login LOGIN
CHIUDI chiudi
Il mio profilo

mostra
Hai dimenticato la password?
Inserisci l'indirizzo email di registrazione per reimpostare la password.
Segui le istruzioni che ti abbiamo inviato per posta elettronica.

Attacchi DDoS da record: cosa sono e come difendersi

Ascolta l'articolo

Una vulnerabilità zero-day del protocollo HTTP/2 ha reso possibili gli attacchi DDoS di livello 7 più pericolosi di sempre. Ecco cosa fare per tutelare i server

attacco hacker ddos Shutterstock

Nelle ultime settimane sono stati registrati gli attacchi DDoS più grandi e pericolosi di sempre. E la maggior parte di questi dipende da un’unica vulnerabilità HTTP/2.

La notizia di una nuova vulnerabilità zero-day nel protocollo HTTP/2 sta preoccupando gli utenti di tutto il mondo. Anche perché a dare l’allarme sono stati dei veri e propri colossi internazionali, quali Cloudflare, Google, Microsoft e Amazon.

Questa vulnerabilità è stata denominata HTTP/2 Rapid Reset. Si tratta di un’accelerazione di caricamento, che permette di effettuare un gran numero di richieste simultanee a un singolo sito web. Il tutto utilizzando un’unica connessione

Stando a Cloudflare gli attacchi DDoS hanno portato a milioni di richieste, che venivano inviate e cancellate automaticamente. In questo modo si è generato un sovraccarico dei server tale da portarli offline. 

Il record di richieste registrato da Google corrisponde a quasi 400 milioni di richieste al secondo: una cifra monstre, sette volte superiore a qualsiasi altro attacco di questo tipo mai registrato. 

Come funziona l’attacco DDoS di livello 7

L’attacco DDoS cui si faceva riferimento nei capoversi precedenti è considerato di livello 7. Per effettuarlo bisogna ricorrere a una botnet che può essere composta anche da decine di migliaia di macchine

Le macchine utilizzano la sopracitata tecnica Rapid Reset, che sfrutta una vulnerabilità HTTP/2 zero-day di nome CVE-2023-44487. Infatti è proprio il protocollo a velocizzare il caricamento delle pagine: la funzionalità si chiama stream multiplexing e la velocizzazione viene generata dalle richieste simultanee inviate tramite un'unica connessione TCP

Sempre il protocollo invia poi una comunicazione al server contenente il frame RST_STREAM: in questo modo viene richiesto che la comunicazione appena inviata venga subito cancellata.

Il Rapid Reset consiste in un ciclo continuo di invio e cancellazione di richieste, fino a raggiungere l’esaurimento delle risorse del server: una su tutte la sua CPU. In questo modo si arriva rapidamente o a un blocco della pagina, o in alternativa a un blocco del servizio.

Come difendersi dall’attacco DDoS di livello 7

Cloudflare, Google, Microsoft e Amazon hanno sviluppato delle patch da installare sui server e i servizi cloud, che permettono di contrastare gli attacchi DDoS. 

Gli utenti possono inoltre utilizzare le chiavi di registro per limitare le richieste al server. O in alternativa disattivare il protocollo HTTP/2, accettando una riduzione contestuale delle prestazioni sul web. 

Attenzione però, queste pratiche potrebbero non difendere da tutti gli attacchi DDoS. Esistono infatti delle varianti all’attacco base di livello 7.

Una di queste prevede che i flussi di richieste non vengano cancellati nell’immediato. Ma che piuttosto vengano aperti dei batch di flussi, che si annullano soltanto nel momento in cui ne vengono creati di nuovi. 

Un’altra variante tralascia la fase di cancellazione per concentrarsi soltanto sull’invio di flussi simultanei di richieste. In questo caso l’obiettivo è semplicemente andare al di là delle possibilità del server.

Per saperne di piùSicurezza informatica: guida alla navigazione sicura sul web

A cura di Cultur-e
Segui le ultime notizie sul nostro canale Whatsapp
Immagine principale del blocco
Segui le ultime notizie sul nostro canale Whatsapp
Fda gratis svg
Iscriviti al canale gratuito

Iscriviti
all'area personale

Per ricevere Newsletter, scaricare eBook, creare playlist vocali e accedere ai corsi della Fastweb Digital Academy a te dedicati.