DDoS

DDoS: contro 31 Tbps non basta una scatola in sala server

A cura di:Redazione Ore

DDoS è una di quelle minacce che si dà per conosciute da vent’anni e che intanto è cambiata sotto gli occhi di tutti, fino a rendere obsoleto il modo in cui molte organizzazioni pensano di difendersi. Il dato che fotografa il salto è uno solo: secondo il report DDoS del quarto trimestre 2025 di Cloudflare, a novembre 2025 è stato registrato un attacco da 31,4 Terabit al secondo, durato appena trentacinque secondi e attribuito alla botnet Aisuru-Kimwolf. Per dare la misura, il record di banda è stato battuto più volte nel corso del 2025, e la dimensione degli attacchi più grandi è cresciuta di oltre il 700 per cento rispetto ai picchi di fine 2024. Sono numeri della rete di Cloudflare, che instrada e protegge una quota consistente del traffico web mondiale: una fotografia ampia ma, per sua natura, parziale del fenomeno.

La conseguenza è semplice e scomoda: contro volumi simili, l’idea di fermare un attacco con un apparato installato nella propria sala server è finita. Nessuna organizzazione, per quanto attrezzata, può disporre di più banda di una botnet globale fatta di milioni di dispositivi infetti. La difesa dai DDoS non è più una questione di quale scatola comprare, ma di dove e come si assorbe la piena. È un cambio di paradigma che molti non hanno ancora metabolizzato.

La scala è cambiata, e cambia tutto

Per capire perché il vecchio modello non regge, bisogna guardare a chi genera questi attacchi. La potenza di fuoco non viene più da poche macchine, ma da eserciti di dispositivi compromessi: la botnet Aisuru-Kimwolf è, secondo il report del quarto trimestre, una vasta raccolta di apparecchi infetti stimata tra uno e quattro milioni di unità, in prevalenza televisori Android non aggiornati, trasformati in armi all’insaputa dei proprietari. La famiglia discende dal ceppo Mirai, come documentano le analisi sulla sua genealogia, ma il motore del trimestre sono soprattutto questi dispositivi di consumo. Nel complesso, sempre secondo Cloudflare, gli attacchi DDoS sono aumentati del 121 per cento nel 2025, con una media di migliaia di attacchi mitigati automaticamente ogni ora.

Quando la sorgente è distribuita su milioni di indirizzi in tutto il mondo, la matematica della difesa cambia di segno. Un apparato perimetrale ha la banda del collegamento su cui è installato; un attacco volumetrico moderno arriva con un ordine di grandezza in più. Filtrare in casa significa, nella migliore delle ipotesi, vedere il proprio collegamento saturarsi prima ancora che il filtro entri in azione. La battaglia, semplicemente, non si combatte più sul perimetro dell’organizzazione, ma molto più a monte, dove esiste capacità sufficiente per reggere l’urto.

Assorbire invece di filtrare in casa: anycast e scrubbing

La difesa moderna dai DDoS volumetrici si fonda su due idee. La prima è l’anycast: lo stesso indirizzo viene annunciato da molti nodi geograficamente distribuiti, così che il traffico d’attacco, invece di convergere su un unico punto, si disperda su decine di sedi che lo assorbono ciascuna per la propria parte. La seconda è lo scrubbing: il traffico viene fatto passare attraverso centri di pulizia che scartano i pacchetti malevoli e restituiscono alla rete di destinazione solo quelli legittimi. Una rete di distribuzione dei contenuti con instradamento anycast assorbe l’attacco al margine, su molti nodi, prima che raggiunga l’infrastruttura di origine.

Questa architettura ha una logica di scala che le linee guida pubbliche descrivono bene. La guida della CISA sulla risposta agli attacchi DDoS raccomanda di adottare per impostazione predefinita mitigazioni sempre attive, in cui il traffico ostile viene scartato e solo quello pulito torna verso la rete del cliente. E classifica le contromisure per fascia di volume: gli attacchi più piccoli si gestiscono con apparati locali, ma man mano che si sale di scala servono i centri di scrubbing a monte, la mitigazione nativa nel cloud e, oltre il Terabit al secondo, il coordinamento tra più operatori e l’assorbimento distribuito via anycast. La domanda corretta non è quindi quale prodotto installare, ma a che scala si è disposti a essere colpiti, e chi assorbe il resto.

DDoS applicativi: quando il traffico ostile sembra legittimo

Concentrarsi solo sui volumi sarebbe però un errore, perché l’attacco più insidioso oggi è quello che non punta a saturare la banda. Man mano che le difese volumetriche migliorano, gli attaccanti si spostano verso il livello applicativo, il cosiddetto layer 7, dove l’obiettivo non è inondare la rete ma esaurire le risorse dell’applicazione con richieste che sembrano autentiche. Secondo il report Cloudflare del secondo trimestre 2025, gli attacchi applicativi sono cresciuti del 129 per cento su base annua.

La difficoltà è esattamente questa somiglianza. Un attacco volumetrico si riconosce dal volume; un attacco applicativo imita il comportamento di un utente reale, una richiesta di accesso, una ricerca, un caricamento, e per individuarlo non basta contare i byte. Serve intelligenza al livello applicativo, capace di distinguere il visitatore legittimo dalla richiesta costruita per costare cara, e questo richiede analisi comportamentale e filtri molto più fini dei meccanismi puramente volumetrici. È il fronte su cui si gioca buona parte della difesa dei prossimi anni, ed è anche quello dove la linea tra traffico buono e cattivo è più sottile.

Multi-vettore e DDoS a noleggio

Due tendenze aggravano il quadro. La prima è la natura multi-vettore degli attacchi, che combinano più tecniche in parallelo per massimizzare il danno: un singolo evento da 7,3 Terabit al secondo nel maggio 2025, documentato da Cloudflare, univa più tecniche di saturazione e riflessione, con la quasi totalità del traffico costituita da UDP flood, lanciate da oltre 122.000 indirizzi sorgente distribuiti su 161 Paesi. La seconda è la commercializzazione: il DDoS si noleggia, attraverso servizi che mettono la potenza di una botnet alla portata di chiunque per pochi soldi, e l’ingresso di strumenti assistiti dall’intelligenza artificiale sta ulteriormente abbassando la barriera tecnica. Il risultato è che la capacità di colpire non è più appannaggio di pochi, e questo allarga la platea dei possibili bersagli.

Cosa fare prima dell’attacco

La lezione operativa è che la difesa dai DDoS si prepara in tempo di pace, non si improvvisa sotto il fuoco. La stessa CISA, nella sua guida tecnica sulla mitigazione, raccomanda un approccio stratificato che combina rilevamento e decisione, filtraggio sulla propria rete e scrubbing a monte con protezioni native nel cloud, con ruoli, soglie e azioni pre-approvate definiti in anticipo, e prove di prontezza svolte almeno una volta l’anno. È la differenza tra avere un piano e cercarlo mentre il sito è già giù.

Visto da qui, il DDoS è prima di tutto un problema di continuità operativa e di resilienza, più che di sicurezza in senso stretto: non sottrae dati, nega un servizio, e il danno si misura in disponibilità perduta. Per questo la decisione non riguarda solo il reparto tecnico ma chi risponde della continuità del business. La realtà fotografata dai 31,4 Terabit al secondo del 2025 è che nessuno si difende più da solo da un attacco DDoS di scala: ci si difende scegliendo in anticipo chi assorbe la piena, automatizzando la risposta e provando il piano prima che serva. L’assorbimento a monte, va precisato, è un principio architetturale prima che un prodotto, e lo realizzano operatori e configurazioni diversi, dalle reti di distribuzione dei contenuti ai servizi di scrubbing degli operatori di transito. La scatola in sala server, contro tutto questo, è un ricordo di un’altra epoca.

Condividi sui Social Network:

Ultimi Articoli