Palvelunestohyökkäyksiä on monta lajia

Esto on tilanne, jossa palvelun normaali toiminta on estynyt vian, ylikuormituksen tai häirinnän vuoksi. Palvelunestohyökkäys on tietojärjestelmän toiminnan tahallista häiritsemistä. Hajautetussa palvelunestohyökkäyksessä hyökkäyksen lähteitä on useita.

CERT-FI:lle on vuosien saatossa raportoitu useita eri tavoin toteutettuja palvelunestohyökkäyksiä. Valikoima on laaja, mutta yhteisiäkin nimittäjiä löytyy.

Työkaluna vertaisverkko, botnet tai verkkomato

Tavallisimmin hajautettu palvelunestohyökkäys tehdään botnetin eli etähallittavalla haittaohjelmalla haltuun otettujen tietokoneiden verkoston avulla. Botnet-hyökkäyksessä hyökkääjän ohjauspalvelimelta komennetaan tavallisten internet-käyttäjien tietokoneet osallistumaan hyökkäykseen. Hyökkäykseen voi osallistua tuhansia murrettuja tietokoneita niiden käyttäjien siitä tietämättä.

Hyökkäyksessä voidaan käyttää myös itsestään verkossa leviävää haittaohjelmaa, eli matoa, joka tietokoneeseen tartuttuaan ottaa yhteyksiä kohdejärjestelmään. Madon levitessä kasvaa myös kohteeseen tuleva kuormitus. Ohjelma ei tarvitse erillistä komentoyhteyttä, eikä hyökkäystä edes voi pysäyttää poistamatta sitä tartunnan saaneista tietokoneista.

Viime aikoina ovat yleistyneet hyökkäykset, joissa hyödynnetään tiedostonjakoon käytettäviä vertaisverkkoja, kuten Direct Connect -verkkoja. Vertaisverkkosovellusten suunnittelussa ei ole riittävästi huomioitu väärinkäytösten mahdollisuutta, ja vasta viime aikoina ohjelmistoihin on lisätty niitä torjuvia ominaisuuksia. Yleisesti käytettyjä vertaisverkon asiakasohjelmistoja ovat DC++ ja Linuxdc++. Käyttäjät löytävät toisensa hub-palvelinten kautta, suosittuja palvelinohjelmistoja on useita, esimerkiksi Verlihub, YnHub ja PtokaX. Direct Connectin lisäksi myös muita vertaisverkkoprotokollia on mahdollista käyttää hyökkäyksiin.

Verkkoprotokollien väärinkäyttämistä

Varsin yleinen tapa kohteena olevan palvelun verkkoyhteyden kuormittamiseksi on niin sanottu SYN flood. Tällaisessa hyökkäyksessä väärinkäytetään yhteydellisen TCP-protokollan kolmivaiheista kättelyä. Kohteena olevaan osoitteeseen lähetetään paljon TCP-protokollan yhteydenmuodostuspaketteja (SYN), joihin kohdepalvelin vastaa. Tässä vaiheessa ensimmäisen koneen tulisi viimeistellä kättely, jolloin koneiden välille muodostuu looginen yhteys. Hyökkäyksessä kättely kuitenkin jätetään tahallaan viimeistelemättä ja kohdepalvelin jää turhaan odottelemaan yhteyden valmistumista. Puoliksi muodostuneet yhteydet varaavat resursseja palvelimelta, palomuurilta ja muiltakin verkkolaitteilta. SYN-pakettien lähettäjän IP-osoite voi olla väärennetty, sillä hyökkääjähän ei ole edes kiinnostunut vastauspaketeista. SYN flood ei tavallisesti näy sovellustason lokeissa.

Kohdetta on myös kuormitettu lähettämällä verkkoon ICMP ECHO REQUEST -paketteja ("ping") , joissa on lähettäjäksi väärennetty hyökkäyksen kohteena olevan koneen IP-osoite. Kaikki paketin vastaanottaneet koneet lähettävät ICMP ECHO REPLY -vastauksensa tähän osoitteeseen. Kohteen kannalta paketit näyttävät tulevan eri osoitteista, jolloin hyökkäyksen torjuminen IP-osoitteen perusteella ei onnistu. Hyökkääjän osoitetta paketeissa ei näy.

Myös nimipalvelimia on käytetty vastaavalla tavalla lähettämällä niille DNS-kyselyjä, joiden lähettäjäksi on väärennetty hyökkäyksen kohde, jolle palvelimet sitten lähettävät vastauksensa. Kyselyihin käytetään UDP-protokollaa, joka ICMP:n tapaan ei vaadi molemmilta yhteyden osapuolilta varmistusta yhteyttä muodostettaessa.

Sovellusten toiminnan häiritsemistä

Joidenkin verkkopalvelun toimintaa on häiritty syöttämällä niille sovellusprotokollaan kuulumatonta liikennettä. Esimerkiksi joidenkin vertaisverkkojen avulla toteuttujen hyökkäysten yhteydessä www-palvelun käyttämään TCP-porttiin 80 on ohjattu HTTP:n sijasta Direct Connect -liikennettä, joka on saattanut lamaannutta www-palvelimen toiminnan.

Joissakin tapauksissa sovelluksen toimintaa on häiritty edellä kuvattua kolmivaiheista kättelyä vastaavalla tavalla, mutta sovellusprotokollan puitteissa. Esimerkiksi sähköpostipalvelimia on kuormitettu avaamalla suuri määrä SMTP-yhteyksiä, joiden kautta ei kuitenkaan lähetetä mitään.

Helpoimmin ymmärrettävä palvelunestotilanne on, kun palvelua rasitetaan raskaalla käytöllä. Sähköpostipalvelimia on toistuvasti kuormitettu lähettämällä niiden kautta viestejä olemattomille vastaanottajille tai lähettämällä paljon suurikokoisia, pakattuja liitetiedostoja, jotka ovat kuormittaneet vastaanottajan virusskanneria.

Palvelu saattaa myös olla alitehoinen. Jos esimerkiksi www-sivu rakennetaan palvelimella jokaiselle käyttäjälle erikseen, voidaan palvelin saada jumiin suhteellisen pienelläkin määrällä yhteyksiä. Samoin on vaara, mikäli www-sivun tuottamiseen liittyy raskaita tietokantahakuja tai muita järjestelmää kuormittavia tapahtumia. Yksinkertaisimmillaan palvelunestohyökkäykseen on pyritty kehottamalla ihmisiä ottamaan yhtä aikaa toistuvia yhteyksiä kohteena olevaan palveluun. Tällainen hyökkäys ei ole välttämättä kovin tehokas. Monet suositut palvelut ovat kuitenkin tukkiutuneet ilman varsinaista hyökkäystarkoitustakin kun käyttäjiä onkin yhtäkkiä tullut odottamattoman paljon. Jo pelkästään www-osoitteen ilmoittaminen vilkkailla keskustelufoorumeilla tai chat-kanavilla voi aiheuttaa yllättävän kuormituspiikin.

Ohjelmistohaavoittuvuudet voivat altistaa

Hyökkäys voi perustua myös kohteena olevan järjestelmän heikkouteen, esimerkiksi sovellukselle annettavan syötteen käsittelyssä piilevään ohjelmointivirheeseen. Ohjelmistohaavoittuvuuksista kertoessamme pyrimme tuomaan esille, milloin virhe ohjelmistossa voi altistaa palvelunestohyökkäykselle.

Yhteyksien määrä yli sietokyvyn

Hyökkäystekniikasta riippumatta palvelu kuin palvelu saadaan lamautettua, mikäli sen verkkoyhteys saadaan tukittua. CERT-FI on vuosien varrella käsitellyt lukuisia tapauksia, joissa verkkoyhteys on saturoitunut, koska kohteeseen suuntautuva liikenne on kasvanut suuremmaksi kuin verkon on suunniteltu kestävän. Hyökkäysliikenteen määrästä riippuen häiriöstä on kärsinyt kohteena oleva yksittäinen palvelu, koko palveluntuotantoverkko, teleyrityksen asiakasliittymä tai jopa teleyrityksen runkoverkko.

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248