Akamai Diversity
Home > Web Security > Analisi di un attacco: Attacco DDoS da 363 Gbps

Analisi di un attacco: Attacco DDoS da 363 Gbps

All'inizio dell'anno abbiamo cercato di delineare come alcune delle tendenze più significative del 2015 avrebbero potuto evolvere negli anni a venire. Ci siamo sentiti abbastanza sicuri da prevedere che "ogni organizzazione subirà nel 2016 almeno un incidente che non poteva essere previsto sulla base delle proiezioni nel futuro dei trend attuali".

Eccoci alla fine del 2016, tempo di bilanci. Avevamo ragione?

Il 20 giugno il nostro team si è trovato a mitigare uno dei più vasti attacchi DDoS accertati sferrati quest'anno. L'attacco, diretto a un'organizzazione europea, ha impiegato sei diversi vettori: flood DDoS syn, udp fragment, push, tcp, dns e udp, generando un picco di ampiezza di banda di 363 gigabit al secondo (Gbps) e di 57 milioni di pacchetti al secondo (Mpps)! L'analisi dell'attacco ha rilevato e identificato una tecnica di riflessione dns che abusava di un dominio configurato dnssec per generare una risposta di dimensioni amplificate a causa dei requisiti dell'estensione di sicurezza del Domain Name System (dnssec).

Nel corso degli ultimi trimestri, noi di Akamai abbiamo registrato e mitigato un gran numero di attacchi DDoS di riflessione e amplificazione del dns che abusavano di domini configurati dnssec. Come nel caso degli altri attacchi di riflessione del dns, gli autori degli attacchi continuano a utilizzare strumenti di risoluzione dns aperti per i propri scopi, sfruttandoli efficacemente come botnet condivise.

Le tecniche di attacco e la durata del punto di attacco lasciano dunque ipotizzare l'esistenza sul mercato clandestino DDoS-for-hire di servizi booter disponibili in affitto. Il dominio specificato ricorre infatti in attacchi DDoS contro clienti in più segmenti verticali del settore e si ritiene sia frutto del lavoro di malintenzionati che utilizzano un servizio DDoS-for-hire che sfrutta servizi vps acquistati, proxy pubblici, botnet legacy e la capacità di lanciare più vettori in concomitanza, come quelli impiegati in questo attacco.

A questo link è possibile leggere la storia e l'analisi completa di questo attacco.

Questo, ciò che è successo. Come proteggersi? Sebbene il segreto dei professionisti della sicurezza sia quello di saper identificare il maggior numero possibile di minacce conoscibili, è importante - fondamentale! - saper costruire un programma di difesa abbastanza flessibile da potersi adattare anche alle minacce oggi sconosciute. Avete un piano per la ricostruzione dei vostri server web nell'eventualità di una compromissione? Analizzate tutti i vostri processi e procedure assicurandovi che siano in linea con il vostro obiettivo di mantenere l'azienda al sicuro, anche se dovesse accadere qualcosa di totalmente imprevedibile.

Noi di Akamai abbiamo un centro specializzato, il SOC - centro operativo per la sicurezza, attivo 24 ore su 24, 7 giorni su 7 e la nostra vasta piattaforma di mitigazione basata su cloud è sempre pronta a rispondere.

L'argomento è d'interesse? Ecco un'altra storia di successo (e questa volta si tratta di oltre 620 Giga!!!): https://blogs.akamai.com/2016/10/620-gbps-attack-post-mortem.html

Per accedere ad altri white paper, alert sulle minacce e pubblicazioni di ricerche, visita la nostra sezione Security Research and Intelligence sul sito della community Akamai.

Per scaricare il nostro ultimo Rapporto sullo stato di Internet - Security Q2 2016 visita il sito https://www.akamai.com/it/it/our-thinking/state-of-the-internet-report.

Lascia un commento