Palvelunestohyökkäys

Wikipedia

Loikkaa: valikkoon, hakuun

Palvelunestohyökkäys (Denial of Service, DoS) tarkoittaa tietyn verkkopalvelun lamauttamista niin, että palvelu ei ole käytettävissä. Muista hyökkäystyypeistä poiketen tavoitteena ei ole järjestelmään tunkeutuminen, vaan sen toiminnan häiritseminen. Julkisessa Internetissä saatetaan vaikkapa häiritä WWW-palvelun toimintaa niin paljon, etteivät asiakkaat pääse sille, tai lähettää niin suuri määrä sähköposteja yrityksen sähköpostipalvelimelle, että levytila loppuu, eikä palvelin kykene enää ottamaan postia vastaan.

Palvelunestohyökkäys tunnetaan myös nimillä palvelunkieltohyökkäys, häirintähyökkäys tai lamautushyökkäys. Useista lähteistä tapahtuvaa samanaikaista hyökkäystä tiettyä järjestelmää kohtaan kutsutaan nimellä hajautettu palvelunestohyökkäys (Distributed Denial of Service, DDoS).

Palvelunestohyökkäys voidaan toteuttaa monella eri tavalla. Kolme perustapaa ovat:

  1. Rajallisten resurssien, kuten kaistan, levytilan tai suoritinajan kuluttaminen.
  2. Ohjaustietojen, esim. reititystietojen tai nimipalvelutietojen muuttaminen.
  3. Vääränlaisen lähetteen syöttäminen palvelimelle kaataen sen käyttöjärjestelmän tai palvelinprosessin.

Sisällysluettelo

[muokkaa] Tulvahyökkäykset

Erilaiset tulvahyökkäykset ovat yksinkertaisimpia ja niiltä on usein mahdoton suojautua. Yksinkertaisimmillaan hyökkääjä avaa tuhansia yhteyksiä www-palveluun tai lähettää tuhansia sähköposteja yrityksen sähköpostipalvelimelle.

Smurf-hyökkäys on tehokkain tunnettu tulvahyökkäysten muoto. Siinä hyväksikäytetään kolmatta osapuolta, joksi kelpaa mikä tahansa iso verkko, jolla on paljon kaistaa, ja joka ei suodata sisään tulevia levitysviestejä. Hyökkääjä lähettää kyseiseen verkkoon suunnatun levitysviestin, johon jokainen verkon kone vastaa. Jos hyökkääjä lähettää 64 kilotavun ping-paketin ja verkossa on 3000 konetta, saa hyökkääjä vastauksena 64 kilotavua * 3000 eli 192 megatavua liikennettä. Kun hyökkääjä nyt väärentää jatkuvasti lähettämiinsä paketteihin uhrin IP-osoitteen, saa uhri jatkuvasti valtavan määrän liikennettä. Hitaallakin modeemiyhteydellä voi tällaista hyökkäystä käyttäen tukkia nopeankin nettiyhteyden.

Lähdeosoitteen väärentämistä hyödynnetään myös hajautetuissa palvelunestohyökkäyksissä. Hyökkäys näyttää tulevan yhdestä osoitteesta, mutta tuleekin todellisuudessa useista. Tällä saavutetaan se, että hyökkäyksen kohteena oleva kone pahimmassa tapauksessa tukkii vastauspaketeillaan myös hyökkäyksen näennäisen lähteen. Valitsemalla sopivan näennäisen lähteen voi hyökkäyksen teho kertaantua. Ilmiö on hiukan sama kuin elokuvista tuttu pikkupoika piilossa nurkan takana ampumassa ritsalla riitaista kaksikkoa.

[muokkaa] Ohjaustietojen häiritseminen

Reititysprotokollat ovat perinteinen ohjaustietojen häiritsemishyökkäyksen kohde. Periaatteessa uudemmissa reititysprotokollissa kuten RIPv2:ssa tai EIGRP:ssä on kohtalaisen hyvät tietoturvaominaisuudet, mutta monet yritykset käyttävät yhä vanhempia protokollia, tai eivät ole kytkeneet tietoturvaominaisuuksia päälle. Reitittimelle voi lähettää reittipäivityksen, jossa vaikkapa väitetään suositun www-sivuston olevan jossain aivan muualla, kuin missä se oikeasti on. Reititin ohjaa kaikki kyseiseen osoitteeseen suunnatut paketit aivan väärään osoitteeseen.

DNS:n (nimipalvelu) kanssa on samanlaisia ongelmia. Pahimpana ongelmana on DNS-välimuistin myrkyttäminen. Ideana on, että Windows NT4 ja 2000 -käyttöjärjestelmien DNS-palvelinohjelma oletusarvoisesti hyväksyy kaikkien nimipalvelinten sille lähettämiä tietoja - muistakin DNS-nimistä kuin kyseisille palvelimille kuuluvista. Jos ns1.operaattori.fi sitten kysyy vaikkapa ns1.yritys.fi-palvelimelta tietoa koneesta www.yritys.fi, voi kyseinen palvelin lähettää vastauksen, jossa on vastaus kyselyyn (www.yritys.fi = 1.2.3.4), minkä lisäksi siinä yhdistetään www.pankki.fi johonkin väärennettyyn osoitteeseen (www.pankki.fi = 1.1.1.1). Palvelin tallentaa tiedon pankin www-palvelimesta kritiikittömästi välimuistiinsa, ja jos joku käyttäjä surffaa www.pankki.fi-osoitteeseen jatkossa, joutuu hän kräkkerin palvelimelle (selaimen osoiterivillä lukee ihan tavallisesti www.pankki.fi).

Myös DHCP-palvelu on ongelmallinen tällaisten hyökkäysten kannalta.

[muokkaa] Vääränlainen lähete

Lokakuussa 1996 keksittiin että suuren osan verkkoon kytketyistä käyttöjärjestelmistä sai kaadettua ylipitkällä ICMP Echo request -paketilla (Ping of death).

Kesäkuussa 1997 julkaistiin WinNuke, jolla sai kohdekoneen Windows-käyttöjärjestelmän tai palvelinohjelman kaatumaan. Vanhemmilla Windows-koneilla tämä tarkoittaa sinistä ruutua. Hyökkäyksestä toipuminen vaati koneen uudelleenkäynnistämistä.

[muokkaa] Istuntojen määrä

Palomuuri voidaan myös tukkia lähettämällä minimaalisen määrän informaatiota sisältäviä paketteja, joilla on tarkoitus aloittaa uusi tietoliikenneyhteys, mutta koskaan saattamatta istuntoa lopetusvaiheeseen. Tällä tavalla saadaan palomuuri tukkeutumaan yhteyksien määrästä ja kykenemättömäksi vastaamaan uusiin yhteyspyyntöihin. Tämän tiedetään toimivan myös suhteellisen uusilla FreeBSD-palomuureilla.

[muokkaa] Hyökkäys Ylen ja Eniron verkkosivustoihin

Yleisradion, Suomi24:n ja Eniron verkkosivustot joutuivat 14.15. toukokuuta 2007 Suomen siihen asti laajimman palvelunestohyökkäyksen kohteeksi.[1] Hyökkäyksen takana oli F-Securen Mikko Hyppösen mukaan todennäköisesti Team Elite -niminen ryhmä, jossa on jäseniä useista eri maista. Harrastajista koostuva ryhmä ei tavoittele taloudellista hyötyä, vaan ainoastaan häiriköi. Hyökätyt sivut valittiin mahdollisesti sen perusteella, että ne ovat korkealla Suomen suosituimpien sivujen listassa, ja Suomen joutumiseen hyökkäyksen kohteeksi saattoi vaikuttaa euroviisujen kautta tullut medianäkyvyys.[2] [3] Suomen tietotoimiston sivuille tapahtui myös hyökkäys 17. toukokuuta. Palvelunestohyökkäys erosi teknisesti Ylen sivuille tapahtuneesta hyökkäyksestä ja se oli laajuudeltaan pienempi.[4]

[muokkaa] Katso myös

[muokkaa] Lähteet

  1. Laaja nettihyökkäys tukki Ylen, Eniron ja Suomi24:n verkkosivustot 16.5.2007 klo 07:24. Helsingin Sanomat. Viitattu 5.4.2008.
  2. Suomen Tietotoimiston nettisivuille hyökättiin 17.5.2007. MTV3. Viitattu 5.4.2008.
  3. Juha Jaakkola: "Team Elite" Ylen kimpussa 16.5.2007. Kauppalehti Online. Viitattu 5.4.2008.
  4. STT:n verkkopalveluja häirittiin Helsingin Sanomat. 17.5.2007 klo 12:50. Suomen Tietotoimisto. Viitattu 5.4.2008.

[muokkaa] Aiheesta muualla

Haettu osoitteesta http://fi.wikipedia.org/wiki/Palvelunestohy%C3%B6kk%C3%A4ys
Henkilökohtaiset työkalut