Blogit ja artikkelit

Palvelunestohyökkäys, mitä se tarkoittaa?

Liiketoiminta | Turvallisuus 14.1.2015

Mediassa on kirjoitettu paljonkin pankkeja vastaan suoritetuista palvelunestohyökkäyksistä. Hyökkäyksillä aiheutettiin vahinkoa moneen eri suuntaan. Kuluttajille aiheutui hankaluuksia siitä, että laskuja ei pystynyt maksamaan, kun pankin järjestelmät eivät vastanneet. Kauppiaille hankaluutena oli maksuliikenteen viivästyminen. Suurimman haitan kärsijänä oli kuitenkin itse pankit suorien hyökkäyksen estotoimenpiteiden kustannuksina, mutta eniten maineen menetyksenä. Moni kuluttaja jäi miettimään voiko pankkeihin enää lainkaan luotta kun tällä tavoin järjestelmät voidaan kaataa ja onko ne omat rahat lainkaan tallessa siellä pankkitilillä.

Tietoturva-alan ammattilaisille termi ”palvelunestohyökkäys” kuuluu jokapäiväiseen käyttökieleen. Muille vähemmän alaa tunteville palvelunestohyökkäys ei sanana ole välttämättä kovinkaan tuttu. Siksi yritän hieman avata mitä sillä tarkoitetaan.
Internet muodostuu palvelimista, joissa on tallennettuna tietoa, työasemista, joilla luetaan palvelimelle tallennettua tietoa sekä verkkolaitteista, joilla välitetään tietoa työasemien ja palvelinten välillä. Kun työaseman selaimeen kirjoitetaan jonkin palvelun www-osoite, muodostuu tästä palvelupyyntö, joka verkkolaitteiden kautta välitetään palvelimelle. Palvelin vastaa pyyntöön lähettämällä www-sivun sisällön pyytäjälle, joka puolestaan näyttää sivun sisällön käyttäjälle selaimen välityksellä. Näin internet toimii silloin kun kaikki on kunnossa. Mitäs sitten tapahtuu kun meneillään on palvelunestohyökkäys?

Vihamielisen tahon suorittaman palvelunestohyökkäyksen tavoitteena ei ole murtautuminen uhrin järjestelmiin ja tietoihin vaan ainoastaan estää kaikilta pääsy palvelun sisältämään tietoon. Palvelunesto voidaan suorittaa useammalla eri tavalla, joista seuraavassa muutamia eri vaihtoehtoja. ”Perustapauksessa” vihamielinen taho lähettää yhdelle palvelimelle hyvin lyhyessä ajassa suuren määrän palvelupyyntöjä. Pyyntöjen määrä on niin suuri, että palvelin ei pysty niihin kaikkiin heti vastaamaan vaan se jää käsittelemään pyyntöjä. Käyttäjän pyytäessä hyökkäyksen aikana tietoa palvelimesta, jää pyyntö joko palvelimen jonoon tai kokonaan palvelimelta käsittelemättä, näin estäen käyttäjää saamasta haluamaansa palvelua.

Toinen palvelunestohyökkäystapa on pyytää palvelimelta jotain sellaista, jota palvelin ei pysty suorittamaan. Palvelin pyrkii aina vastaamaan kaikkiin pyyntöihin parhaansa mukaan. Kun siltä pyydetään jotain, mitä se ei pysty käsittelemään, pyrkii se kuitenkin suorittamaan pyydetyn toimenpiteen mahdollisimman hyvin. Kun palvelimelle tulee suuri määrä mahdottomia pyyntöjä, jää palvelin käsittelemään niitä kaikin mahdollisin käytössään olevat resurssit hyödyntäen. Näin jälleen hyökkäyksen aikana saapuneet ”kunnolliset” pyynnöt jäävät vastaamatta johtuen palvelimen ruuhkasta. Esimerkkinä mahdottomasta liikenteestä on se, että palvelinta pyydetään katkaisemaan olematon yhteys itsensä ja työaseman välillä. Palvelin pyrkii täyttämään pyynnön ja käyttää omia resurssejaan löytääkseen olemattoman yhteyden, jonka se voisi katkaista. Näin hyökkääjä on saavuttanut tavoitteensa, palvelin etsii olemattomia yhteyksiä eikä ehdi vastaamaan muihin pyyntöihin.

Kolmas tyypillinen tapa on hyökätä palvelimen tietoliikenneyhteyttä vastaan. Tällöin hyökkääjä aiheuttaa palvelimen ja käyttäjän väliseen tietoliikenneyhteyteen niin paljon liikennettä, että palvelu estyy. Tiettyjen palveluiden tietoliikenteen rakenne on hyvin epäsymmetrinen. Pahimmassa tapauksessa yhdellä pienellä pyynnöllä voidaan aiheuttaa tilanne, jossa vastaus sisältää noin 5500 vastauspakettia. Vaikka palvelin pystyisikin tähän liikennemäärään vastaamaan, voi tämä olla palvelimen tietoliikenneyhteydelle liikaa ja jälleen käyttäjän saama palvelu on estynyt.
Vaikka edellä mainitut hyökkäystavat kuulostavatkin kovin yksinkertaisilta, ilman merkittävää esivalmistelua, palvelunestohyökkäystä ei ole mahdollista toteuttaa. Käytännössä hyökkääjän on saatava aina hallintaansa satojen tai tuhansien työasemien verkko. Tyypillisesti tällainen hyökkäysverkko muodostuu tavallisten kotikäyttäjien tietokoneista, joiden tietoturva-asiat ovat jääneet hoitamatta. Hyökkääjä on ottanut työasemat haltuunsa ja hallinnoi niitä etäkäyttöisesti, ilman että omistaja edes tietää olevansa osa ilkeämielistä hyökkäystä.

– Mikko Tiensuu, Principal Consultant, Cinia –

Jaa