Palvelunestohyökkäykset

Palvelunestohyökkäykset ovat varsin yleinen kyberrikollisuuden ilmentymä aikamme verkkomaailmassa. Mutta mitä ne oikeastaan ovat?

Olet varmaankin kuullut puhuttavan nettisivujen kaatumisesta silloin, kun niihin kohdistuu yllättäen äärimmäisen suuri määrä liikennettä – esimerkiksi johonkin julkisuuden tapahtumaan liittyvän, tahattoman suuren yleisöryntäyksen vuoksi. Palvelunestohyökkäyksessä on yksinkertaisimmillaan kyse samanlaisesta ilmiöstä, joka aiheutetaan tarkoituksella, tihutyömielessä.

Palvelunestohyökkäyksessä tai hajautetussa palvelunestohyökkäyksessä joko yksi tai useampi taho hyökkää serverin, nettisivun tai muun internetpohjaisen palvelun kimppuun esimerkiksi manipuloimalla reititysprotokollia tai pommittamalla serveriä tuhansilla viesteillä. Tällaiset hyökkäykset tunnetaan myös nimillä DoS ja DDoS, joista ensimmäinen viittaa palvelunestohyökkäykseen (Denial of Service) ja jälkimmäinen hajautettuun hyökkäykseen (Distributed Denial of Service). Hajautettu hyökkäys tehdään usein kaapattujen tietokoneiden eli bottiverkon avulla. Tällaisia kaapattuja tietokoneita kutsutaan joskus myös zombieiksi.

Palvelunestohyökkäysten tyypit

Hyökkäystapoja on useita. Palvelimen käyttöjärjestelmä tai palvelinprosessi voidaan kaataa esimerkiksi syöttämällä palvelimelle vääränlainen lähete. Lisäksi palvelimen ohjaustietoja voidaan muuttaa, mikä myöskin jumiuttaa sivun liikenteen. Yleisin tapa lienee kuitenkin niin kutsuttu tulvahyökkäys, jossa levytilaa tai palvelimen kaistaa pyritään varaamaan ja kuluttamaan siinä määrin etteivät oikeat käyttäjät enää pääse sivulle tai se kaatuu kokonaan. Tulvahyökkäyksessä hakkeri voi esimerkiksi tehtailla satoja tuhansia sähköposteja, jotka lamauttavat verkon, tai käyttää murettuja koneita eli bottiverkkoaan avuksi pommittaessaan palvelinta. Näin voidaan avata huima määrä yhteyksiä nettisivulle. Ohjaustietojen häiritseminen puolestaan onnistuu perinteisesti reititysprotokollien toimintaan puuttumalla tai vaikkapa DNS-välimuistiin murtautumalla.

Ohjaustietojen häritseminen reititysprotokollien avulla on erityisen riskialtista silloin, kun kyseessä on vanhempi protokolla, jonka turvaominaisuudet ovat heikohkot. Hyökkäyksen onnistuminen on todennäköisempää myös silloin, kun uusien protokollien turvaominaisuuksia ei ole kunnolla kytketty päälle. Mikäli ohjaustietoja halutaan häiritä DNS –nimipalvelun kautta, voidaan se tehdä palvelun vastauksia muuttamalla. Tällöin hakkeri tai kräkkeri väärentää palvelimen osoitteen ja ohjaa kävijät omalle nettisivulleen.

Vääränlainen lähete viittaa käyttöjärjestelmien kaatamiseen esimerkiksi ylipitkällä ICMP Echo request –paketilla, jota kutsutaan myös nimellä ping of death. Lisäksi palvelinta voi häiritä avaamalla tuhansittain istuntoja eli tietoliikenneyhteyksiä, joilla palomuuri tukitaan. Koska istuntoja ei koskaan saateta loppuun, pysäyttävät ne lopulta koko järjestelmän.

Smurf -hyökkäys

Niin kutsuttu Smurf on tunnettu palvelunestohyökkäyksen tyyppi, jossa kohdekone hukutetaan pienillä ICMP-protokollan paketeilla. Käytännössä hyökkäys toimii niin, että kolmannen osapuolen verkossa lähetetään levitysviestejä, joiden lähettäjäksi väärennetään se kone, joka halutaan hukuttaa vastausten tulvaan. Sitten tiettyyn verkon osoiteavaruuteen lähetetään ICMP echo request –pyyntöjä, johon kaikki osoiteavaruuteen tai verkkoon kytketyt koneet vastaavat lähettämällä omat IP-osoitteensa. Smurf –hyökkäys toimiikin parhaiten suuressa verkossa.

Mitä IP-osoite, ICMP ja osoiteavaruus tarkoittavat?

IP-osoite eli internetin protokollaosoite on se numerosarja, jolla esimerkiksi juuri sinun liittymäsi yksilöidään netissä. Siihen kuuluu kaksi osaa, eli operaattoria yksilöivä alkuosa, sekä liittymää yksilöivä loppuosa. Liittymään voi kuulua useita tietokoneita ja laitteita, eli sama IP-osoite ei aina tarkoita samaa käyttäjää. Huomaathan kuitenkin, että kaikesta nettiasioinnistasi jää aina jäljeksi IP-osoitteesi.

IP-osoite on 32-bittinen luku, joka erotellaan neljällä pisteellä ja näyttää esimerkiksi seuraavanlaiselta:

145.97.36.250

Huomaathan, että IP-osoite ei kuitenkaan aina ole staattinen, vaan sen loppuosa voi muuttua. Tällöin käytetään DHCP-protokollaa, johon hakkeri myöskin voi hyökätä. ICMP puolestaan tarkoittaa eräänlaista kontrolliprotokollaa, jolla voi lähettää nopeasti viestejä koneelta toiselle. Teknisesti ICMP toimii IP:n päällä ja on IP:n tukiominaisuus.

Osoiteavaruudet ovat eräänlaisia internetin suuntanumeroita, joita IANA-, sekä alueelliset RIR- ja RIPE –organisaatiot jakavat operaattoreille. Periaatteessa koko internetin reititys perustuu yksinkertaisimmillaan näihin osoiteavaruuksiin. Voitkin ajatella IP-osoitteita sekä osoiteavaruuksia eräänlaisena internetin puhelinluettelona tai karttakirjana.

Kuinka suojautua?

Palvelunestohyökkäyksiltä ei sinänsä voi kokonaan suojautua, sillä niitä voidaan varoittamatta kohdistaa mihin tahansa palvelimeen tai nettisivuun. Palvelunestohyökkäyksiä tehdäänkin kohtuullisen usein ja niillä voidaan jumiuttaa esimerkiksi pankkipalvelujen toiminta tai sähköposti.

Palvelunestohyökkäyksien teho on ollut jatkuvasti kasvussa ja yltää nykyisin jopa therabitteihin sekunneissa. Tällaisten hyökkäysten torjuminen on aikaa vievää ja kallista, ja siihen tarvitaan alaan perehtyneitä erityiskonsultteja. Palomuureissa voi olla joko vakio-ominaisuutena tai lisäosana hyökkäyksiä estävä laite. Lisäksi useat yritykset tarjoavat erillisiä suojalaitteita, jotka tepsivät hyvin ainakin pienen volyymin hakkerointiin.

Comments are closed.