Mikä on palvelunestohyökkäys

Palvelunestohyökkäys (Denial of Service, DoS) tarkoittaa tietyn verkkopalvelun lamauttamista niin, että palvelu ei ole käytettävissä. Muista hyökkäystyypeistä poiketen tavoitteena ei ole järjestelmään tunkeutuminen, vaan sen toiminnan häiritseminen. Julkisessa Internetissä saatetaan vaikkapa häiritä WWW-palvelun toimintaa niin paljon, etteivät asiakkaat pääse sille, tai lähettää niin suuri määrä sähköposteja yrityksen sähköpostipalvelimelle, että levytila loppuu, eikä palvelin kykene enää ottamaan postia vastaan.

Useista lähteistä tapahtuvaa samanaikaista hyökkäystä tiettyä järjestelmää kohtaan kutsutaan nimellä hajautettu (tai "laaja") palvelunestohyökkäys (Distributed Denial of Service, DDoS).

Hyökkäystavat

Palvelunestohyökkäys voidaan toteuttaa monella eri tavalla. Kolme perustapaa ovat:

  1. Rajallisten resurssien, kuten kaistan, levytilan tai suoritinajan kuluttaminen.
  2. Ohjaustietojen, esimerkiksi reititystietojen tai nimipalvelutietojen muuttaminen.
  3. Vääränlaisen lähetteen syöttäminen palvelimelle, joka kaataa sen käyttöjärjestelmän tai palvelinprosessin.

Tulvahyökkäykset

Erilaiset tulvahyökkäykset ovat yksinkertaisimpia ja niiltä on usein mahdoton suojautua. Yksinkertaisimmillaan hyökkääjä avaa tuhansia yhteyksiä www-palveluun tai lähettää tuhansia sähköposteja yrityksen sähköpostipalvelimelle. Aiemmin hyökkäyksiin käytettiin virheellisesti konfiguroituja verkkoja, joita voitiin käyttää esim. Smurf-hyökkäyksen apuna. Nykyisin yleisempiä ovat murretuista koneista muodostetut bottiverkot.

Ohjaustietojen häiritseminen

Reititysprotokollat ovat perinteinen ohjaustietojen häiritsemishyökkäyksen kohde. Periaatteessa uudemmissa reititysprotokollissa kuten RIPv2:ssa tai EIGRP:ssä on kohtalaisen hyvät tietoturvaominaisuudet, mutta monet yritykset käyttävät yhä vanhempia protokollia, tai eivät ole kytkeneet tietoturvaominaisuuksia päälle. Reitittimelle voi lähettää reittipäivityksen, jossa vaikkapa väitetään suositun www-sivuston olevan jossain aivan muualla, kuin missä se oikeasti on. Reititin ohjaa kaikki kyseiseen osoitteeseen suunnatut paketit aivan väärään osoitteeseen.

DNS:n (nimipalvelu) kanssa on samanlaisia ongelmia. Pahimpana ongelmana on DNS-välimuistin myrkyttäminen. Ideana on, että Windows NT4 ja 2000 -käyttöjärjestelmien DNS-palvelinohjelma oletusarvoisesti hyväksyy kaikkien nimipalvelinten sille lähettämiä tietoja - muistakin DNS-nimistä kuin kyseisille palvelimille kuuluvista. Jos ns1.operaattori.fi sitten kysyy vaikkapa ns1.yritys.fi-palvelimelta tietoa koneesta www.yritys.fi, voi kyseinen palvelin lähettää vastauksen, jossa on vastaus kyselyyn (www.yritys.fi = 1.2.3.4), minkä lisäksi siinä yhdistetään www.pankki.fi johonkin väärennettyyn osoitteeseen (www.pankki.fi = 1.1.1.1). Palvelin tallentaa tiedon pankin www-palvelimesta kritiikittömästi välimuistiinsa, ja jos joku käyttäjä surffaa www.pankki.fi-osoitteeseen jatkossa, joutuu hän kräkkerin palvelimelle (selaimen osoiterivillä lukee ihan tavallisesti www.pankki.fi).

Myös DHCP-palvelu on ongelmallinen tällaisten hyökkäysten kannalta.

Vääränlainen lähete

Lokakuussa 1996 keksittiin että suuren osan verkkoon kytketyistä käyttöjärjestelmistä sai kaadettua ylipitkällä ICMP Echo request -paketilla (Ping of death).

Kesäkuussa 1997 julkaistiin WinNuke, jolla sai kohdekoneen Windows-käyttöjärjestelmän tai palvelinohjelman kaatumaan. Vanhemmilla Windows-koneilla tämä tarkoittaa sinistä ruutua. Hyökkäyksestä toipuminen vaati koneen uudelleenkäynnistämistä.

Hyökkäyksiä

Yleisradion, Suomi24:n ja Eniron verkkosivustot joutuivat 14.–15. toukokuuta 2007 Suomen siihen asti laajimman palvelunestohyökkäyksen kohteeksi. Hyökkäyksen takana oli F-Securen Mikko Hyppösen mukaan todennäköisesti Team Elite -niminen ryhmä, jossa on jäseniä useista eri maista. Harrastajista koostuva ryhmä ei tavoittele taloudellista hyötyä, vaan ainoastaan häiriköi. Hyökätyt sivut valittiin mahdollisesti sen perusteella, että ne ovat korkealla Suomen suosituimpien sivujen listassa, ja Suomen joutumiseen hyökkäyksen kohteeksi saattoi vaikuttaa Euroviisujen kautta tullut medianäkyvyys. Suomen tietotoimiston sivuille tapahtui myös hyökkäys 17. toukokuuta. Palvelunestohyökkäys erosi teknisesti Ylen sivuille tapahtuneesta hyökkäyksestä ja se oli laajuudeltaan pienempi.

Useat suomalaiset verkkosivut olivat laajan palvelunestohyökkäyksen kohteena 11.9.2012. Muun muassa Helsingin Sanomien ja Ilta-Sanomien verkkosivut eivät toimineet kunnolla hyökkäyksen aikana. Edellispäivänä hyökkäyksiä oli tehty suosittuun yhdysvaltalaiseen GoDaddy-verkkopalveluun.

Palvelunestohyökkäyksiä voidaan käyttää myös informaatiosodankäynnin keinona. Operaatio Payback, suomeksi Takaisinmaksu, oli Anonymous-ryhmän hyökkäys RIAA:ta vastaan siksi, että oikeuden päätöksellä suljettiin Limewire.