Palvelunestohyökkäys

Palvelunestohyökkäys ei edellytä juurikaan teknisiä taitoja, mutta siitä huolimatta se voi katkaista yhteytesi verkkopalveluun hetkessä. Kyseessä on yksi tunnetuimpia verkkohyökkäyksiä, jota käytetään enimmäkseen kiusantekoon. Mitä DDoS-hyökkäys sitten tarkoittaa?

Hyvä esimerkiksi DDos-hyökkäyksen kaltaisesta tilanteesta on suosittujen tapahtumien verkossa tapahtuva lipunmyynti. Led Zeppelin ei ollut esiintynyt yhdessä 19 vuoteen, kun he ilmoittivat pitävänsä konsertin Lontoon O2 Arenalla 10. joulukuuta 2007. 

Fanien keskuudessa innostus oli luonnollisesti erittäin suurta, sillä onhan kyseessä yksi legendaarisimmista vanhan liiton rock-yhtyeistä.

Kun jopa 80 000 rock-fania yritti ostaa lippuja samanaikaisesti verkkokaupasta, lippupalvelu ei vain yksinkertaisesti kestänyt tätä painetta. Suuren kävijämäärän johdosta se kaatui kokonaan, mikä teki lippujen ostamisesta erittäin vaikeaa tai jopa mahdotonta.

Mikä on palvelunestohyökkäys?

DDoS-hyökkäys toimii juuri samalla tavalla, mutta siinä on kyseessä tarkoituksellinen ja pahantahtoinen hyökkäys johonkin verkkopalveluun.

Aiemmin kerrotussa esimerkiksi kyseisen lippupalvelun verkkosivusto tai palvelu käytännössä otettiin pois käytöstä ihmisten toimesta. Näin lippuja myyvän yrityksen liiketoiminta kärsi valtavasti, sillä varsinkin sen maine tahriintui hetkessä. Tulevaisuuden kannalta tapaus aiheutti lähes varmasti menetettyjä tuloja.

Jos asiakkaat eivät saa haluamaansa, he joutuvat tietysti kääntymään kilpailijan puoleen. Tällöin potentiaaliset pidemmän aikavälin asiakkaat katoavat lopullisesti yrityksen toiminnan ulottamattomiin.

Kaikista huolestuttavinta DDoS-hyökkäyksissä on se, että ne lamaannuttavat verkkopalvelut täydellisesti, mutta samalla niitä on todella helppo toteuttaa kenen vain.

Keitä ovat DDoS-hyökkäysten takana?

DDoS-hyökkäyksiä voivat toteuttaa kaikenlaiset toimijat aina valtioiden tukemista hakkeriryhmittymistä tavallisiin aloittelijoihin. Niiden helppous houkuttelee paikalle myös aivan tavallisia ihmisiä, joiden motiivit niiden tekemiseen vaihtelevat paljon.

Seuraavaksi tarkastelemme hieman tarkemmin sitä, minkälaisia motiiveja palvelunestohyökkäysten takana yleensä on.

Minkälaisia motiiveja DDos-palvelunestohyökkäysten takaa löytyy?

Motiivit eivät aina ole taloudellisia, mutta raha on yleisin syy palvelunestohyökkäysten tekemisiin.

Tyypillinen hyökkäys ottaa verkkosivuston tai palvelimen pois käytöstä tietyksi ajaksi. Kun hyökkäys lopetetaan, tehdään lunnasvaatimus palvelun omistajalle: jos lunnaita ei makseta kryptovaluutoilla, hyökkäykset alkavat pian uudelleen.

Toinen motiivi on sosiaalinen aktivismi. Hakkeriryhmät kuten Anonymous saattavat hyökätä organisaatiota vastaan, koska ryhmittymä ei ole samaa mieltä sen poliittisesta kannasta tai toiminnasta.

Motiivi voi olla täten poliittinen, eettinen tai ekologinen. Aktivistit käyttävät DDoS-hyökkäyksiä digitaalisena vastineena opiskelijoiden istumalakoille tai massamielenosoituksille.

Nämä eivät kuitenkaan ole iloisia opiskelijoiden kepposia. DDoS-hyökkäyksen toteuttaminen on laitonta. Joissakin maissa on säädetty ankariakin lakeja niitä varten, jolloin pahimmillaan palvelunestohyökkäyksestä seurauksena saattaa olla jopa vankeutta ja mittavat korvaukset.

Kosto on myös yksi keskeisimpiä motiiveja. Tyytymätön tai entinen työntekijä tai henkilö, joka ei saanut työpaikkaa haastattelun jälkeen, voi helposti toteuttaa DDoS-hyökkäyksen yritystä vastaan.

Kosto oli motiivina vakaville ja pitkäkestoisille DDoS-hyökkäyksille Yhdysvaltojen rahoitussektorin jättiläisiä, kuten US Bancorpia, Bank of Americaa ja Wells Fargoa vastaan. Hyökkäykset alkoivat syyskuussa 2012 ja kestivät kaksi viikkoa, jonka aikana näistä organisaatioista osa oli pois toiminnasta päiväkausia.

Hyökkäyksen väitettiin olevan tuntemattoman aktivistiryhmän Izz ad-Din al-Qassam Cyber Fighters tekemä. Kybertutkijat ovat jäljittäneet nämä hyökkäykset Iranin valtion tukeman APT-ryhmittymän tekemiksi. Kaikki merkit viittaavat siihen, että motiivi oli kosto kuuluisasta Stuxnet-kyberhyökkäyksestä Iranin Natanzin uraanirikastamoa vastaan.

Palvelunestohyökkäys – katso kaikki päätyypit

DDos-hyökkäyksen tyyppi Kuvaus
Volumetrinen hyökkäys Kuormitetaan tekaistulla datalla UDP-yhteyksiä tai luodaan valtava määrä ICMP echo -kutsuja
Sovelluskerros hyökkäykset Hyökkääjät estävät HTTP, DNS tai SMTP liikenteen palvelimille
Protokolliin kohdistuvat hyökkäykset Luodaan turhia pyyntöjä ja lähetetään turhaa dataa kohteeseen ja muut sellaiset hyökkäykset, joissa käytetään jotain verkkoprotokolla hyväkseen

Volumetriset hyökkäykset

Nämä ovat yleisimpiä palvelunestohyökkäyksiä. Ne ylikuormittavat kohteena olevan tietokoneen verkon lähettämällä sinne valtavan määrän väärennettyjä HTTP-pyyntöjä.

Toisinaan nämä hyökkäykset kohdistetaan vain yhteen porttiin, kun taas joskus kohteena on kaikki avoimet portit. Kohteeksi joutuneen tietokoneen tai -laitteen on yritettävä käsitellä näitä näennäisesti oikeita pyyntöjä, jotka vievät kaiken sen kaistanleveydestä ja prosessointikyvystä. 

Tämän seurauksena laillisia pyyntöjä ei voida palvella, mikä taas johtuu siitä, että hyökkäyksen kohteena oleva tietokone on poissa käytöstä.

Tyypillisesti uhrin tietokoneelle lähetetyt viestit ovat joko User Datagram Protocol (UDP) -paketteja tai Internet Control Message Protocol (ICMP) -paketteja.

UDP on räätälöity erityisesti nopeaan tiedonsiirtoon, kuten videotiedoston siirtämiseen netin ylitse. Se tekee siitä hyvän työkalun lunnasvaatimuksia hakeville verkkorikollisille. ICMP-hyökkäykset taas lähettävät vääriä virheviestejä tai tietopyyntöjä ja kaatavat kohdetietokoneen, kun se yrittää käsitellä kaikkia näitä vääriä pyyntöjä.

Palvelunestohyökkäys – sovelluskerrokseen kohdistuvat uhat

Sovelluskerros on Open Systems Interconnection (OSI) -verkkomallin ylimmän tason kerros. Se liittyy ohjelmistoihin, jotka ovat vuorovaikutuksessa verkkoliikenteen kanssa.

Nämä hyökkäykset väärinkäyttävät tyypillisesti suoraa web-liikennettä käyttäen erilaisia protokollia, kuten Hypertext Transfer Protocol (HTTP), Secure Hypertext Transfer Protocol (HTTPS), Domain Name System (DNS) tai Simple Mail Transfer Protocol (SMTP).

Ne käyttävät samaa periaatetta kuin volumetriset hyökkäykset: erilaisia datapyyntöjä tehdään suuri määrä, mikä tukkii kohteena olevan tietokoneen tai laitteen. Näin koko järjestelmä kaatuu, mikä taas estää oikean tai liiketoimintaan liittyvän liikenteen palvelemisen.

Protokollahyökkäykset

Protokollahyökkäys voi käyttää tarkoituksellisesti muotoiltujen pakettien tulvaa yrittääkseen sekoittaa ja kaataa kohdelaitteen ylikuormittamalla sen sisäisiä puskureita tai korruptoimalla datataulukoita.

Muut protokollahyökkäykset käyttävät hyväkseen niin sanottua kolmivaiheista kättelyä, joka tapahtuu, kun TCP/IP-yhteyttä ollaan muodostamassa.

Yhteyspyyntö alkaa SYN-paketilla yhteyttä pyytävältä tietokoneelta. Vastaanottaja – tässä tapauksessa hyökkäyksen kohteena oleva tietokone – vastaa SYN+ACK-paketilla vahvistaakseen SYN-paketin.

Tämän jälkeen alkuperäinen lähettäjä vahvistaa SYN+ACK-paketin lähettämällä ACK-paketin kohdetietokoneelle. Sitten ne neuvottelevat siirtymisnopeudet, protokollat, pakettikoot ja niin edelleen ja muodostavat yhteyden.

SYN-hyökkäys

SYN-tulvahyökkäys kuuluu protokollahyökkäysten joukkoon. Se toimii siten, että kohdetietokoneelle lähetetään suuri määrä SYN-paketteja. Se vastaa jokaiseen näistä pyynnöistä SYN+ACK-paketilla ja odottaa lopullista ACK:ta jokaiselta etälaitteelta.

Tämän jälkeen yhteyttä ei jatketa pidemmällä, mikä tarkoittaa sitä, että jokainen näistä väärennetyistä yhteyksistä sitoo verkon resursseja kohdelaitteessa. Lopulta jokainen keskeneräinen yhteys aikakatkaistaan, mutta verkko saattaa olla tässä vaiheessa jo nurin. 

Samaan aikaan ongelmaksi tulee tietysti se, että SYN-pyyntöjen tulva on niin suuri, että oikeiden palvelun käyttäjien pyynnöt eivät pääse läpi.

Tämän tyyppisen hyökkäyksen muunnelma on hidas ja pyyntöjen määrältään pienempi hyökkäys. Nämä kuluttavat suhteellisen vähän kaistanleveyttä, joten ne voivat olla vaikeampia tunnistaa suorana verkkohyökkäyksenä.

Näissä hyökäyksissä tehdään yhteyspyyntöjä tasaisesti, ja jokaisen yhteyden keskusteluvaihe on pysäytetty niin pitkäksi aikaa kuin mahdollista ilman, että kohteena oleva laite aikakatkaisee sen.

SYN-hyökkäyksessä kohdepalvelimet kyllä työskentelevät jatkuvasti, mutta ne toimivat todella hitaasti. Pahimmillaan hyökkäys onnistuu lamaannuttamaan kohteet siten, että ne ovat käytännössä poissa toiminnasta. Tilannetta voisi verrata siihen, kun olisi kaupassa kassajonossa kaupassa odottamassa omaa vuoroaan, mutta jokainen edellä oleva asiakas tahallaan hidastelee niin paljon kuin vain voi.

ICMP-pyyntöpaketit

Tämä on yksi suosituimpia tapoja tehdä palvelunestohyökkäyksiä. ICMP-pyyntöpaketteja ei kuitenkaan lähetetä uhrin tietokoneelle, vaan ne lähetetään suuriin verkkoihin.

ICMP-paketit pyytävät, että paketti jaetaan kaikille verkon laitteille. Tämän takia pyyntö kopioidaan ja lähetetään kaikille verkkoon  yhteydessä oleville laitteille.

Alkuperäinen ICMP-pyyntö on kuitenkin väärennetty näyttämään siltä, että sen olisi lähettänyt uhrin tietokone. Kaikki vastaukset jokaiselta verkkolaitteelta lähetetään uhrin verkkosivustolle, palvelimelle tai muulle internetiin suuntautuvalle palvelulle.

Toisin sanoen lähettämällä yhden paketin voidaan aiheuttaa merkittäviä ongelmia kohteena olevalle tietokoneelle. Tätä kutsutaan vahvistamiseksi. Tietysti hyökkääjä käyttää suurta määrää suuria verkkoja pommittaakseen kohdetietokonetta siten, että sen käyttäminen ei ole lopulta enää mahdollista.

Palvelunestohyökkäys – monimutkaiset DDoS-hyökkäykset

Monimutkaiset DDoS-hyökkäykset voivat käyttää volumetrisia-, sovelluskerros- ja protokollahyökkäyksiä kaikkia samalla kertaa. Kuten edellä olemme nähneet, useimmat DDoS-hyökkäykset eivät ole teknisesti monimutkaisia, mutta ne ovat silti tuhoisia vaikutuksiltaan.

ddos hyökkäys

Miksi kuka tahansa voi suorittaa DDoS-hyökkäyksen?

Verkosta on saatavilla lukuisia palvelunestohyökkäyksiin liittyviä paketteja, joita voi ladata helposti ja jopa ilmaiseksi. Ei tarvitse mennä edes dark webiin, sillä ne löytyvät aivan kaikkien tuntemasta internetistä.

Kuka tahansa voi siis ladata tarvittavat sovellukset DDos-hyökkäyksen tekemistä varten. Lataat vain ne omalle koneellesi, noudatat muutamia yksinkertaisia ohjeita ja olet hetkessä verkkorikollinen. Sen kummempaa IT-osaamista ei vaadita.

Voit myös hankkia joidenkin DDoS-ohjelmien lähdekoodin GitHubista. Kloonaa repo, käännä lähdekoodi ja käynnistä täysin toimiva palvelunestohyökkäys.

Tähän tarvitaan hieman enemmän tietämystä, mutta jos pystyt noudattamaan yksinkertaista ohjeita, se on kenen tahansa tehtävissä. Jo pienellä tutustumisella pääsee nopeasti kääntämään lähdekoodia sovellukseksi, minkä jälkeen käytettävissä helppokäyttöinen ohjelma.

Jos osaat käyttää dark webiä, voit löytää paljon erilaisia DDoS-palveluita. Osa sen käyttäjistä tarjoaa palveluita, joissa maksua vastaan voidaan suorittaa palvelunestohyökkäyksiä. Tyypillisesti verkkorikolliset ovat kehittäneet haittaohjelmia ja tartuttaneet niin monta tietokonetta kuin mahdollista.

Näitä tartunnan saaneita laitteita – joita kutsutaan boteiksi – voidaan käyttää yhdessä tuottamaan tarvittavan suuri liikenne verkkopalvelun kaatamiseksi. Tartunnan saaneen laitteen omistaja ei edes tiedä osallistuvansa hyökkäykseen.

Mitä enemmän bottiverkkoja DDoS-palvelulla on, sitä enemmän liikennettä se voi tuottaa. Tavallisten käyttäjien ja verkossa liiketoimintaa tekevien kannalta on masentava uutinen se, että tällaisia palveluita on saatavilla niinkin vähällä kuin 20 dollaria tunnissa.

Kuinka suojautua DDoS-hyökkäyksiltä?

Tehokkaimmat suojautumismenetelmät palvelunestohyökkäyksiä vastaan ovat pilvipohjaisia. Jotkin palveluntarjoajat ylläpitävät erittäin nopeita verkkoja, jotka voivat käsitellä useita terabittejä dataa sekunnissa.

Kyseessä on tavallaan kuin suuri välityspalvelin, jonka kautta kaikki liikenne verkkosivustollesi – tai mille tahansa muulle suojausta tarvitsevalle verkkopalvelulle – toimitetaan tämän verkon kautta.

Mikäli jokin verkkopalvelu on palvelunestohyökkäyksen kohteena, siihen liittyvä liikenne jaetaan palveluntarjoajan palvelinten kesken.

Nämä palvelinkeskukset ovat riittävän tehokkaita, jotta ne voivat erotella oikeat tietopyynnöt vääristä. Tällöin aito liikenne voidaan sallia verkkosivustolle tai palvelimelle, kun taas DDoS-hyökkäykseen liittyvä liikenne hylätään.

Joskus näitä palveluita tuetaan palomuurilla tai muilla tavoilla puolustautua hyökkäyksiä vastaan. Tietoturvaan liittyvä ala kehittyy jatkuvasti, joten uusia palveluita ilmestyy markkinoille tasaisen varmasti.

Palvelunestohyökkäys – Yhteenveto

Palvelunestohyökkäys on yksi suosituimmista digitaalisen hyökkäyksen muodoista. Tähän on pääosin kaksi syytä. Ensinnäkin DDoS-hyökkäyksen toteuttaminen on kohtalaisen yksinkertaista. Toiseksi tekijä usein luulee, että häntä ei pysty jäljittämään mitenkään.

Usei hyökkääjiä kiinnostaa tehdä rikos, koska he virheellisesti uskovat, että rikoksen digitaalinen luonne suojaa heitä mahdollisilta rangaistuksilta. Mutta rikos on aina rikos, joten seuraukset saattavat olla vakavatkin kiinnijäämisen osalta.

Tämän tyyppinen naiivi kyberrikollinen jää usein kiinni – ja nopeasti – mutta se voi tuoda vain vähän lohtua uhrille, mikäli hän menettänyt tuloja, asiakkaita ja maineensa.

Samankaltaiset termit

Marshall Gunnell

Marshall on kokenut teknologiatoimittaja ja peliharrastaja, joka asuu Tokiossa. Hän on ammattimainen sananiekka, jonka kirjoituksia ovat julkaisseet esimerkiksi VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier sekä lukuisat muut mediat. Hänen kirjoituksensa ovat tavoittaneet yli 70 miljoonan lukijan massiivisen joukon.