DDoS-hyökkäys – mitä se tarkoittaa?

DDoS attack eli palvelunestohyökkäys tekee sen kohteena olevasta sivustosta käyttökelvottoman. DDoS on lyhenne sanoista Distributed Denial of Service eli hajautettu palvelunestohyökkäys. Se viittaa hyökkäykseen, joka tapahtuu useasta lähteestä samaan aikaan.

Palvelunestohyökkäystä voi verrata liikenneruuhkaan. Kun liikenne ruuhkautuu, kukaan ei pääse nopeasti eteenpäin, vaan kaikki liikkuvat hitaasti. Sama ilmiö toimii myös verkossa, kun palvelin ei pysty käsittelemään kaikkia pyyntöjä nopeasti tai ollenkaan.

DDoS-hyökkäyksessä käytetään hyödyksi useita laitteita, kuten tietokoneita. Tietokoneet saatetaan vuokrata tai hyödyksi voidaan käyttää esimerkiksi haittaohjelmalla saastutettuja tietokoneita. Sinunkin tietokoneesi saattaa tahattomasti osallistua palvelunestohyökkäykseen, jos et suojaa sitä haittaohjelmilta.

Palvelunestohyökkäys voi kohdistua verkon tiettyihin eri komponentteihin. Useimmat palvelunestohyökkäykset kohdistuvat seuraavissa kolmessa tasossa:

• Verkkotaso (Taso 3). Tämän tason iskuja ovat muun muassa Smurf-hyökkäykset, ICMP-tulvat sekä IP/ICMP fragmentation -hyökkäykset.
• Siirtotaso (Taso 4). Näihin hyökkäyksiin kuuluvat muun muassa SYN-tulvat, UDP-tulvat ja TCP-portin hyökkäykset.
• Sovellustaso (Taso 7). Lähinnä HTTP-salatut hyökkäykset.

1. TCP-yhteyden hyökkäykset

TCP-yhteyden hyökkäyksessä muodostetaan yhteys palvelimelle, mutta hyökkääjät jättävät yhteyden tarkoituksella auki ja palvelimen odottavaan tilaan. Tarkoituksena on, että palvelin ei voi tällöin ottaa vastaan muita pyyntöjä. Hakkeri jatkaa palvelimelle tehtyjä vastaavia pyyntöjä ruuhkauttaen ja lopulta kaataen sen.

2. Volumetric Attack

Tavallisin palvelunestohyökkäys on nimeltään Volumetric Attack. Hyökkääjien tarkoituksena on tehdä sivustolle niin monta yhtäaikaista pyyntöä käyttäen esimerkiksi saastutettujen tietokoneiden bottiarmeijaa, että palvelin ei pysty käsittelemään pyyntöjä ja lopulta kaatuu.

Tämä hyökkäystyyppi toteutetaan usein esimerkiksi tekemällä lukuisia pyyntöjä avoimelle DNS-palvelimelle. Tarkoituksena on, että DNS-palvelin lähettää lopulta liikaa tietoja, eikä niitä pystytä käsittelemään.

3. Pirstoumahyökkäys (fragmentation attack)

Pirstoumahyökkäyksessä hyödynnetään IP-pakettien pirstoutumista siten, että palvelimelle lähetetään tekaistuja tietopaketteja, jotka ruuhkauttavat palvelimen. Tätä hyökkäystä käytetään pakettisuodatukseen perustuvaa palomuuritekniikkaa hyödyntävissä tietoverkoissa.

4. Sovellustason hyökkäykset

Sovellustason hyökkäykset ovat hyökkäystyypeistä kaikkein yksinkertaisimpia. Ne tehdään samalla tasolla, jolla käyttäjätkin ovat, jolloin verkkosivuston kannalta tilanne näyttää siltä, että käyttäjät lataisivat samaa sivua koko ajan uudelleen. Nämä hyökkäykset ovat yleensä edullisempia, ja niiden havaitseminen on vaikeampaa.

Tehostetussa DDoS attack -hyökkäyksessä verkkorikolliset ottavat kohteekseen DNS-palvelinten tietoturva-aukot ja haavoittuvuudet. Tehostus-nimi tulee siitä, että pienet pyynnöt muunnetaan isoiksi, jolloin ne rajoittavat palvelimen kaistanleveyttä ja lopulta pysäyttävät kohdepalvelimen prosessit. On olemassa kaksi eri tyyppiä tehostettuja DDoS-hyökkäyksiä: DNS reflection ja CharGEN reflection.

Tutustutaan seuraavaksi näihin kahteen eri hyökkäystyyppiin.

DNS reflection

Ensin on tärkeää ymmärtää DNS-palvelimen tehtävä. Se muuntaa selaimeen syöttämäsi domain-nimen IP-osoitteeksi. DNS-palvelin on siis eräänlainen internet-osoitteiden puhelinluettelo.

DNS reflection -hyökkäyksessä kopioidaan palvelimen IP-osoite ja lähetetään pyyntöjä DNS-palvelimelle sekä pyydetään takaisin datamäärältään suuria vastauksia. Tällaisen hyökkäyksen kohdalla saatetaan puhua esimerkiksi jopa 70-kertaisista vastauksista normaaliin kokoon nähden, mikä rampauttaa nopeasti uhrin sivuston tai palvelun.

CharGEN reflection

CharGEN on vanha protokolla, joka kehitettiin jo alun perin vuonna 1983. Sitä ei suinkaan kehitetty hyökkäysmielessä, vaan testaukseen. Protokollan vanhasta iästä huolimatta sitä käytetään vieläkin esimerkiksi joissain kopiokoneissa ja printtereissä.

Protokollaan on jäänyt haavoittuvuuksia, ja CharGEN Reflection -hyökkäys toimii niin, että hyökkääjä lähettää monia pieniä tietopaketteja laitteelle. Lopulta laite ruuhkauttaa uhrin järjestelmän UDP-vastauksilla rampauttaen palvelimen.

Teknologia kehittyy. Samalla, kun sivustot ovat entistä paremmin suojautuneita palvelunestohyökkäyksiä vastaan, myös verkkorikolliset ovat kehittäneet hyökkäysmetodejaan.

Vielä vuosia sitten palvelimen ruuhkauttaminen on onnistunut nykystandardeilla naurettavan helposti. Kun palvelunestohyökkäyksen koko oli vielä ennen vuosituhanteen vaihdetta keskimäärin noin 150 per sekunti, nykyään puhutaan täysin erilaisista lukemista. Vuonna 2018 toteutetussa GitHub-hyökkäyksessä GitHubin palvelin saatiin kyykkyyn 8 minuutiksi, kun sivustolle lähetetiin 1,35 teran verran tietoa – per sekunti.

Palvelunestohyökkäyksen seuraukset voivat olla yrityksellä tai valtion organisaatiolle rajut. Suoraa vaikutusta on vaikea laskea, kun hintaa koituu esimerkiksi menetetystä liiketoiminnasta, vaurioiden korjaamisesta sekä mahdollisista oikeuskuluista. Etenkin isompien yritysten mainehaitat voivat myös aiheuttaa merkittäviä kuluja.

DDoS-hyökkäyksen tekeminenkään ei ole ilmaista. Monet verkkorikolliset ovat nähneet tässä bisnestilaisuuden ja tarjoavat halukkaille mahdollisuuden ostaa palvelunestohyökkäyksen. Esimerkiksi pimeässä verkossa myytävien palvelunestohyökkäysten hinta vaihtelee sen mukaan, kauanko hyökkäys kestää ja kuinka laaja se on. Halvimmillaan hyökkäyksen voi saada muutamalla kympillä.

Useimmissa tapauksissa kyllä. Palvelunestohyökkäyksiä pidetään monien maiden lainsäädännön mukaan laittomina, ja tulevaisuudessa ne määritellään varmasti monen muunkin maan lainsäädännössä laittomiksi. Toisin kuin esimerkiksi spoofing, palvelunestohyökkäyksen yksittäiset komponentit eivät välttämättä ole laittomia, mutta hyökkäyksen toteuttaminen kokonaisuudessaan ja tarkoituksella tekee siitä laittoman.

Palvelunestohyökkäys voi samaan aikaan rikkoa useamman maan lainsäädäntöä. Esimerkiksi Yhdysvalloissa palvelunestohyökkäystä pidetään liittovaltion tason rikoksena, ja Briteissä DDoS-hyökkäys voi johtaa jopa 10 vuoden vankeuteen. Luonnollisesti korvattavaksi voivat tulla myös vahingonkorvauskulut.

Voiko DDoS-hyökkäyksiä jäljittää? Palvelunestohyökkäysten alkuperän selvittäminen on usein vaikeaa. Ongelma on se, että niissä käytetään isoa tietokoneiden bottiarmeijaa, joten tosiasiallista järjestävää tahoa voi olla vaikea löytää.

Palvelunestohyökkäyksiltä suojautumiseen ei ole yhtä yksinkertaista ratkaisua, mutta niitä voi torjua ja niiden vaikutuksia voi lieventää usealla eri tavalla. Lue alta lisää palvelunestohyökkäysten torjumisesta.

Palvelunestohyökkäyksiä voi tunnistaa niiden tapahtuessa erilaisten tietoturvatyökalujen avulla. Hyökkäyksen pysäyttäminen voi kuitenkin tässä vaiheessa olla jo liian myöhäistä. Monet yritykset käyttävätkin palvelunestohyökkäysten torjumiseen paljon rahaa ennaltaehkäisevästi.

Yritykset suojautuvat DDoS-hyökkäyksiltä hyödyntämällä erilaisia turvallisuusjärjestelmiä, kuten palomuureja, hyökkäysliikenteen tunnistavaa suodattamista, kuormantasaajia ja hyökkäysten estojärjestelmiä. Nämä järjestelmät eivät siis estä palvelunestohyökkäyksiä, vaan lieventävät tai torjuvat niiden vaikutuksia.

Lyhyt vastaus: Ei. Palomuureja ei ole kehitetty laajojen palvelunestohyökkäysten torjumiseen, ja ne eivät toimi aukottomasti. Massiivinen hyökkäys voi myös estää palomuurin toiminnan. Palomuureista voi kuitenkin olla apua joidenkin hyökkäysten torjumisessa, ja koska niistä on muuta hyötyä, palomuureja kannattaa ajatella osana suojausjärjestelmää.

Palvelunestohyökkäyksiä käytetään useimmiten verkkosivustojen ja yritysten palveluiden kaatamiseen. Joissain tilanteissa, esimerkiksi verkkopelaamisessa, palvelunestohyökkäystä voidaan kuitenkin käyttää myös yksityishenkilöä vastaan.

VPN piilottaa oikean IP-osoitteesi, jolloin sinua vastaan ei voida suoraan tehdä DDoS-hyökkäystä. Kun oikea IP-osoitteesi ei paljastu muille, sitä ei voida käyttää sinua vastaan.

Yksityishenkilöiden, etenkin pelaajien, kannattaa varautua DDoS-hyökkäyksiin. Virustorjuntaohjelma ja palomuuri eivät välttämättä suojaa pelaajaa kaikilta hyökkäyksiltä, mutta niistä ei kannata tinkiä, sillä niiden avulla voi torjua osan hyökkäyksistä. Niiden avulla voit myös varmistaa, että laitteillesi ei pääse viruksia, jotka kaappaavat laitteesi ja tekevät siitä osan palvelunestohyökkäyksiä tekevää bottiverkostoa.

Viruksilta ja haittaohjelmilta suojautumisessa auttaa myös erilaisten vaarallisten tiedostojen tunnistaminen ja yleinen varovaisuus sähköpostien linkkien ja liitetiedostojen suhteen. Muista myös, että vaarassa ovat kaikenlaiset verkkoon kytketyt laitteet, kuten älypuhelimet – virus puhelimessa voi vaarantaa turvallisuutesi.

NordVPN:n Threat Protection -ominaisuus auttaa tehokkaasti laitteiden suojaamisessa. Sen avulla tunnistat vaaralliset tiedostot ja estät pääsyn haitallisille sivuille.