In breve
- Il DoS è un attacco da sistema a sistema, il che significa che l’attacco proviene da una singola fonte. Il DDoS coinvolge diversi sistemi, il che significa che l’attacco proviene da più fonti.
- Nel DoS, l’attaccante inonderà il bersaglio con traffico eccessivo e sfrutterà vulnerabilità per causare interruzioni del servizio. Nel DDoS, l’attaccante distribuirà il proprio attacco su una scala più ampia e lo lancerà da diverse posizioni geografiche.
- Gli attacchi DDoS sono molto più potenti dei DoS e anche molto più complessi. Ogni DDoS è un DoS, ma non ogni attacco DoS è un DDoS. Gli attaccanti DDoS usano botnet per amplificare la potenza degli attacchi DoS.
- I semplici attacchi DoS possono semplicemente mandare in tilt i server DNS, ma il DDoS usa la forza bruta, quindi non è possibile difendersi da essi con la sola crittografia o la sola validazione degli input.
Ubuntu ha recentemente subito un’interruzione dopo un attacco DDoS. L’infrastruttura esposta pubblicamente è stata completamente messa fuori uso. Anche Bluesky ha attribuito a attacchi DDoS le interruzioni dei server. E non si tratta solo di queste grandi aziende: anche startup e piccole imprese stanno lottando in tutto il mondo per garantire la continuità operativa. I clienti perdono fiducia e si tengono alla larga quando la reputazione subisce un colpo e i servizi vanno offline. Esiste un modo giusto e uno sbagliato di affrontare la mitigazione di queste minacce. Il DDoS presenta anche molte somiglianze con gli attacchi DoS e chi è nuovo in questo ambito può confondere queste due metodologie.
Se non conosci la differenza tra attacchi DoS e DDoS, allora questa guida fa per te. Esaminiamo anche le loro implicazioni legali e tutto il resto che devi sapere su di essi.
Che cos’è un attacco DoS?
Un attacco Denial-of-Service (DoS) è un’aggressione informatica eseguita per rendere la tua macchina, rete o sito web indisponibile ai tuoi utenti. Ti sommergerà di traffico e richieste eccessivi e farà rallentare, arrestare in modo anomalo e smettere di rispondere il tuo sito e i tuoi sistemi.
Ecco i principali tipi di attacchi DoS di cui dovresti essere a conoscenza.
Tipi di attacchi DoS
Un attacco DoS ha sempre origine da un singolo sistema. Quella singola fonte satura un bersaglio con traffico malevolo o sfrutta una debolezza del protocollo finché il servizio smette di rispondere. Gli attaccanti usano una manciata di tecniche per riuscirci. Molto spesso vedrai queste quattro.
Attacchi Teardrop
Gli attacchi Teardrop frammentano i pacchetti IP e poi inviano frammenti sovrapposti e malformati che il bersaglio non riesce a riassemblare. I sistemi operativi più vecchi si bloccano o si riavviano quando incontrano questi pacchetti. I sistemi moderni in genere li rifiutano, ma i server legacy non protetti all’interno di una rete restano bersagli interessanti.
Attacchi flooding
Gli attacchi flooding indirizzano un elevato volume di traffico verso un server, un collegamento di rete o un’applicazione. Gli attaccanti possono usare richieste ICMP echo (ping flood), pacchetti UDP o richieste HTTP. Il traffico consuma tutta la larghezza di banda disponibile o le risorse del server. Una singola macchina che invia richieste HTTP GET continue può esaurire un server web configurato male nel giro di pochi minuti.
Attacchi di frammentazione IP
Questi attacchi sfruttano il modo in cui i dispositivi di rete riassemblano i pacchetti IP frammentati. L’attaccante invia frammenti che contengono offset sovrapposti o sequenze incomplete. Router e firewall che memorizzano i frammenti per riassemblarli esauriscono la memoria e bloccano il traffico legittimo. Gli attacchi di frammentazione spesso aggirano l’ispezione dei pacchetti perché i motori di ispezione vedono solo dati parziali.
SYN flood
Un SYN flood abusa dell’handshake TCP a tre vie. L’attaccante invia un flusso di pacchetti SYN, spesso con indirizzi IP sorgente falsificati. Il bersaglio alloca risorse per ogni connessione semiaperta e attende un ACK che non arriva mai. Quando la tabella delle connessioni si riempie, il server nega tutte le nuove richieste. I SYN flood restano una delle tecniche DoS a sorgente singola più comuni. Gli attaccanti fanno affidamento anche su ping of death e sul DoS a livello applicativo, in cui abusano delle funzioni ad alto consumo di risorse di un’applicazione web per compromettere la disponibilità da un singolo endpoint.
Che cos’è un attacco DDoS?
Un attacco Distributed Denial-of-Service (DDoS) persegue lo stesso obiettivo di un DoS e lo moltiplica su centinaia o migliaia di sistemi compromessi. Gli attaccanti costruiscono botnet infettando i dispositivi con malware e usandoli come agenti di traffico. Amplificano inoltre il traffico facendo rimbalzare richieste su server DNS, NTP o Memcached configurati in modo errato. Reflector e amplificatori consentono a una piccola richiesta di produrre una risposta molto più grande diretta alla vittima.
Il traffico proveniente da più fonti rende rilevamento e mitigazione più difficili. Quando il traffico entra nella tua rete da un singolo IP, lo blocchi. Quando arriva da 50.000 IP residenziali e indirizzi falsificati in tutto il mondo, i filtri basati su firme e i semplici limiti di velocità falliscono.
Tipi di attacchi DDoS
Gli attacchi DDoS prendono di mira diversi livelli della tua infrastruttura e sono altamente scalabili. Di seguito sono riportati i diversi tipi di attacchi DDoS che dovresti conoscere:
Attacchi DDoS a livello applicativo
Gli attacchi a livello applicativo prendono di mira il Layer 7. Gli attaccanti inviano richieste HTTP POST lente, chiamate API ad alto consumo di risorse o HTTP flood che imitano il comportamento legittimo degli utenti. Poiché le richieste sembrano valide, questi attacchi superano le semplici soglie volumetriche. Un singolo server che gestisce tentativi di accesso può sembrare occupato, non sotto attacco.
Attacchi volumetrici
Gli attacchi volumetrici mirano a consumare tutta la larghezza di banda disponibile. Gli attaccanti usano botnet per inviare enormi quantità di traffico UDP, ICMP flood o risposte DNS amplificate verso il perimetro della tua rete. Se il tuo canale si satura, i pacchetti legittimi vengono scartati prima di raggiungere il tuo data center. Questi attacchi misurano il traffico in gigabit o terabit al secondo.
Attacchi di protocollo
Gli attacchi di protocollo sfruttano debolezze nei Layer 3 e 4. SYN flood, attacchi Smurf e ping of death rientrano tutti in questa categoria. Gli attaccanti consumano le tabelle di connessione del server o sovraccaricano firewall stateful e bilanciatori di carico. Poiché gli attacchi di protocollo prendono di mira l’infrastruttura di rete, è necessario filtrarli a monte o con appliance di scrubbing dedicate.
DDoS vs. attacchi DoS: esempi reali
Capirai la differenza tra attacchi DoS e DDoS osservando incidenti reali. Vediamo di seguito alcuni esempi recenti e reali di attacchi DoS e DDoS:
- All’inizio del 2026 circa, un attacco da 31,4 Tbps è stato reso pubblico dalla botnet Aisuru-Kimwolf. La super botnet aveva infettato da 1 a 4 milioni di dispositivi. Ha preso di mira Android TV, router e telecamere IoT. Anche importanti provider di infrastrutture come Cloudflare e altri hanno raggiunto picchi di 205 milioni di richieste al secondo (rps).
- Il primo trimestre del 2026 ci ha mostrato l’Operation Sindoor e i conflitti in Medio Oriente. Le tensioni geopolitiche hanno innescato ondate di attacchi DDoS allineati agli Stati. Oltre 149 attacchi DDoS hacktivist hanno colpito 110 aziende in 16 Paesi in sole 72 ore. Gli attaccanti hanno usato la strategia del carpet bombing per colpire istituzioni finanziarie. Un’istituzione finanziaria mediorientale ha ricevuto oltre 1,25 trilioni di richieste in 6 giorni, tutte apparentemente legittime, aggirando così i filtri tradizionali.
- Gli attacchi DoS a bassa intensità si verificano ormai ogni 15 minuti. L’anno scorso, gli attacchi DoS sono aumentati di 4 volte a causa di minacce di probing ricognitivo. Gli attaccanti hanno usato singole istanze VPN per lanciare SYN flood e hanno preso di mira specifici endpoint di autenticazione e login. Hanno esaurito le risorse del server, causato errori di autenticazione e timeout negli handshake TLS per gli utenti legittimi. Quando l’AI viene usata per avviare attacchi DDoS o DoS, le cose diventano più complicate. Questi esempi reali di attacchi DDoS e DoS sono solo la punta dell’iceberg di ciò che attende le organizzazioni nel prossimo futuro (se non si preparano a difendersi e a mitigarli).
Differenze chiave tra attacchi DoS e DDoS
Quando confronti fianco a fianco modelli e vettori di attacco DDoS e DoS, emergono quattro fattori: ecco le differenze chiave tra attacchi DoS e DDoS:
Distribuzione della sorgente e volume di traffico
Il DoS coinvolge un solo dispositivo o IP. Con il DDoS, invece, gli attaccanti distribuiscono bot, amplificatori e reflector per produrre traffico geograficamente disperso. Mentre il volume in un DoS può arrivare a gigabit al secondo, il DDoS può coinvolgere più terabit.
Velocità e impatto
L’effetto di un DoS dipende dalla rapidità con cui i servizi vengono degradati o dal fatto che l’attacco sfrutti una vulnerabilità, causando l’interruzione immediata dei servizi. Il DDoS, tuttavia, è in grado di mettere fuori servizio il servizio in pochi minuti, a seconda dell’enorme volume di richieste che inonda istantaneamente i sistemi. Il DDoS provoca anche danni collaterali alle reti ISP, interessando anche altri clienti.
Tracciabilità e gestione legale
Negli attacchi DoS è coinvolto un singolo IP, che può essere falsificato ma tracciato dalle forze dell’ordine. Negli attacchi DDoS è difficile identificare il server di comando e controllo. Trovare l’IP e poi risalire all’individuo dietro gli attacchi DDoS è complesso perché richiede indagini transgiurisdizionali e analisi forense di molti dispositivi. Pertanto, il processo richiede più tempo ed è più complicato rispetto al caso degli attacchi DoS.
Strumenti e requisiti di mitigazione
Prevenire il DoS implica bloccare o scartare l’IP dell’attaccante o correggere bug nell’applicazione. Prevenire il DDoS richiede l’istituzione di centri di scrubbing, l’uso di strumenti di filtraggio del traffico basati su cloud, WAF e la collaborazione con l’ISP. Comporta anche il reindirizzamento del traffico attraverso reti di scrubbing e l’inoltro del solo traffico pulito.
DoS vs DDoS: differenze chiave
Consulta questa tabella comparativa Dos vs DDoS per una rapida panoramica tra DoS e DDoS. Copre a colpo d’occhio i fattori degli attacchi DDoS rispetto agli attacchi DoS:
| Fattore | Attacco DoS | Attacco DDoS | Scenario di esempio |
| Sorgente | Singola macchina o IP | Botnet di migliaia di dispositivi o amplificazione riflessa | Botnet Mirai vs. singolo script Slowloris |
| Volume di traffico | Da basso a moderato (Mbps) | Elevato (da Gbps a Tbps) | Amplificazione Memcached che raggiunge 1,35 Tbps |
| Tecnica di attacco | SYN flood, ping of death, esaurimento del livello applicativo | SYN flood, UDP flood, HTTP flood, amplificazione DNS | Richieste di login ripetute da un IP vs. attacco volumetrico multi-vettore |
| Difficoltà di rilevamento | Più semplice; un IP rumoroso risalta | Più difficile; gli IP distribuiti assomigliano a modelli di traffico legittimo | Rate limiting su un IP vs. ottimizzazione dell’analisi comportamentale tra regioni |
| Mitigazione | Bloccare IP, correggere vulnerabilità, rate limiting | Usare un centro di scrubbing, distribuzione anycast, filtraggio upstream dell’ISP | Null-routing di un singolo IP vs. reindirizzamento di tutto il traffico attraverso un servizio cloud di scrubbing |
| Tracciabilità | Spesso riconducibile a un individuo | Offuscata da botnet e indirizzi falsificati | Ordine giudiziario a un ISP vs. indagine multinazionale |
| Potenziale di inattività | Da minuti a ore se non mitigato | Da ore a giorni se le difese sono insufficienti | Crash di un singolo server vs. interruzione globale del servizio |
Impatto degli attacchi DoS vs DDoS
Qualsiasi inattività significa perdita di ricavi. Un sito e-commerce inattivo per un’ora può comportare centinaia di migliaia di dollari di mancati ricavi, oltre a violazioni degli SLA che portano a crediti obbligatori. Tali cifre aumenteranno a partire da quest’anno, poiché le aziende fanno sempre più affidamento sui loro servizi digitali in tempo reale. Qualsiasi inattività influisce anche sulla percezione pubblica e comporta problemi legali se i dati dei clienti vengono danneggiati indirettamente.
Oltre alle conseguenze finanziarie, un attacco DoS o DDoS influisce su tutti gli altri servizi. Qualsiasi grande attacco DDoS volumetrico non solo mette fuori uso il tuo collegamento Internet primario, ma interrompe anche qualsiasi connessione al tuo sito tramite VPN o servizi API cloud, rendendoli inutilizzabili. I tuoi dipendenti non possono accedere ad alcuna applicazione interna e qualsiasi sistema di monitoraggio automatizzato smette di segnalare attività. Gli attacchi DDoS agiscono come una cortina fumogena per nascondere le intrusioni reali.
Distraggono e rendono difficile il ripristino delle reti. Gli hacker creano caos per scavare più a fondo ed eseguire violazioni dei dati di livello superiore. Possono finire per installare malware e causare anche interruzioni multi-regione. Tutto questo porta a un calo a lungo termine della fiducia dei clienti. Ne risentono tutte le infrastrutture e i servizi aziendali e critici, come portali governativi e servizi e app bancarie.
Best practice per prevenire e rilevare attacchi DoS e DDoS nel 2026
Una mitigazione efficace di DDoS e DoS inizia dall’architettura di rete e dal monitoraggio continuo. Hai bisogno di controlli che intercettino sia lo sfruttamento da sorgente singola sia i flood distribuiti. Ecco un elenco delle best practice da seguire per prevenire e rilevare sia gli attacchi DoS sia quelli DDoS quest’anno:
- Distribuisci il rate limiting a livello di rete su router e firewall per limitare le connessioni da una singola sorgente.
- Usa la distribuzione di rete anycast in modo che il traffico venga assorbito in più punti geografici invece di colpire un unico server di origine.
- Integra un servizio cloud di scrubbing in grado di elaborare e filtrare il traffico prima che raggiunga il perimetro della tua rete.
- Posiziona un web application firewall (WAF) davanti alle applicazioni critiche per filtrare le richieste malevole di Layer 7.
- Configura la tua CDN per assorbire i picchi e servire contenuti in cache quando i server di origine sono sotto stress.
- Definisci modelli di traffico di base e usa il rilevamento delle anomalie che segnala picchi improvvisi di richieste, distribuzione geografica insolita o incongruenze di protocollo.
- Rafforza l’infrastruttura DNS con resolver ridondanti in anycast e abilita il response rate limiting.
- Esegui regolarmente stress test ed esercitazioni red team che simulino sia scenari DoS sia scenari DDoS multi-vettore.
- Crea playbook che definiscano quando effettuare il failover verso servizi di scrubbing e come comunicare con il tuo ISP.
- Monitora la telemetria di endpoint e workload per rilevare segni di intrusioni opportunistiche durante un evento DDoS attivo, perché gli attaccanti spesso usano il rumore come copertura.
Come rispondere ad attacchi DoS vs. DDoS attivi
Se non sei sicuro di come rispondere ad attacchi DoS vs. DDoS attivi, i nostri suggerimenti ti aiuteranno. Fai questo:
- Attiva il tuo runbook di incident response e dichiara immediatamente il livello di gravità.
- Contatta il tuo ISP o cloud provider e condividi campioni di traffico in modo che possano iniziare il filtraggio upstream.
- Devia il traffico in ingresso attraverso il tuo centro di scrubbing o servizio di mitigazione DDoS, se presente.
- Per un DoS a sorgente singola, scarta o blackhole l’IP offensivo al perimetro della tua rete.
- Conserva log, dati di flusso e catture di pacchetti; supportano le analisi forensi post-incidente e le segnalazioni alle forze dell’ordine.
- Avvisa gli stakeholder interni - SOC, networking, proprietari delle applicazioni e comunicazione; in modo che possano preparare aggiornamenti di stato o decidere la prossima linea d’azione.
- Se i servizi rivolti ai clienti sono interessati, pubblica un breve aggiornamento fattuale sulla pagina di stato con una stima del tempo di ripristino.
- Blocca le firme di attacco evidenti con regole WAF o ACL mentre osservi eventuali cambiamenti nel vettore di attacco.
- Dopo l’attacco, raccogli la catena delle prove e decidi se presentare una segnalazione alle forze dell’ordine o al CERT nazionale.
- Conduci una revisione post-incidente entro 48 ore. Aggiorna i runbook, rafforza il rate limiting e regola le soglie di allerta in base a ciò che osservi.
In che modo SentinelOne migliora la resilienza a DoS e DDoS?
La Singularity Platform di SentinelOne è alimentata da Autonomous Security Intelligence (ASI), il tessuto di intelligence integrato nelle fondamenta della piattaforma che identifica comportamenti malevoli, automatizza il lavoro critico e risponde alle minacce alla velocità delle macchine. Su endpoint, cloud, identità e superfici AI, ASI offre ai team di sicurezza gli strumenti per rilevare e fermare le minacce DoS e DDoS prima che si aggravino. Singularity™ Endpoint include firewall integrati e sistemi di prevenzione delle intrusioni (IPS) che filtrano autonomamente il traffico di rete e bloccano in modo proattivo modelli di attacco DoS come le scansioni delle porte.
Singularity™ XDR Platform usa AI e machine learning per rilevare modelli di comportamento insoliti alla velocità delle macchine. Correla la telemetria proveniente dagli endpoint, i dati di identità e la visibilità cloud per identificare quali dispositivi si stanno comportando come nodi relay di botnet e quando.
Se i tuoi attaccanti stanno usando strumenti di AI per lanciare attacchi DDoS o DoS, allora Prompt Security può individuarli ed evitare che eseguano azioni agentic AI non autorizzate.
Singularity™ Network Discovery (formerly Ranger) può monitorare il traffico di rete e identificare dispositivi non autorizzati o rogue che partecipano ad attacchi distribuiti. SentinelOne si integra anche con partner terzi come Imperva per offrire funzionalità specializzate di scrubbing DDoS e protezione API per attacchi volumetrici su larga scala.
Per indagini più approfondite, Purple AI consente agli analisti di porre query in linguaggio naturale sull’intero stack di sicurezza, facendo emergere modelli di attacco, segnali comportamentali e workflow di risposta senza dover conoscere linguaggi di query complessi. Secondo una ricerca IDC, Purple AI aiuta le organizzazioni a identificare le minacce alla sicurezza il 63% più velocemente, a ridurre il tempo di remediation fino al 55% e a ottenere fino al 338% di ROI in tre anni (IDC, luglio ’25). Offre inoltre ai team la visibilità più ampia sull’intero stack di sicurezza aziendale con funzionalità integrate di threat hunting.
Rilevamento e risposta degli endpoint basati su AI.
Conclusione
Gli attacchi DoS hanno origine da un singolo sistema, mentre gli attacchi DDoS usano migliaia di dispositivi compromessi, risultando molto più potenti e più difficili da tracciare. Fermarli richiede difese che operino più velocemente degli attacchi stessi: protezione autonoma che copra rete, endpoint, cloud e identità senza lasciare lacune tra gli strumenti. SentinelOne combina rilevamento AI-native, risposta alla velocità delle macchine e visibilità unificata in un’unica piattaforma, così il tuo team può rispondere prima che un attacco causi danni duraturi. Prenota una demo dal vivo per vedere come SentinelOne protegge dalle minacce DoS e DDoS.
FAQ
Un attacco DDoS è più pericoloso di un DoS. Un DoS usa una sola origine, quindi puoi bloccarlo dopo aver identificato l’IP. Un DDoS inonda la tua rete da molti dispositivi compromessi, rendendolo molto più difficile da fermare. Il traffico può sopraffare i tuoi server, senza una singola origine da inserire in blacklist. Puoi affrontare ore di inattività senza protezione.
Non sempre, ma quasi tutti gli attacchi DDoS seri usano botnet. Una botnet è una rete di dispositivi infetti che gli attaccanti controllano da remoto. Possono lanciare enormi ondate di traffico da migliaia di endpoint senza che i proprietari lo sappiano. Tecnicamente potresti lanciare un DDoS manualmente da pochi server, ma non è comune. Per un attacco reale e prolungato che ti manda offline, una botnet è lo strumento che useranno.
Sì, le piccole imprese sono obiettivi comuni. Gli attaccanti sanno che le aziende più piccole spesso non dispongono delle difese delle grandi imprese. Potresti essere colpito da un DDoS come parte di una richiesta di riscatto, o semplicemente per interrompere le tue operazioni. Se il tuo sito web va giù, perdi denaro e clienti. Un buon piano di protezione è importante, anche se pensi di essere troppo piccolo per essere notato.
Gli ISP e i cloud provider possono filtrare il traffico dannoso a monte prima che raggiunga la tua rete. Dispongono di maggiore larghezza di banda e di centri di scrubbing per assorbire il traffico indesiderato. Un servizio cloud di protezione DDoS reindirizza il tuo traffico attraverso filtri. Il tuo ISP potrebbe mettere in blackhole il tuo IP durante un attacco per salvare la propria infrastruttura, ma questo ti manda offline. Hai bisogno di un servizio che ripulisca il traffico senza interrompere la tua connessione.
Gli strumenti di endpoint detection and response non sono progettati per fermare gli attacchi DDoS. Monitorano le minacce sui dispositivi come laptop e server, non le ondate a livello di rete. Un DoS o DDoS satura la tua connessione internet, che un EDR non può controllare. Un buon EDR può rilevare se un trojan infetta la tua macchina e la usa per unirsi a una botnet. Ma per la mitigazione degli attacchi, hai bisogno di difese a livello di rete, firewall e servizi cloud di scrubbing.

