Palvelunestohyökkäykset sivustojen riesana

ddos

Tänään käsittelemme palvelunestohyökkäystä, sillä luin uutisen siitä kuinka Reddit -palvelun käyttäjät kaatoivat Pohjois-Korean internetin. Palvelunestohyökkäykset ovat hyvin tavallisia verkkosivuilla, joten niitä on hyvä käsitellä myös meillä.

Palvelunestohyökkäys eli Denial of Service (DoS) tarkoittaa verkkohyökkäystä, jolla pyritään estämään verkkosivuston käyttäminen. Yleensä palvelunestohyökkäys tehdään kohdistamalla verkkosivustolle niin paljon liikennettä, ettei verkkosivusto kykene enää palvelemaan asiakkaitaan. Useista lähteistä tapahtuvaa palvelunestohyökkäystä kutsutaan hajautetuksi palvelunestohyökkäykseksi eli Distributed Denial of Service, DDoS. Hajautetussa palvelunestohyökkäyksessä käytetään usein kaapatuista tietokoneista koostuvaa Botnettiä.

 

Hyökkäystavat

Palvelunestohyökkäyksen voi toteuttaa monella tavalla. Perustapoja ovat rajallisten resurssien kuluttaminen verkkosivuilta: kuten kaistan, levytilan tai suoritinajan. Ohjaustietojen, esimerkiksi reititystietojen tai nimipalvelutietojen muuttaminen. Myös vääränlaisen lähetteen syöttäminen palvelimelle, joka kaataa sen käyttöjärjestelmän tai palvelinprosessin on hyvin yleinen tapa.

Erilaiset tulvahyökkäykset ovat yksinkertaisimpia palvelunestohyökkäyksiä ja niiltä on melkein mahdoton suojautua. Yksinkertaisimmillaan hyökkääjä avaa tuhansia yhteyksiä palveluun tai lähettää tuhansia sähköposteja yrityksen sähköpostipalvelimelle. Bottiverkkoja käytetään tähän hyvin usein.

Reititysprotokollat ovat ohjaustietojen häiritsemishyökkäysten kohde. Monet yritykset käyttävät yhä vanhoja protokollia, mutta uudemmissa reititysprotokollissa kuten RIPv2:ssa tai EIGRP:ssä on kohtalaisen hyvät turvaominaisuudet. Reitittimelle voi lähettää reittipäivityksen, jossa vaikkapa väitetään sivuston olevan jossain aivan muualla, kuin missä se oikeasti on. Reititin ohjaa kyseiseen osoitteeseen suunnatut paketit aivan väärään osoitteseen.

DNS:n (nimipalvelu) kanssa on samanlaisia ongelmia. Pahimmaksi ongelmaksi on noussut DNS-välimuistin myrkyttäminen. Ideana on, että Windows NT4 ja 2000 -käyttöjärjestelmien DNS-palvelinohjelma oletusarvoisesti hyväksyy kaikkien nimipalvelinten sille lähettämiä tietoja – niin myös muistakin kuin DNS-nimisistä. Myös DHCP-palvelu on ongelmallinen samoista syistä.

1996 keksittiin, että vääränlaisella ylipitkällä ICMP Echo request -paketilla (Ping of death) voidaan kaataa suurin osa verkkoon kytketyistä käyttöjärjestelmistä.  Kesäkuussa 1997 keksittiin WinNuke, jolla sai kohdekoneen Windows-käyttöjärjestelmän kaatumaan. Vanhoille Windows-koneille ilmestyi sininen ruutu ja tietokone palasi normaaliksi vasta kun sen käynnisti uudelleen.

Palomuuri voidaan tukkia myös istuntojen määrällä, jotka lähettävät minimaalisen vähän tietoa, jolla on tarkoitus avata uusi tietoliikenneyhteys, mutta sitä koskaan lopettamatta. Näin ollen palomuuri tukkeutuu, eikä voi käynnistää uusia istuntoja.

Lainsäädäntö ja hyökkäykset

Palvelunestohyökkäykset ovat useissa maissa kriminalisoituja, kuten Suomessa. Suomessa niistä voidaan tuomita tietoliikenteen häirintänä sakkoihin tai pahimmassa tapauksessa vankeuteen enintään kahdeksi vuodeksi. Myös sen yrittäminen on rikos Suomessa. Britanniassa palvelunestohyökkäyksestä voi saada jopa 10 vuoden vankeusrangaistuksen. Suomen laajin palvelunestohyökkäys oli 14.-15. toukokuuta 2007 ja hyökkäyksen kohteina olivat Yleisradion, Suomi24:n ja Eniron verkkosivustot. Hyökkäyksen takana oli todennäköisesti Team Elite -ryhmä, johon kuuluu jäseniä useista eri maista. Ryhmän tarkoituksena ei ole saada taloudellista hyötyä vaan häiriköidä. Palvelunestohyökkäyksiä voi käyttää informaatiosodankäynnin keinona.