Mitä tarkoittaa DDoS-hyökkäys?

DDoS attack eli palvelunestohyökkäys tekee sen kohteena olevasta sivustosta käyttökelvottoman. Tarkoituksena on ruuhkauttaa verkkopalvelu niin, että kukaan ei pysty käyttämään sitä. Palvelunestohyökkäys aiheuttaa siis tilanteen, joka vastaa sitä, että yhteen palveluun tulee yllättäen enemmän käyttäjiä kuin palvelin on valmis vastaanottamaan.

Palvelunestohyökkäystä voi verrata liikenneruuhkaan. Kun liikenne ruuhkautuu, kukaan ei pääse nopeasti eteenpäin, vaan kaikki liikkuvat hitaasti. Sama ilmiö toimii myös verkossa, kun palvelin ei pysty käsittelemään kaikkia pyyntöjä nopeasti tai ollenkaan.

DDoS-hyökkäyksessä käytetään hyödyksi useita laitteita, kuten tietokoneita. Tietokoneet saatetaan vuokrata tai hyödyksi voidaan käyttää esimerkiksi haittaohjelmalla saastutettuja tietokoneita. Sinunkin tietokoneesi saattaa tahattomasti osallistua palvelunestohyökkäykseen, jos et suojaa sitä haittaohjelmilta.

Palvelunestohyökkäys voi kohdistua verkon tiettyihin eri komponentteihin. Useimmat palvelunestohyökkäykset kohdistuvat seuraavissa kolmessa tasossa:

• Verkkotaso (Taso 3). Tämän tason iskuja ovat muun muassa Smurf-hyökkäykset, ICMP-tulvat sekä IP/ICMP fragmentation -hyökkäykset.
• Siirtotaso (Taso 4). Näihin hyökkäyksiin kuuluvat muun muassa SYN-tulvat, UDP-tulvat ja TCP-portin hyökkäykset.
• Sovellustaso (Taso 7). Lähinnä HTTP-salatut hyökkäykset.

TCP-yhteyden hyökkäyksessä muodostetaan yhteys palvelimelle, mutta hyökkääjät jättävät yhteyden tarkoituksella auki ja palvelimen odottavaan tilaan. Tarkoituksena on, että palvelin ei voi tällöin ottaa vastaan muita pyyntöjä. Hakkeri jatkaa palvelimelle tehtyjä vastaavia pyyntöjä ruuhkauttaen ja lopulta kaataen sen.

Tavallisin palvelunestohyökkäys on nimeltään Volumetric Attack. Hyökkääjien tarkoituksena on tehdä sivustolle niin monta yhtäaikaista pyyntöä käyttäen esimerkiksi saastutettujen tietokoneiden bottiarmeijaa, että palvelin ei pysty käsittelemään pyyntöjä ja lopulta kaatuu.

Tämä hyökkäystyyppi toteutetaan usein esimerkiksi tekemällä lukuisia pyyntöjä avoimelle DNS-palvelimelle. Tarkoituksena on, että DNS-palvelin lähettää lopulta liikaa tietoja, eikä niitä pystytä käsittelemään.

Pirstoumahyökkäyksessä hyödynnetään IP-pakettien pirstoutumista siten, että palvelimelle lähetetään tekaistuja tietopaketteja, jotka ruuhkauttavat palvelimen. Tätä hyökkäystä käytetään pakettisuodatukseen perustuvaa palomuuritekniikkaa hyödyntävissä tietoverkoissa.

Sovellustason hyökkäykset ovat hyökkäystyypeistä kaikkein yksinkertaisimpia. Ne tehdään samalla tasolla, jolla käyttäjätkin ovat, jolloin verkkosivuston kannalta tilanne näyttää siltä, että käyttäjät lataisivat samaa sivua koko ajan uudelleen. Nämä hyökkäykset ovat yleensä edullisempia, ja niiden havaitseminen on vaikeampaa.

Tehostetussa DDoS attack -hyökkäyksessä verkkorikolliset ottavat kohteekseen DNS-palvelinten tietoturva-aukot ja haavoittuvuudet. Tehostus-nimi tulee siitä, että pienet pyynnöt muunnetaan isoiksi, jolloin ne rajoittavat palvelimen kaistanleveyttä ja lopulta pysäyttävät kohdepalvelimen prosessit. On olemassa kaksi eri tyyppiä tehostettuja DDoS-hyökkäyksiä: DNS reflection ja CharGEN reflection.

Tutustutaan seuraavaksi näihin kahteen eri hyökkäystyyppiin.

Ensin on tärkeää ymmärtää DNS-palvelimen tehtävä. Se muuntaa selaimeen syöttämäsi domain-nimen IP-osoitteeksi. DNS-palvelin on siis eräänlainen internet-osoitteiden puhelinluettelo.

DNS reflection -hyökkäyksessä kopioidaan palvelimen IP-osoite ja lähetetään pyyntöjä DNS-palvelimelle sekä pyydetään takaisin datamäärältään suuria vastauksia. Tällaisen hyökkäyksen kohdalla saatetaan puhua esimerkiksi jopa 70-kertaisista vastauksista normaaliin kokoon nähden, mikä rampauttaa nopeasti uhrin sivuston tai palvelun.

CharGEN on vanha protokolla, joka kehitettiin jo alun perin vuonna 1983. Sitä ei suinkaan kehitetty hyökkäysmielessä, vaan testaukseen. Protokollan vanhasta iästä huolimatta sitä käytetään vieläkin esimerkiksi joissain kopiokoneissa ja printtereissä.

Protokollaan on jäänyt haavoittuvuuksia, ja CharGEN Reflection -hyökkäys toimii niin, että hyökkääjä lähettää monia pieniä tietopaketteja laitteelle. Lopulta laite ruuhkauttaa uhrin järjestelmän UDP-vastauksilla rampauttaen palvelimen.

Teknologia kehittyy. Samalla, kun sivustot ovat entistä paremmin suojautuneita palvelunestohyökkäyksiä vastaan, myös verkkorikolliset ovat kehittäneet hyökkäysmetodejaan.

Vielä vuosia sitten palvelimen ruuhkauttaminen on onnistunut nykystandardeilla naurettavan helposti. Kun palvelunestohyökkäyksen koko oli vielä ennen vuosituhanteen vaihdetta keskimäärin noin 150 per sekunti, nykyään puhutaan täysin erilaisista lukemista. Vuonna 2018 toteutetussa GitHub-hyökkäyksessä GitHubin palvelin saatiin kyykkyyn 8 minuutiksi, kun sivustolle lähetetiin 1,35 teran verran tietoa – per sekunti.

Palvelunestohyökkäyksen seuraukset voivat olla yrityksellä tai valtion organisaatiolle rajut. Suoraa vaikutusta on vaikea laskea, kun hintaa koituu esimerkiksi menetetystä liiketoiminnasta, vaurioiden korjaamisesta sekä mahdollisista oikeuskuluista. Etenkin isompien yritysten mainehaitat voivat myös aiheuttaa merkittäviä kuluja.

DDoS-hyökkäyksien estoon erikoistuneen Corero NetWork Security -yrityksen vuoden 2018 raportin mukaan DDoS-hyökkäys voi maksaa yritykselle yhteensä esimerkiksi jopa 50 000 dollaria. Isompien yhtiöiden kohdalla summa voi olla vieläkin isompi.

DDoS-hyökkäyksen tekeminenkään ei ole ilmaista. Monet verkkorikolliset ovat nähneet tässä bisnestilaisuuden ja tarjoavat halukkaille mahdollisuuden ostaa palvelunestohyökkäyksen. Esimerkiksi pimeässä verkossa myytävien palvelunestohyökkäysten hinta vaihtelee sen mukaan, kauanko hyökkäys kestää ja kuinka laaja se on. Halvimmillaan hyökkäyksen voi saada muutamalla kympillä.

Useimmissa tapauksissa kyllä. Palvelunestohyökkäyksiä pidetään monien maiden lainsäädännön mukaan laittomina, ja tulevaisuudessa ne määritellään varmasti monen muunkin maan lainsäädännössä laittomiksi. Toisin kuin esimerkiksi spoofing, palvelunestohyökkäyksen yksittäiset komponentit eivät välttämättä ole laittomia, mutta hyökkäyksen toteuttaminen kokonaisuudessaan ja tarkoituksella tekee siitä laittoman.

Palvelunestohyökkäys voi samaan aikaan rikkoa useamman maan lainsäädäntöä. Esimerkiksi Yhdysvalloissa palvelunestohyökkäystä pidetään liittovaltion tason rikoksena, ja Briteissä DDoS-hyökkäys voi johtaa jopa 10 vuoden vankeuteen. Luonnollisesti korvattavaksi voivat tulla myös vahingonkorvauskulut.

Palvelunestohyökkäysten jäljitys voi olla vaikeaa. Ongelma on se, että niissä käytetään isoa tietokoneiden bottiarmeijaa ja tosiasiallista järjestävää tahoa voi olla vaikea löytää.

Palvelunestohyökkäyksiä voi tunnistaa niiden tapahtuessa erilaisten tietoturvatyökalujen avulla. Niiden pysäyttäminen voi kuitenkin siinä vaiheessa olla jo liian myöhäistä. Monet yritykset käyttävätkin palvelunestohyökkäysten torjumiseen paljon rahaa ennaltaehkäisevästi.

Palvelunestohyökkäyksiä käytetään useimmiten verkkosivustojen ja yritysten palveluiden kaatamiseen. Joissain tilanteissa, esimerkiksi verkkopelaamisessa, palvelunestohyökkäystä voidaan kuitenkin käyttää myös yksityishenkilöä vastaan.

VPN piilottaa oikean IP-osoitteesi, jolloin sinua vastaan ei voida suoraan tehdä DDoS-hyökkäystä. Kun oikea IP-osoitteesi ei paljastu muille, sitä ei voida käyttää sinua vastaan.