Attacco DDoS contro siti italiani: analisi del CSIRT

Attacco DDoS contro siti italiani: analisi del CSIRT

Il CSIRT ha descritto la tecnica utilizzata dal gruppo Killnet per effettuare un attacco DDoS contro diversi siti italiani, tra cui quello del Senato.
Il CSIRT ha descritto la tecnica utilizzata dal gruppo Killnet per effettuare un attacco DDoS contro diversi siti italiani, tra cui quello del Senato.

L’11 maggio diversi siti italiani, tra cui quello del Senato, sono stati colpiti da un attacco DDoS effettuato dal collettivo filo-russo Killnet. Il Computer Security Incident Response Team (CSIRT) dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha fornito informazioni dettagliate sull’accaduto, consigliando le azioni da attuare per proteggere i sistemi informatici.

Analisi dell’attacco DDoS

L’attacco DDoS (Distributed Denial of Service) è avvenuto contro i siti di Senato, Istituto Superiore di Sanità, Infomedix, Aci e Scuola alti studi di Lucca (anche il sito della Difesa era offline, ma si è trattato di un intervento di manutenzione programmata). I cybercriminali hanno utilizzato un metodo differente da quello tradizionale. Invece di effettuare milioni di richieste contemporanee (spesso tramite una botnet), il gruppo Killnet ha sfruttato la tecnica nota come Slow HTTP.

Se vengono inviate richieste HTTP incomplete o a bassa velocità, il server alloca le risorse per attendere tutti i dati. Ma il server può gestire un numero limitato di richieste concorrenti, quindi le connessioni vengono saturate quando le risorse finiscono e si verifica il DDoS. Questa tecnica è più efficace perché l’attacco non viene rilevato dai sistemi di protezione. L’attacco è stato effettuato con richieste HTTP GET senza la sequenza CRLF (Carriage Return + Line Feed) che indica la fine delle comunicazioni. Il server mantiene quindi la connessione attiva e le risorse non vengono liberate.

Il CSIRT ha pubblicato una serie di azioni per mitigare gli effetti di simili attacchi, sia generali che per singoli web server. Una di esse prevede l’utilizzo di Web Application Firewall e Next Generation Firewall. Una delle soluzioni più complete sul mercato è Bitdefender GravityZone.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 mag 2022
Link copiato negli appunti