Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Attacchi a livello di infrastruttura
*Gli attacchi più comuni, DDoS gli attacchi di riflessione e le inondazioni del protocollo User Datagram Protocol (UDP), sono attacchi a livello di infrastruttura. SYN* Un utente malintenzionato può utilizzare uno di questi metodi per generare grandi volumi di traffico che possono inondare la capacità di una rete o bloccare risorse su sistemi come server, firewall, sistema di prevenzione delle intrusioni () o load balancer. IPS Sebbene questi attacchi possano essere facili da identificare, per mitigarli efficacemente è necessario disporre di una rete o di sistemi in grado di aumentare la capacità più rapidamente rispetto al flusso di traffico in entrata. Questa capacità aggiuntiva è necessaria per filtrare o assorbire il traffico di attacco, liberando il sistema e l'applicazione per rispondere al traffico legittimo dei clienti.
# UDPattacchi di riflessione
UDPgli attacchi di riflessione sfruttano il fatto che UDP si tratta di un protocollo stateless. Gli aggressori possono creare un pacchetto di UDP richiesta valido che elenchi l'indirizzo IP del bersaglio dell'attacco come indirizzo IP di origine. UDP L'aggressore ha ora falsificato, o UDP falsificato, l'IP di origine del pacchetto di richiesta. Il UDP pacchetto contiene l'IP di origine contraffatto e viene inviato dall'aggressore a un server intermedio. Il server viene indotto con l'inganno a inviare i pacchetti di UDP risposta all'IP della vittima presa di mira anziché all'indirizzo IP dell'aggressore. Il server intermedio viene utilizzato perché genera una risposta molte volte più grande del pacchetto di richiesta, amplificando in modo efficace la quantità di traffico di attacco inviato all'indirizzo IP di destinazione.
Il fattore di amplificazione è il rapporto tra la dimensione della risposta e la dimensione della richiesta e varia a seconda del protocollo utilizzato dall'aggressore: Network Time Protocol (NTP)DNS, Simple Service Directory Protocol (SSDP), Connectionless Lightweight Directory Access Protocol (CLDAP), [Memcached](https://memcached.org/), Character Generator Protocol (CharGen) o Quote of the Day (QOTD).
Ad esempio, il fattore di amplificazione per DNS può essere compreso tra 28 e 54 volte il numero originale di byte. Pertanto, se un utente malintenzionato invia un payload di richiesta di 64 byte a un DNS server, può generare oltre 3400 byte di traffico indesiderato verso il bersaglio dell'attacco. UDPgli attacchi di riflessione sono responsabili di un volume di traffico maggiore rispetto ad altri attacchi. La figura seguente illustra la tattica di riflessione e l'effetto di amplificazione.
![\[Un diagramma che mostra un attacco di riflessione UDP\]](http://docs.aws.amazon.com/it_it/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png)
Va notato che gli attacchi riflessi, sebbene forniscano agli aggressori un'amplificazione «gratuita», richiedono la capacità di spoofing dell'IP e poiché sempre più provider di rete adottano la funzionalità Source Address Validation Everywhere (SAVE) oppure [BCP38](https://www.ietf.org/rfc/bcp/bcp38.html), questa funzionalità viene rimossa, richiedendo ai provider di servizi di cessare gli attacchi di riflessione o di trasferirsi presso data center e DDoS provider di rete che non implementano la convalida dell'indirizzo sorgente.
# SYNattacchi di alluvione
Quando un utente si connette a un servizio Transmission Control Protocol (TCP), ad esempio un server Web, il client invia un SYN pacchetto. Il server restituisce un pacchetto di conferma della sincronizzazione (SYN-ACK) e infine il client risponde con un pacchetto di conferma (), che completa l'handshake a tre vie previsto. ACK L'immagine seguente illustra questa tipica stretta di mano.
![\[Un diagramma che mostra una stretta di mano a tre vie SYN\]](http://docs.aws.amazon.com/it_it/whitepapers/latest/aws-best-practices-ddos-resiliency/images/syn-three-way-handshake.png)
In un attacco SYN flood, un client malintenzionato invia un gran numero di SYN pacchetti, ma non invia mai i pacchetti finali ACK per completare le strette di mano. Il server resta in attesa di una risposta alle TCP connessioni semiaperte e l'idea è che l'obiettivo alla fine esaurisca la capacità di accettare nuove TCP connessioni, il che impedisce ai nuovi utenti di connettersi al server, tuttavia l'impatto effettivo è più sfumato. Tutti i sistemi operativi moderni implementano di default SYN i cookie come meccanismo per contrastare l'esaurimento delle tabelle di stato causato dagli SYN attacchi di inondazione. Quando la lunghezza della SYN coda raggiunge una soglia predeterminata, il server risponde con un SYN - ACK contenente un numero di sequenza iniziale preimpostato, senza creare una voce nella sua coda. SYN Se poi il server riceve un messaggio ACK contenente un numero di riconoscimento correttamente incrementato, è in grado di aggiungere la voce alla sua tabella degli stati e procedere normalmente. L'impatto effettivo delle SYN inondazioni sui dispositivi bersaglio tende a essere la capacità e l'CPUesaurimento della rete, tuttavia i dispositivi intermedi con stato come i firewall (o il [tracciamento delle connessioni dei gruppi di EC2 sicurezza) possono risentire dell'esaurimento della tabella di stato e interrompere nuove connessioni](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html). TCP
# TCPriflesso del riquadro centrale
Questo vettore di attacco relativamente nuovo è stato divulgato per la prima volta in un [white paper accademico](https://www.usenix.org/system/files/sec21fall-bock.pdf) nell'agosto 2021, che spiegava come la TCP mancata conformità dei firewall nazionali e di quelli disponibili in commercio potesse indurli a diventare un vettore di amplificazione. TCP Abbiamo visto questi attacchi «in natura» dall'inizio del 2022 e continuiamo a vederli ancora oggi. Il fattore di amplificazione varia a seconda dei diversi modi in cui i fornitori hanno implementato questa «funzionalità», ma può superare l'amplificazione UDP Memcached.