4.2. Palvelunestohyökkäys

Siinä missä virukset aiheuttavat mitä moninaisimpia tuhoja, palveluestohyökkäys pyrkii estämään verkon kautta jaettavan palvelun. Palveluestohyökkäyksiä on monenlaisia ja iskun seuraukset voivat kestää minuuteista päiviin. Iskut vaikuttavat verkon suorituskykyyn, datan eheyteen ja viime kädessä koko järjestelmän toimintaan.

Ensimmäinen merkittävä palvelunesto- eli DoS-hyökkäys (Denial of  Service) oli 1980-luvun loppupuolella ilmestynyt Morris-mato, jonka arvioitiin estäneen noin 5000 koneen toiminnan useaksi tunniksi. Pienimuotoiset palvelunestot eivät juurikaan haittaa tavallista netin käyttäjää, mutta täysin verkkopalveluista riippuville yrityksille ne saattaa lyhyessäkin ajassa aiheuttaa miljoonien eurojen tappioita. Nämä seuraukset on alettu huomioida myös lainsäädännössä. Viime vuosina Dos-hyökkäysten määrä on lisäksi voimakkaasti kasvanut ja hyökkäykset ovat tulleet monimutkaisemmiksi.

Miten palveluesto tapahtuu?

Palveluestohyökkäykset kehitetään tavallisesti hyödyntämällä ohjelmien ohjelmointivirheitä tai -puutteita tai kirjoittamalla erikoisohjelmia, jotka suorittavat hyökkäyksen. Hyökkäykset toimivat pääsääntöisesti kolmella tavalla:

Verkkokapasiteetin kulutus on hyökkäys verkkoresursseihin. Se tarkoittaa kaiken käytettävissä olevan verkkokapasiteetin käyttämistä yhteen tai useampaan tietokoneeseen hyökkäämällä. Tämä hidastaa verkon vasteaikaa tai pysäyttää palvelimen toiminnan hyökkäyksen aikana, jolloin mm. www-sivustoon ja sähköpostiin  ei saada yhteyttä. Resurssien kyllästäminen kohdistuu tiettyihin tietokonejärjestelmiin kuten www-, DNS-, FTP- ja sähköpostipalveluihin, jolloin ko. palvelut hidastuvat tai pysähtyvät kokonaan. Järjestelmien ja sovellusten kaatumiset aiheuttavat palvelun estymisen, koska järjestelmä tai ohjelmisto jumiutuu tai sekoaa.

Käymme seuraavassa läpi kolmea em. hyökkäystyyppiä hieman tarkemmin.


Verkkokapasiteetin kulutus

Jokainen verkko pystyy siirtämään vain äärellisen määrän liikennettä tietyssä ajassa. Liikennemäärä riippuu mm. verkon nopeudesta, laitteiden tyypistä ja laitteiden suorituskyvystä. Yhteydentarjoajan ja organisaation välillä on yleensä ISDN-, DSL-, kaapelimodeemi-, T1 tai T3-linkki; kullakin yhteystyypillä on erilaiset kaistanleveysominaisuudet. Lähiverkkotopologioissa käytetään sen sijaan usein 10Base-T tai 100 Base-T -tekniikkaa.

Kaistankulutustyyppien palvelunesto tapahtuu, kun verkkolinkin koko kapasiteetti on käytössä: verkkoon ei enää pystytä lähettämään uutta dataa, mikä tarkoittaa, ettei erilaisiin verkkopalveluihin (postipalvelin, www-palvelin jne.) pystytä luomaan uusia yhteyksiä. Lisäksi jo muodostuneet yhteydet muuttuvat matelevan hitaiksi, pysähtelevät tai katkeilevat.

Verkkokapasiteettihyökkäyksiä voivat aiheuttaa erityiset hyökkäysohjelmat tai verkkolaitteiden (tietokoneet, reitittimet, kytkimet) virheelliset asetukset. Verkkokapasiteettihyökkäykset ovat aktiivisia tuholaisia: palvelu on estynyt vain niin kauan kun koko kaistanleveys on käytössä. Eli heti kun hyökkäävä ohjelma lopettaa datan lähettämisen tai laite konfiguroidaan oikein, useimmat verkkopalvelut palaavat ennalleen.


Resurssien kyllästäminen

Samoin kuin verkolla, niin myös jokaisella tietokoneella on äärellinen määrä resursseja (muistia, levytilaa, prosessoritehoa). Resurssien kyllästyminen tapahtuu, kun yksi tai useampi näistä resursseista on kokonaan käytetty, jolloin resurssia ei riitä enää muiden sovellusten käyttöön. SYN-tulva on esimerkki joka käyttää järjestelmän kaikki resurssit loppuun. SYN-tulva syntyy lyhyesti sanottuna siten, kun yksi tai useampi hyökkäävä kone lähettää suuren määrän yhteydenavauspyyntöjä, jotka kuitenkin jättää itse käsittelemättä. Tällöin palvelin luo suuren määrän avautuvassa tilassa olevia yhteyksiä.

SYN-tulvan syvällisempi ymmärtäminen edellyttää LAN-tekniikoiden ja erityisesti TCP/IP-protokollaperheen tuntemista. Perehdy asiaan tarvittaessa.

Asiaa voidaan lähestyä myös siltä kannalta, että jokaisessa TCP/IP-verkkoyhteyksiä tukevassa käyttöjärjestelmässä on rajoitus yhtä aikaa ylläpidettävien yhteyksien määrälle. SYN-tulva toteutetaan luomalla kohdepalvelimen porttiin "puoliavoimia" yhteyksiä, joiden kolmivaiheinen kättely on kesken. Normaalissa tilanteessa kättely saadaan valmiiksi tai se aikakatkaistaan, jolloin yhteys poistetaan. Jokainen portti pystyy tukemaan vain äärellisen määrän puoliavoimia yhteyksiä, ja kun tämä lukumäärä ylitetään, uusien yhteyksien muodostaminen ei ole mahdollista. Kun palvelimeen lähetetään vain ensimmäisen TCP-kättelyn paketti virheellisillä tai väärennetyillä lähdeosoitteilla, palvelin vastaa SYN-pakettiin kuittauksella. Koska kuittaus menee väärennettyyn osoitteeseen, vastaus ei pääse koskaan perille. Tämä aiheuttaa puoliavointen, muodostumista odottavien yhteyksien kasauman, jolloin uusien yhteyksien hyväksyminen estyy.

Asiaa voi valaista vielä www-palvelimen avulla, joka on hyvä esimerkkikohde palvelunestohyökkäykselle. Kun selain ottaa yhteyden www-palvelimeen, muodostetaan yksi HTTP-pyyntö ja -yhteys. Tällä pyynnöllä palvelimelta pyydetään tiettyä tiedostoa; sitten palvelin lähettää tiedoston ja yhteys suljetaan. Näissä olosuhteissa www-palvelin pystyy käsittelemään suuren määrän pyyntöjä, koska pyyntöjen suoritusaika on yleensä hyvin lyhyt ja pyyntöjä saapuu yksi kerrallaan. Kun palvelin ottaa useita pyyntöjä samanaikaisesti, sovellus kuormittuu, koska se käsittelee näitä yhteyksiä samaan aikaan. Tällöin www-palvelin hidastuu, mutta se toimii edelleen.

Jotta hyökkääjä saa pysäytettyä www-palvelimen, hänen pitää kasvattaa yhteyksien käsittelyyn kuluvaa aikaa tai yhden yhteyden käsittelyyn kuluvaa tehoa. Www-palvelimeen kohdistuva SYN-tulva estää palvelinta vastaanottamasta uusia yhteyksiä ylittämällä palvelimen käyttämän portin yhteyksien maksimimäärän. SYN-tulvaa vastaan on vaikea puolustautua. Jos hyökkääjä väärentää paketit niin, että ne näyttävät tulevan tavoittamattomasta järjestelmästä, palvelin ei pysty päättelemään, etteivät ne kuulu tavanomaiseen liikenteeseen. Palvelin vastaa pyyntöihin samalla tavalla kuin muihinkin yhteyksiin ja odottaa tietyn ajan ennen kuin se päättelee, että yhteys on syytä sulkea. Kuten SYN-tulvan kuvauksessa edellä selvitettiin, palvelunesto tapahtuu, kun www-palvelin vastaanottaa suuren määrän näitä väärennettyjä paketteja - niin monta, ettei se enää pysty käsittelemään uusia yhteyksiä ja väistämättä juuttuu odottamaan väärennettyjen yhteyksien aikakatkaisua, jonka jälkeen se pystyy jatkamaan toimintaansa.


Järjestelmien ja sovellusta kaataminen

Järjestelmien ja sovellusten kaataminen ovat nopeita ja helppoja palvelunestokeinoja, jotka perustuvat ohjelmointivian tai -puutteen hyväksikäyttöön. Eräs tunnettu esimerkki on Ping of Death -hyökkäys, joka perustuu ylisuuriin ICMP-kaiutuspyyntöihin. Kohdekone kaatuu, koska verkkodata käsittely on toteutettu huonosti.

Jos ping-komento on sinulle täysin outo, voit tutustua siihen - ja moniin muihinkin verkkotyökaluihin - täältä

Vastaavia yhteyksiä kohdistetaan usein myös verkkoyhteyslaitteisiin, kuten IP-reitittimiin, hallittaviin kytkimiin, VPN:iin ja muihin sovelluskohtaisiin laitteisiin. Nämä laitteet tukevat usein jotain hallintaliittymää, esimerkiksi komentorivi-käyttöliittymää tai www-käyttöliittymää. Näitä laitteita on onnistuttu kaatamaan esimerkiksi samanaikaisten yhteyksien suurella määrällä, puskurien ylivuodolla ja datan virheellisellä vahvistuksella. On muistettava, että yhteyslaitteeseen kohdistuvalla palvelunestohyökkäyksellä on laajempi vaikutus kuin yhteen koneeseen tehtävällä hyökkäyksellä, koska yhteyslaitteet ovat tyypillisesti yhdyskäytäviä eri verkkoihin.

Monet näistä hyökkäyksistä voidaan estää verkkolaitteen turvallisilla asetuksilla. Tämä tarkoittaa mm. tehtaalla asetettujen  oletussalasanojen vaihtamista ja laitteen säätämistä niin, että se sallii ylläpidon vain tietyistä koneista.


Esimerkkejä palveluestomenetelmiin perustuvista hyökkäyksistä

Postipommit ovat salakavalia hyökkäysmenetelmiä, jotka ovat yksikertaisuudestaan huolimatta tehokkaita. Perinteinen sähköpostipommi on sarja viestejä (esimerkiksi tuhansia kappaleita), jotka lähetetään sähköpostilaatikkoon. Hyökkääjän tavoite on täyttää postilaatikko tai postipalvelukoneen kiintolevy roskadatalla. Jos käytössä on postikiintiöitä, postipommin vastaanottajalle ei toimiteta uusia viestejä ennen kuin postilaatikko on siivottu. Jos postipalvelimen tiedostojärjestelmä täyttyy, kukaan käyttäjä ei voi vastaanottaa uusia viestejä. Sähköpostipommit aiheuttavat tärkeiden tietojen katoamista ja verkkokapasiteetin ja lisäkulutusta. Kustannukset nousevat ja aika menee postilaatikon siivoamiseen.

Postipommipaketit ovat ohjelmia, jotka automatisoivat postipommien lähetysprosesseja. Järjestelmien ylläpitäjien kannattaa olla tietoisia näitä paketeista ja niihin liittyvistä tiedostonimistä.

Oheisessa luettelossa on lueteltu suosittuja postipommipaketteja ja niiden tiedostonimiä. Jos huolehdit usean käyttäjän verkosta, sinun kanttaa tarkistaa, ettei levyllä ole mm. tämän nimisiä tiedostoja.

Sähköpostipommeista toipumisessa auttavat poistotiedostot, poissulkevat järjestelmät ja postisuodattimet. Kyseisillä työkaluilla voidaan torjua automaattisesti lähdeosoitteesta saapuvia posteja. Eli käytännössä kannattaa kokeilla erilaisten postisuodattimien käyttöä, joista muutamia on mainittu alla olevassa luettelossa.

Jos joku alkaa pommittamaan sinua, voit kokeillaan myös inhimillistä lähestymistapaa ja ottaa yhteyttä hyökkääjän postimestariin. Tämä on yleensä tehokas toimi, sillä pommittajan tunnus voidaan sulkea välittömästi. Tarvittaessa on syytä ottaa yhteyttä myös viranomaisiin.

Listalinkityshyökkäyksillä on samantyyppisiä vaikutuksia kuin postipommeilla, mutta ne ovat vähemmän huomiota herättäviä. Listalinkityksessä kohde tilaa sinulle kymmeniä postituslistoja, jotka voivat täyttää postilaatikkosi ja mahdollisesti postipalvelimen. Linkityksen tulokset voivat olla tuhoisia, sillä useimmat postituslistat lähettävät ainakin 50 viestiä päivässä ja joidenkin viestien mukana tulee vielä binäärimuotoisia liitteitä. Eli jos hyökkääjä linkittää sinut 100 listaan, voit saada 5000 viestiä vuorokaudessa! Joudut irtosanomaan jokaisen tilatun listan käsin. Lisäksi hyökkääjät valitsevat usein sellaisen hetken, jolloin olet poissa, mm. lomalla. Jos listoista ei pääse millään eroon, ainut vaihtoehto saattaa olla sähköpostiosoitteen vaihtaminen.


Protokollahyökkäykset

Protokollahyökkäykset iskevät suoraan IP-toteutusten sydämeen, joten niitä voi tapahtua millä tahansa alustalla. Ja koska eri alustat ovat erilaisia, palvelunestohyökkäys voi toimia toisessa ja epäonnistua kohdekäyttöjärjestelmässä. Esimerkkeinä mainittakoon mm. edellä mainitut SYN, UDP- ja ICMP-tulvahyökkäykset.


Hajautetut palvelunestohyökkäykset

Hajautetut palvelunestohyökkäykset (DDoS)  tulivat esille vuoden 2000 alussa. Nämä hyökkäykset poikkesivat tavallisista palvelunestohyökkäyksistä siinä, että verkkoliikennetulva näytti saapuvan yhtä aikaa monista eri järjestelmistä. Kuten nimestäkin voi päätellä, hajautettu palvelunestohyökkäys tapahtuu kun useat järjestelmät (kourallinen tai tuhansia järjestelmiä) hyökkäävät tiettyyn kohteeseen samanaikaisesti.

Nämä hyökkäykset toimivat isäntä/orja-mekanismilla. Isäntä on se ohjausasema, josta hyökkääjä määrittelee kohteen ja hyökkäysmenetelmän. Orja-asemat ovat etäjärjestelmiä, joihin on murtauduttu ja joihin on asennettu hyökkäysohjelma. Isäntä lähettää orja-asemille signaalin, jolla hyökkäys käynnistetään. Hyökkäys voidaan pysäyttää isäntäaseman lähettämällä toisella signaalilla.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

asfsadf