Cos’è un attacco denial of service (DoS) e come difendersi

Ci sono aziende che investono in cybersecurity – forse non nel modo giusto – e comunque subiscono le ripercussioni degli attacchi DoS, una delle minacce più insidiose e difficili da affrontare. Perché questa minaccia informatica si basa su un approccio semplice ma brutale: la continuità dell’operazione.

Anche lo scopo è differente rispetto a malware, ransomware e phishing: l’obiettivo di chi porta avanti un attacco denial of service non è rubare dati, ma rendere indisponibili servizi, siti web o applicazioni, causando blocchi operativi e perdite economiche.

Un attacco DoS mira a sovraccaricare una risorsa digitale fino a impedirne il funzionamento. Questo avviene perché il criminale digitale inoltra traffico in entrata su una risorsa IT (un sito internet, un web server, ecc.) fino ad esaurirla, al punto da non poter più erogare i servizi che funzionano con tale risorsa. Credi che sia un problema dedicato solo alle multinazionali nel mirino degli hacktivist e dei cybercriminali? Non è così.

Il traffico collegato agli attacchi DoS contro le aziende che si occupano di intelligenza artificiale è aumentato fino al 347% su base mensile a settembre 2025, e sono stati bloccati da Cloudflare (fonte dei dati) un totale di 8,3 milioni di incursioni, pari a una media di quasi 3.780 minacce all’ora. Il numero di minacce denial of service è cresciuto del 15% su base trimestrale e del 40% su base annua. Forse è il momento di affrontare il tema.

Cos’è un Denial of Service: significato

Un attacco DoS è un tipo di minaccia informatica in cui l’aggressore invia un enorme volume di richieste di accesso a una risorsa – che può essere un server o un servizio online come siti internet o ecommerce. L’infrastruttura IT, sopraffatta dal traffico anomalo, non riesce più a rispondere agli utenti legittimi. 

Esempi pratici di DoS

Il modo migliore per spiegare il concetto di DoS? Fare degli esempi concreti, in questo modo si possono definire i campi d’azione e le risorse di questa minaccia.

Login exhaustion

Uno degli esempi tipici di DoS è l’attacco di tipo login exhaustion: consiste nel bloccare l’accesso a un account senza dover violare il sistema. L’attaccante prende un nome utente valido e prova a fare il login tante volte con password sbagliate, facendo scattare il blocco temporaneo previsto dal sistema di sicurezza.

Ripetendo continuamente questa operazione, l’account rimane sempre bloccato e il vero proprietario non riesce più ad entrare. In questo caso l’attaccante non manda grandi quantità di traffico, ma sfrutta una regola logica dell’applicazione per renderla inutilizzabile.

Slowloris

Ovvero, connessioni lente che bloccano il server. Un cybercriminale apre molte connessioni al server web ma invia i dati lentamente, così il server mantiene quelle connessioni aperte aspettando che arrivino i dati completi. Le risorse si esauriscono e la macchina non riesce più a servire gli utenti reali, diventando lenta o non rispondendo più. Questo meccanismo sfrutta la logica di gestione delle connessioni del server per bloccarlo senza grandi volumi di dati

Abuso di API intensivo

Un malvivente digitale può chiamare un’API per cercare prodotti o scaricare dati migliaia di volte di seguito, specialmente ciò che richiede molte risorse come la ricerca nel database. Anche se ogni singola richiesta sembra legittima, messe tutte insieme consumano la capacità del server e la app non risponde più agli utenti veri. Anche questo è un esempio di DoS che sfrutta la logica dell’applicazione, non solo l’eccesso di traffico.

Differenza tra DoS e DDoS

Anche se spesso confusi, DoS e DDoS non sono la stessa cosa. Spesso troverai questi acronimi utilizzati in modo errato, ecco perché è giusto fare chiarezza prima di approfondire l’argomento:

• DoS: l’attacco proviene da una singola sorgente. Un attaccante usa un solo computer o una sola fonte per cercare di mandare giù un servizio.
• DDoS: migliaia di dispositivi infetti (botnet) attaccano contemporaneamente. Qui abbiamo un botmaster che coordina l’assalto da ogni angolo del mondo.

Gli attacchi DDoS sono più complessi e devastanti, soprattutto se si vogliono ottenere risultati su larga scala. Ma non devi sottovalutare l’alternativa semplice: un DoS può bloccare le attività di una PMI con infrastrutture limitate. E può essere messo in pratica in modo ancora più semplice, senza tante risorse.

Però è anche vero che le differenze sono importanti. Un DoS è limitato dalla banda e potenza di calcolo di un singolo attaccante. Un DDoS può generare centinaia di Gigabit al secondo sommando la forza di migliaia di dispositivi: questo è molto più difficile da affrontare, anche se hai un SOC operativo e skillato.

Tipologie di un attacco denial of service 

Il lavoro proposto dagli hacker che sfruttano la tecnica DoS non è uguale sempre e comunque. Ci sono tipologie di denial of service che portano avanti soluzioni differenti e tecniche particolari. Ecco tre tipi di DoS differenti che devi conoscere bene per evitare problemi alla tua infrastruttura informatica.

Attacchi volumetrici

Il più semplice e brutale: inonda la rete di traffico fino a saturare la banda. La minaccia invia una quantità infinita di dati al malcapitato, intasando completamente la banda. Tecniche comuni: UDP flood che invia pacchetti UDP (un protocollo che non richiede conferma) a porte casuali del server, ICMP flood con richieste ping e amplification attacks. Ovvero, la possibilità di sfruttare server DNS o NTP per moltiplicare il traffico. 

Qui l’attaccante manda piccole richieste falsificando l’indirizzo IP della vittima, e questi server rispondono con pacchetti molto più grandi direttamente al target. In ogni caso, qui l’obiettivo è sviluppare un volume di traffico verso le risorse IT così elevato da risultare ingestibile.

Attacchi al protocollo

Soluzione più sofisticata perché gli hacker sfruttano debolezze nei protocolli di rete per esaurire le risorse del server come i noti SYN flood. Quando apri una connessione TCP ci sono tre passaggi, il famoso three-way handshake. L’attaccante invia migliaia di richieste SYN ma non completa mai la connessione. Il server resta lì ad aspettare, con la memoria piena di connessioni mezze aperte.

Attacchi al livello applicazione

I più subdoli e difficili da rilevare, bersagliano processi specifici escludendo gli utenti reali. Queste attività malevoli simulano traffico legittimo ma mirano a operazioni molto impegnative per le risorse interne. Possono, ad esempio, richiedere ripetutamente pagine pesanti da generare, fare ricerche complesse nel database, scaricare file pesanti in continuazione.

Quali sono gli obiettivi degli attacchi DoS

Perché un hacker dovrebbe investire in questo tipo di attività digitale malevola? E non magari puntare su un altro tipo di attacco informatico più remunerativo dal punto di vista economico come lo spear phishing. Lo scopo principale è squisitamente legato alla necessità di:

•  Bloccare l’operatività aziendale.
•  Impedire l’accesso a clienti e partner.
•  Causare danni reputazionali e finanziari.

Quindi, in parte possiamo dire che c’è un aspetto ideologico dietro gli attacchi DoS. Le minacce vengono usate per danneggiare siti istituzionali o governativi con operazioni mirate, come avviene spesso con i portali che richiedono al pubblico di iscriversi. 

Ma c’è anche la componente economica, quella delle estorsioni che esigono il pagamento pena l’interruzione del servizio. Magari quando c’è il picco di visite e clienti. Insomma, tra le motivazioni possiamo trovare attivismo politico, estorsioni ma anche vendette personali e black hat hacking verso concorrenti.

Conseguenze dei DoS per una PMI

Appare chiara, a questo punto, la necessità di focalizzare l’attenzione sulle conseguenze per una piccola e media impresa. Ovvero la classica PMI italiana. Per un imprenditore o un responsabile IT, le conseguenze di un attacco DoS possono essere significative:

• Interruzione dei servizi offerti (quindi venduti) al pubblico.
• Impossibilità per clienti e dipendenti di accedere alle applicazioni.
• Perdita diretta di fatturato, soprattutto per e-commerce e servizi online.
• Blocchi dei processi aziendali che dipendono da software gestionali.
• Costi imprevisti di ripristino e intervento tecnico.
• Danni reputazionali e calo della fiducia da parte dei clienti.

In estrema sintesi: un attacco del genere  – sia DoS che DDoS – è da evitare perché le conseguenze possono essere devastanti. Soprattutto se gestisci dati critici, applicazioni legate a eventi particolari o con una visibilità pubblica importante. Ecco perché molte aziende preferiscono affidare ai professionisti della cybersecurity l’intera attività per evitare questi problemi.

Come funziona un attacco DoS?

Passiamo alla parte tecnica: quali sono i principi che rendono eseguibile questa minaccia informatica così pericolosa? Un’attività di denial of service sfrutta la saturazione delle risorse come banda di rete, CPU, memoria, porte di comunicazione o servizi applicativi. Quando una di queste risorse viene portata oltre i propri limiti, il sistema smette di rispondere. Causando tutti i problemi collegati al downtime.

Chiaramente, per raggiungere questo esaurimento delle risorse non si procede manualmente, ma da una singola postazione. L’attaccante può inviare simultaneamente un gran numero di richieste a un server. Che rallenta fino a diventare inutilizzabile o crashare completamente.

Come procede l’attacco?

Il cybercriminale (noto come botmaster o bot-herder) invia un comando, spesso tramite un server C&C – Command and Control. Le procedure iniziano a bombardare il target. Alcuni attacchi sono costanti, altri a ondate per confondere i sistemi di difesa. Molti DoS moderni mescolano anche traffico legittimo con attacchi mirati per complicare ulteriormente le cose.

Quali sono gli effetti di questi attacchi?

Il sito web colpito diventa irraggiungibile, nel migliore dei casi ci troviamo di fronte a server lenti o instabili – primo sintomo di un attacco DoS – e applicazioni gestionali bloccate. Un caso famoso (ma in questo caso parliamo di DDoS) fu l’attacco noto come Mirai. 

Installato su un gran numero di dispositivi IoT, la botnet ha fatto da vettore per svariati attacchi DoS che hanno provocato l’inaccessibilità di diversi siti web di alto profilo come GitHub, Twitter, Reddit, Netflix, Airbnb, Amazon, New York Times. 

Recentemente, la botnet Aisuru con circa 4 milioni di host infetti a livello globale ha scatenato attacchi DoS ipervolumetrici che hanno superato l’invio al secondo di 1 terabit (Tbps) e 1 miliardo di pacchetti (Bpps). Il numero di questi attacchi è aumentato del 54% su base trimestrale (QoQ), con una media di 14 attacchi ipervolumetrici al giorno. 

Come proteggersi da un attacco DoS

In primo luogo bisogna effettuare un lavoro di monitoraggio per capire se si sta subendo un attacco DoS. Prima che si blocchi tutto, è importante ascoltare i sintomi che rimandano a una possibile situazione di rischio. Ecco i punti da valutare:

• Prestazioni di rete insolitamente lente (apertura di file o accesso a siti web).
• Sito web non raggiungibile sia dai propri computer che da quelli esterni.
• Importante aumento del numero di e-mail di spam ricevute (mail bomb).
• Disconnessione di una connessione internet wireless o cablata.
• Negazione a lungo termine dell’accesso al web o di qualsiasi servizio Internet.
• Applicazioni bloccate o che non rispondono più ai comandi.

Chi registra uno o più sintomi tipici di un attacco DoS deve mettere in campo una combinazione di strumenti e competenze specializzate. Il primo punto è quello del contrasto proattivo. Quali sono le soluzioni più efficaci contro la minaccia DoS?

Firewall di nuova generazione (NGFW)

I firewall NGFW vanno oltre il semplice blocco per IP ma analizzano il traffico in profondità guardando i pattern di comportamento. Riescono a distinguere una richiesta HTTP legittima da una malevola esaminando da dove arriva, cosa desidera e come lo chiede. 

Possono anche implementare rate limiting e tecniche di challenge-response tipo CAPTCHA per verificare che dall’altra parte ci sia un umano vero. Il limite? Se l’attacco è abbastanza massiccio, anche il firewall può andare in sovraccarico.

Soluzioni cloud e CDN

Le Content Delivery Network (CDN) tipo Cloudflare o Akamai sono una difesa importante contro i DoS. Funzionano mettendo il tuo sito dietro una rete gigantesca di server distribuiti globalmente. Quando arriva un attacco DoS, il traffico viene diviso su decine di data center in tutto il mondo invece che colpire il tuo singolo server. 

I load balancer poi distribuiscono le richieste legittime tra i vari server, evitando che uno solo si sobbarchi tutto il peso. La CDN fa anche caching dei contenuti statici, quindi molte richieste vengono servite senza nemmeno toccare il server originale. 

Monitoraggio proattivo

Devi monitorare il traffico per intercettare anomalie prima che sia troppo tardi. Sistemi di monitoraggio come Nagios, Prometheus o soluzioni più avanzate con machine learning analizzano numero di richieste al secondo, latenza, utilizzo CPU/memoria, pattern geografici del traffico. Se alle 3 di notte ricevi improvvisamente 50 volte il traffico normale da una posizione geografica particolare, probabilmente, è un red flag. L’idea è intervenire nei primi minuti dell’attacco configurando automaticamente regole di blocco.

Disaster recovery e infrastrutture ridondate

Devi avere server di backup in location geografiche diverse, database replicati in tempo reale, configurazioni che permettono di switchare rapidamente su infrastrutture alternative. 

Se il tuo data center principale va giù, in pochi minuti reindirizzi il traffico su quello secondario. Alcune aziende usano architetture multi-cloud (server sia su AWS che su Azure che su Google Cloud) proprio per non dipendere da un singolo provider. 

Quando rivolgersi a un partner IT specializzato

Molti cedono all’illusione di poter affrontare il lavoro di gestione della sicurezza aziendale con le risorse interne. A volte è possibile ma così si rinuncia a una serie di benefici che riguardano la gestione del problema da parte di un partner affidabile in ambito IT che può:

• Eseguire analisi delle vulnerabilità.
• Configurare firewall e sistemi anti-DoS.
• Implementare soluzioni cloud resilienti.
• Monitorare la rete 24/7.
• Intervenire rapidamente in caso di attacco.

Non tutti i team di cyber sicurezza in azienda possono garantire questi standard. Ecco perché noi consigliamo di esternalizzare, se necessario: per PMI e team IT interni con risorse limitate, questa scelta garantisce continuità operativa e sicurezza costante.

Domande frequenti sul Denial of Service (DoS)