DDoS potenti grazie all’amplificazione di RDP

DDoS

Oggi non parleremo di una tecnologia open-source come nostro solito, ma spiegheremo – prendendo spunto da una notizia – il concetto di Distribuited Denial of Service (DDoS).

Esistono diverse tipologie di attacco informatico, ma uno dei più diffusi mira a impedire che un server fornisca i suoi servizi: non potendo collegarsi più a un sito, questo non esisterà più (creando un danno ai proprietari). Questa metodologia di attacco è chiamata Denial of Service (DoS – negazione del servizio).
Da qualche tempo gli attacchi non sono più lanciato da un singolo computer alla volta, ma da intere reti (botnet) che – più o meno volontariamente – permettono dei DoS distribuiti (DDoS).

L’arma è la saturazione delle risorse offerte dal servizio che si vuole attaccare: oltre un certo numero, senza particolari contromisure, saranno così tante da non poter essere soddisfatte. Nessuna. Oppure la banda disponibile sarà così intasata di richieste iniziali da non lasciar passare le risposte.
E proprio per ottenere tali effetti spesso si sfruttano dei servizi che permettono di amplificare l’attacco: da un piccolo messaggio iniziale, si ricevono molte risposte o una risposta molto grande.

L’ultimo esempio è stato segnalato da un’azienda internazionale di sicurezza, Netscout, che chiama in causa il Remote Desktop Protocol (RDP) e – in particoalre – la sua implementazione UDP.

La tecnologia RDP è stato sviluppato da Microsoft come soluzione per permettere l’uso in remoto di un computer, in sicurezza: l’autenticazione e la sessione sono criptati. Sempre più spesso, il computer in questione è una macchina virtuale, in modo che l’utente possa ritrovare il proprio ambiente che si stia collegando da casa o da uno dei terminali dell’ufficio (in genere, pratica indicata come VDI – ma non divaghiamo).
Il protocollo può usare connessioni sia TCP che UDP. In particolare, queste ultime non hanno un concetto di “stato della connessione” e prevedono collegamenti unidirezionali: il server risponde all’indirizzo IP ed alla porta del mittente.
Le connessioni TCP invece tengono costantemente traccia dello stato della connessione, con una vera e propria fase iniziale di riconoscimento reciproco.

Perché tutta questa digressione? Semplicemente per rendere chiaro ed evidente come con connessioni UDP è facile farsi passare per un altro: basta mettere nella “casella mittente” delle richieste l’indirizzo di qualcun altro.
Netscout ha scoperto che ultimamente viene sfruttata una caratteristica del protocollo RDP per ottenere l’amplificazione degli attacchi: la richiesta iniziale è quasi 86 volte più piccola della risposta. Se un attaccante dovesse trovare un server RDP esposto, facendo una richiesta di 10 byte otterrebbe una risposta di 860: una discreta moltiplicazione.

Ricordate cosa dicevamo dell’UDP? È facile farsi passare per qualcun altro.
Se di server esposti ne trovassi due, e fossero entrambi su UDP, potrei fare due richieste da 10 byte, una ciascuno, e indicarmi come l’altro server: quella risposta di 860 byte non arrivere più a me, ma se la manderebbero i due server tra loro.

Abbiamo anche già detto che gli attacchi sono spesso di molte richieste, distribuite fra molti computer attaccanti: potete immaginare il traffico generato (e subito) da eventuali obbiettivi di questo tipo di attacchi.

La soluzione è semplice: permettere il servizio RDP solo dietro una Virtual Private Network (VPN) sicura, o almeno disabilitare del tutto il servizio UDP. Ricordando anche che questo genere di disservizio impatta tutta Internet: più dati inutili in giro vuol dire meno risorse a disposizione delle richieste legittime!

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

Fonte: https://www.miamammausalinux.org/2021/01/ddos-potenti-grazie-allamplificazione-di-rdp/

Visited 1 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.