Alla fine di agosto, la rete Azure di Microsoft è riuscita a sventare un attacco DDoS con una portata di 2,4 terabit al secondo: il più grande di sempre. L’attacco mastodontico è stato indirizzato a un singolo cliente Azure in Europa.

Con il termine DDoS (Distributed Denial of Service) si intende un attacco informatico che mira a saturare le richieste che una struttura, come un sito web, può sostenere. Il superamento delle richieste o della capacità di banda del server impedisce alla risorsa colpita di funzionare correttamente. Lo scopo dell’attacco può essere proprio quello di interrompere un servizio in rete rendendolo inutilizzabile, oppure di tenerlo bloccato con questo colossale bombardamento di richieste finché non viene pagato un riscatto.

A differenza del semplice DoS, il DDoS è un attacco di tipo distribuito, che coinvolge cioè molteplici fonti sparse anche geograficamente e che, grazie a questa potenza di fuoco, può fare molto più male.

L’attacco di 70.000 bot distribuiti nella regione Asia Pacifica

L’attacco DDoS sventato da Azure a fine agosto è stato effettuato utilizzando una botnet di circa 70.000 bot situati principalmente nella regione Asia Pacifica, e in Paesi quali Malesia, Vietnam, Taiwan, Giappone e Cina, ma ha visto anche attori malevoli negli Stati Uniti. L’attacco è stato indirizzato contro un unico cliente di Azure in Europa che Microsoft non ha voluto citare.

La botnet ha messo in piedi un attacco DDoS di tipo reflection UDP, cioè un attacco che sfrutta la particolarità “stateless” del protocollo UDP. Il protocollo di comunicazione UDP è “privo di stato”, cioè non conserva lo stato delle richieste precedenti e può continuare a inviare pacchetti su richiesta senza una verifica dello stato della connessione.

Il tipo di attacco si chiama “reflection” perché gli attaccanti inviano dei pacchetti di dati tramite il protocollo UDP a server inconsapevoli usando come indirizzo sorgente quello del server che si vuole attaccare. Fingono cioè di essere la vittima. I server “reflector” che hanno ricevuto la richiesta rispondo inconsapevolmente all’indirizzo da cui è arrivata, e che non corrisponde a quello degli attaccanti, ma quello del server preso di mira. A quel punto, parte l’amplificazione di richieste che mette in ginocchio la risorsa colpita.

Il bersaglio: un solo cliente Azure europeo

Il DDoS di fine agosto destinato al cliente europeo Azure è arrivato in tre brevi ondate nell’arco di dieci minuti, con la prima gigantesca ondata da 2,4 Tbps, la seconda da 0,55 Tbps, e la terza da 1,7 Tbps.

Azure è riuscita a mitigare l’attacco assorbendo le finte richieste dell’attacco DDoS grazie a una piattaforma appositamente pensata per questo tipo di eventi, e che è in grado di accorgersi immediatamente se c’è qualcosa che non va perché capisce che c’è una deviazione dalla base tipica di richieste per un determinato server.

Prima di questo attacco, il DDoS con l’ondata più grande è stato quello rivolto alla divisione AWS di Amazon nel febbraio del 2020 che non è andato tanto lontano da quello mitigato da Azure, visto che aveva sparato un attacco da 2,3 Tbps.

Fonte: dday.it