loro flusso ininterrotto si trasforma rapidamente in un potente HTTP flood.

L’analisi del fingerprint ha permesso di determinare che per la conduzione dell’attacco DDoS viene utilizzata una botnet costruita su una variante del malware Nitol, il quale, nel caso specifico, aveva cercato di assumere le sembianze di uno spider di Baidu. Nel corso dell’attacco, il team Incapsula ha contato, complessivamente, 2.700 fonti IP di traffico “spazzatura”; la maggior parte di esse è risultata essere ubicata in Cina.

Purtroppo, precisano gli esperti, nel caso di un attacco a livello applicativo, il traffico può essere filtrato soltanto una volta stabilita la connessione TCP; questo significa, in sostanza, che le richieste malevole potranno transitare senza ostacoli attraverso il backbone della rete. Se tali query risultano particolarmente voluminose, come nel caso specifico qui preso in esame, esse intaseranno in maniera davvero efficace l’uplink, visto che la capacità dello stesso, di solito, è limitata; nella circostanza, non potrà essere d’aiuto alcun servizio esterno supplementare, per quanto focalizzato sugli attacchi DDoS a livello di rete.

Incapsula, inoltre, avverte che, persino nel caso in cui l’organizzazione sottoposta ad attacco disponga di un uplink da 10 Gb, i malintenzionati possono incrementare agevolmente la potenza dell’assalto, una volta aumentata la velocità di trasmissione delle query o la quantità di bot utilizzati. Questo in pratica significa che, la volta successiva, la potenza dell’attacco sarà elevata a 12 o 15 Gbit/sec, se non di più. Per far fronte in maniera autonoma ad un flusso del genere, occorre possedere un’infrastruttura paragonabile a quella di cui dispone, abitualmente, un solido Internet provider.

Inoltre, gli attacchi nei confronti delle applicazioni possono essere condotti per giornate intere, oppure per settimane, persino mesi; il traffico supplementare generato nell’occasione può davvero costare, alle vittime, un sacco di soldi. Nel 4° trimestre del 2015, ad esempio, Incapsula ha rilevato un attacco DDoS di livello 7 la cui durata si è addirittura protratta per oltre 100 giorni.

Gli esperti si attendono, ora, che il tentativo da essi individuato trovi ben presto degli imitatori, e consigliano a tutti, pertanto, di riflettere bene sulle misure di protezione da adottare per difendersi da attacchi del genere. A loro parere, per le potenziali vittime si presentano due possibili soluzioni: incrementare la capacità dei canali, oppure mettersi alla ricerca di un servizio specializzato, in grado di bloccare automaticamente gli attacchi DDoS di tipo HTTP/HTTPS flood oltre il perimetro della rete.

Fonte: Incapsula

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *