bg-blog-articles

Che cos’è un attacco SSL Flood e come prevenirlo?

Cos'è un attacco SSL Flood

Probabilmente conosci gli attacchi DDoS (Distributed Denial of Service), che inondano un server o una rete bersaglio con un traffico sovrabbondante proveniente da più fonti, rendendolo inaccessibile agli utenti legittimi.

Ma hai considerato la particolarità di un attacco SSL flood? Questo attacco informatico manipola i protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security), la misura di protezione standard per stabilire connessioni criptate tra un server web e un browser.

Inondando il server SSL/TLS di un sistema con richieste di sessione, un aggressore può esaurire le risorse del server e causare un denial of service. Si tratta di un tipo di attacco sofisticato e insidioso. La domanda è: come puoi prevenirlo? Scopriamo insieme la risposta.


Indice dei contenuti

  1. Che cos’è un attacco SSL Flood?
  2. Come funzionano gli attacchi SSL Flood?
  3. Tipi di attacchi SSL Flood
  4. Come proteggersi dagli attacchi SSL Flood?

Ottieni i certificati SSL oggi stesso

Che cos’è un attacco SSL Flood?

Un SSL flood Attack, spesso riscontrato nell’ambito della sicurezza di rete, è un tipo di attacco DDoS in cui un numero massiccio di richieste di handshake SSL sovraccarica le risorse di un server, rendendolo non disponibile per gli utenti.

Ora ti chiederai: cos’è un handshake SSL? È un protocollo utilizzato per stabilire la sicurezza di una connessione di rete. Gli hacker sfruttano l’handshake per esaurire le risorse del server. Ecco perché un attacco SSL/TLS flood è noto anche come attacco SSL exhaustion.

In particolare, prende di mira i protocolli SSL/TLS, che creano connessioni sicure tra client e server. Di conseguenza, i criminali informatici ostacolano la capacità del server di rispondere alle richieste oneste.

Un attacco di questo tipo può essere estremamente dannoso. Non solo è in grado di sovraccaricare un server, ma può anche distruggere la sua capacità di proteggere le connessioni. In un mondo che fa sempre più affidamento sulle transazioni online, un attacco SSL flood potrebbe potenzialmente compromettere i dati sensibili.


Come funzionano gli attacchi SSL Flood?

Analizziamo passo dopo passo un classico attacco SSL flood:

  1. Iniziazione: L’attaccante invia al server un messaggio iniziale di “ciao”, dando inizio al processo di handshake SSL.
  2. Inizio dell’handshake: Dopo aver ricevuto il messaggio “hello”, il server inizia l’handshake SSL generando una coppia di chiavi pubbliche e private e inviando un certificato.
  3. Esecuzione dell’attacco: Invece di completare l’handshake, l’attaccante invia continuamente nuovi messaggi “hello” senza avanzare nel processo di handshake.
  4. Drenaggio delle risorse: Ogni nuovo messaggio “hello” innesca il server per allocare le risorse per un nuovo handshake SSL. Poiché l’attaccante non completa l’handshake, queste risorse rimangono allocate e inutilizzate.
  5. Ripetizione: L’attaccante ripete questo processo rapidamente, sovraccaricando il server con numerose strette di mano SSL non concluse.
  6. Esaurimento delle risorse: Il costante afflusso di richieste SSL non completate esaurisce le risorse critiche del server, come la CPU e la memoria.
  7. Interruzione del servizio: Con le risorse prosciugate, il server fatica a gestire le richieste legittime, causando un’interruzione del servizio, un rallentamento o un crash completo del sistema.

Tipi di attacchi SSL Flood

Ora sai come funzionano gli attacchi SSL flood, quindi esploriamo i diversi tipi. In particolare, esamineremo la botnet PushDo e l’attacco THC-SSL-DoS, entrambi noti attacchi di esaurimento SSL.

Attacco alla botnet PushDo

La rete bot PushDo, nota come PushBot o Cutwail, è emersa per la prima volta intorno al 2007. Funziona principalmente infettando i computer con malware, trasformandoli in bot sotto il controllo di un server centrale di comando e controllo (C&C). Gli hacker utilizzano la botnet per varie attività dannose, tra cui campagne di email spam, attacchi DDoS e attacchi SSL flood.

PushDo utilizza una tecnica chiamata fast-flux DNS per cambiare rapidamente gli indirizzi IP associati ai suoi server di comando e controllo. Questa tecnica di DNS dinamico rende difficile per i difensori rintracciare e bloccare l’infrastruttura della botnet, poiché gli indirizzi IP cambiano continuamente, facendo sembrare che la botnet si muova su Internet.

Genera un traffico fittizio o ingannevole, che maschera le sue attività malevole. Questa tattica complica gli sforzi di rilevamento in quanto inonda il server bersaglio con traffico dall’aspetto legittimo insieme all’attacco SSL flood, rendendo più difficile per i difensori distinguere il traffico legittimo da quello ostile.

Risparmia il 10% sui certificati SSL

Attacchi THC-SSL-DoS

L’attacco THC-SSL-DoS, sviluppato dal gruppo di hacker “The Hacker’s Choice”, è un potente attacco SSL flood che prende di mira anche il meccanismo di handshake SSL. Inonda i server con una raffica di richieste di handshake SSL, portando infine a una condizione di denial of service. L’attacco sfrutta lo strumento THC-SSL-DoS, sfruttando le vulnerabilità dei protocolli SSL/TLS.

Operando attraverso la creazione di più connessioni SSL semiaperte, lo strumento THC-SSL-DoS mette in ginocchio i server consumando una notevole potenza di calcolo senza completare il processo di handshake.

Man mano che queste connessioni semiaperte si accumulano, prosciugano le risorse di CPU e memoria del server. Alla fine, il server raggiunge la capacità di gestire nuove connessioni e gli utenti non riescono a stabilire connessioni SSL a causa dell’esaurimento delle risorse.


Come proteggersi dagli attacchi SSL Flood?

Implementa una solida strategia di sicurezza per proteggere il tuo sistema dagli attacchi SSL flood. Innanzitutto, aggiorna regolarmente le librerie SSL/TLS e il software del server per assicurarti che non siano soggetti a vulnerabilità note. È anche importante configurare i tuoi server per gestire correttamente le rinegoziazioni SSL.

Per un ulteriore livello di protezione, prendi in considerazione l’installazione di un dispositivo di offloading SSL. Questo strumento intercetta le richieste SSL in entrata, scaricando il processo di handshake SSL dal tuo server e riducendo l’impatto di un attacco.

L’applicazione del rate limiting sul tuo server è un’altra eccellente misura preventiva. Può aiutare a controllare il numero di handshake SSL che il tuo server deve elaborare in un determinato lasso di tempo, evitando che venga sopraffatto da una marea di richieste.

Infine, affidati a un servizio di protezione DDoS. Questi servizi possono rilevare e bloccare il traffico anomalo prima che raggiunga il tuo sistema.


In fondo, la linea di fondo

Gli attacchi SSL flood si concentrano sul sovraccarico delle risorse del server, provocando incidenti di denial of service piuttosto che causando direttamente violazioni dei dati. Questi attacchi esauriscono le risorse del server, rendendo difficile o impossibile l’accesso ai servizi da parte degli utenti.

Tuttavia, in alcuni casi, gli incidenti prolungati di negazione del servizio potrebbero contribuire indirettamente alle violazioni della sicurezza se impediscono di rispondere tempestivamente ad altre minacce alla sicurezza o se lasciano i sistemi vulnerabili a causa dell’esaurimento delle risorse.

Pertanto, sebbene la preoccupazione principale degli attacchi SSL flood sia l’esaurimento del server e la negazione del servizio, se non vengono affrontati adeguatamente possono esserci implicazioni indirette per la sicurezza dei dati.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.