Palvelunestohyökkäys

Palvelunestohyökkäykset ovat nykyverkon arkipäivää ja voivat kohdistua yhtä lailla pieniin kuin suuriinkin palveluihin. Ne näyttäytyvät loppukäyttäjälle hitaana tai katkeilevana palveluna ja vaativat palveluntarjoajalta tehokasta seurantaa, teknisiä puolustustoimia ja selkeää viestintää.

Digitalisaation edetessä yhteiskunnan tarjoamat infrastruktuuripalvelut, kuten esimerkiksi julkiset tunnistuspalvelut joutuvat yhä useammin toistuvien palvelunestohyökkäysten kohteeksi, koska niiden lamauttamisella voidaan saada aikaan huomattavan laajoja vaikutuksia.

Useat yritykset liittävät omia verkkopalveluitaan julkisen infrastruktuurin osaksi esimerkiksi julkisiin tunnistuspalveluihin, jolloin myös yritysten palvelut ovat täysin riippuvaisia julkisten tunnistuspalveluiden käytettävyydestä.

Organisaatioiden siirtyminen nopeiden verkkoyhteyksien (100 Gbp/s) käyttöön on johtanut yli 10 Gbp/s hyökkäysten ja suurten pakettinopeuden hyökkäysten merkittävään kasvuun.

Vuodesta 2023 on nähty jo yli 201 miljoonaa palvelupyyntöä sekunnissa tapahtuvia hyökkäyksiä, joka pystytään toteuttamaan 20 000 koneen bottiverkolla. Nykyiset bottiverkot koostuvat sadoista tuhansista tai miljoonista koneista. On täysin mahdollista, että tulevaisuudessa nähdään yli miljardi palvelupyyntöä sekunnissa tapahtuvia hyökkäyksiä.

Suurin osa nykyisistä palvelunestohyökkäyksistä saavuttaa 50–70 miljoonaa palvelupyyntöä sekunnissa (rps). Suurimmat ylittävät 71 miljoonaa palvelupyyntöä sekunnissa. Hyökkäykset olivat HTTP/2-pohjaisia ja ne ovat peräisin tyypillisesti yli 30 000 IP-osoitteesta.

Palvelunestohyökkäykset eivät kuitenkaan ole pelkästään tekninen ongelma. Yrityksen on teknisten suojausten lisäksi huomioitava riskienhallinta, jatkuvuus, viestintä, oikeudelliset velvoitteet ja hyökkäyksen jälkihoito. Näin voidaan minimoida vahingot, turvata liiketoiminta ja ennen kaikkea säilyttää asiakkaiden luottamus.

Hyvä valmistautuminen, oikeat työkalut ja nopea reaaliaikainen reagointi vähentävät hyökkäyksen haittoja ja auttavat palauttamaan normaalin palvelun mahdollisimman nopeasti.

Palvelunestohyökkäysten (Denial of Service, DoS) tavoitteena on estää hyökkäyksen kohteena olevan verkkopalvelun toiminta. Hyökkäyksen kohteena olevaa palvelinta voidaan myös käyttää apuna hyökkäyksissä muita palvelimia tai verkkoinfrastruktuuria vastaan.

Hyökkäysten toteuttamiseen voidaan käyttää useita eri tekniikoita. Vuonna 1999 laajempaan tietoisuuteen tulivat helppokäyttöiset työkalut, kuten Trinoo ja Stacheldraht, joiden avulla on mahdollista toteuttaa verrattain vähäisellä tietämyksellä vaikeasti jäljitettäviä ja hankalasti torjuttavia, hajautettuja palvelunestohyökkäyksiä.

Mikä on palvelunestohyökkäys?
Palvelunestohyökkäyksellä hyökkääjä pyrkii estämään laillisten käyttäjien pääsyn verkkopalveluun tai heikentämään sen toimintakykyä. Usein se tehdään kuormittamalla palvelinta, verkkoyhteyttä tai sovellusta niin paljon, että normaaleja palvelupyyntöjä ei voida käsitellä.

Hajautetun hyökkäyksen (DDoS) tapauksessa hyökkäys tulee useista lähteistä samanaikaisesti, mikä tekee torjunnasta vaikeampaa ja mittakaavasta suuremman.

Hyökkäystavat lyhyesti
Tyypillisiä tekniikoita ovat massapyyntöjen lähettäminen, esimerkiksi suuri määrä samankaltaisia HTTP- tai TCP-pyyntöjä, protokollien heikkouksien hyödyntäminen tai virheellisesti muotoiltujen pakettien lähettäminen, joka voi aiheuttaa ohjelmiston epävakautta. Hyökkääjä voi myös käyttää botnet-verkkoa eli kaapattuja laitteita, jolloin hyökkäys (DDoS) voi tulla tuhansista tai miljoonista eri osoitteista ja kuormitus kasvaa nopeasti.

Miltä hyökkäys näyttää loppukäyttäjälle?
Loppukäyttäjän näkökulmasta palvelunestohyökkäys näkyy tyypillisesti sivuston latautumisena erittäin hitaasti tai ei lainkaan, selaimeen ilmestyy virheilmoituksia kuten 503 Service Unavailable, 504 Gateway Timeout tai This site can’t be reached. Joskus osa palvelusta toimii, mutta kriittiset toiminnot mm. kirjautuminen, ostoskori ja API-kutsut epäonnistuvat. Käyttäjä saattaa kokea toistuvia katkoja, sivu aukeaa satunnaisesti, mutta palaa nopeasti virhetilaan. Näkyvät oireet ovat usein käyttäjän kannalta turhauttavia ja voivat herättää epäluottamusta palveluntarjoajaan.

Mitä teknisesti tapahtuu?
Hyökkäyksen aikana palvelimen resurssit kuten CPU, muisti ja verkkoyhteys kuormittuvat. Prosessit ja yhteysjonot täyttyvät, ja uudet lailliset pyynnöt hylätään tai aikakatkaistaan.

Reitittimet ja palomuurit saattavat alkaa tiputtaa paketteja tai palauttaa virheitä, ja lokit täyttyvät massamuotoisista merkinnöistä. Laaja hyökkäys voi kuormittaa myös operaattorin reunaverkkoa, jolloin vaikutukset leviävät palveluntarjoajan ulkopuolelle. Tällaisessa tilanteessa tarvitaan reaaliaikaista seurantaa ja nopeaa päätöksentekoa torjuntatoimista.

Seuraukset yrityksen liiketoiminnalle ja maineelle
Seuraukset voivat olla merkittäviä. Välitön asiakasvaikutus näkyy käyttökokemuksen heikkenemisenä, myynnin menetyksenä ja asiakkaiden turhautumisena. Pitkällä aikavälillä hyökkäys voi aiheuttaa imagohaittoja ja luottamuksen alenemista. Lisäksi hyökkäyksen tutkiminen, korjaaminen ja mahdollinen ulkoisen avun hankkiminen kuluttavat resursseja ja nostavat kustannuksia.

Mitä palvelun käyttäjä voi tehdä?
Loppukäyttäjänä toiminta on rajallista mutta silti tärkeää. Ensin kannattaa tarkistaa, onko palveluntarjoaja julkaissut häiriöstä tiedotteen. Monilla keskeisillä palveluilla on oma tila- tai häiriösivu tai sosiaalisen median kanava tiedotteita varten.

Jos mahdollista, kokeile eri verkkoa (esim. mobiilidata) tai laitetta päästäksesi varmistamaan, onko ongelma paikallinen. Loppukäyttäjän rooli on pääosin ilmoittaa ja odottaa, että ylläpito ryhtyy korjaustoimiin.

Mitä palvelun ylläpitäjä voi tehdä?
Ylläpitäjän tehtävä on torjua hyökkäystä ja palauttaa palvelun normaali toiminta. Kaikissa toimissa on tärkeää toimia laillisesti ja eettisesti. Kaikki torjuntatoimet tulee suunnata järjestelmän suojaamiseen, ei vastahyökkäyksiin. Keskeisiä puolustustoimia ovat:

Seuranta ja lokien analysointi, jolla tunnistetaan hyökkäyksen luonne, liikenteen piikit ja epäilyttävät lähteet.
Rate limiting ja yhteyksien rajoitus, jolla estetään yksittäisen IP:n tai pyyntötason liiallinen kulutus.
WAF (Web Application Firewall), jolla suodatetaan haitallisia HTTP-pyyntöjä sovellustasolla.
CDN:ien ja reitityspalveluiden hyödyntäminen, joilla jaetaan kuormaa ja suodatetaan hyökkäyksiä reunoilla.
Autoscaling ja kapasiteetin lisäys pilvessä, joka antaa tilapäistä hengähdystilaa liikennepiikkien yli.
Yhteistyö ISP:n kanssa, jos operaattorin tason suodatus (scrubbing) on tarpeen.
Selkeä viestintä käyttäjille, koska häiriön syyt ja arvioitu korjausaika on kerrottava avoimesti.

Riskienhallinta ja varautuminen
Yrityksen on arvioitava, kuinka kriittinen verkkopalvelu on liiketoiminnalle, ja määriteltävä sallittu käyttökatkon pituus. Varautumissuunnitelma, jossa on nimetyt vastuuhenkilöt ja selkeät toimintamallit, on välttämätön.

Harjoitukset ja simulaatiot paljastavat puutteet ja parantavat kykyä toimia paineen alla. Jatkuvuutta tukevat ratkaisut, kuten monialueinen hajautus, varajärjestelmät ja yksinkertaistetut varaversiot kriittisille toiminnoille auttavat pitämään liiketoiminnan käynnissä myös häiriötilanteissa.

Viestintä, oikeudelliset näkökulmat ja jälkihoito
Sisäinen ja ulkoinen viestintä on olennainen osa kriisinhallintaa. Avoin tiedottaminen ylläpitää luottamusta. Oikeudellisista velvoitteista tulee huolehtia. Tietyissä toimialoissa ilmoitusviranomaisille voi olla pakollinen. SLA- ja palvelusopimukset sekä kybervakuutukset kannattaa määritellä etukäteen.

Kun palvelu on palautettu, tehdään forensiikka ja analyysi hyökkäyksen kulusta, raportoidaan havainnot johdolle ja päivitetään toimenpiteet.

Tehtävälista

Riskien ja kriittisten palveluiden kartoitus

Tunnista liiketoiminnan kannalta kriittiset verkkopalvelut ja järjestelmät.
Arvioi palveluiden haavoittuvuudet ja hyökkäyspinta-alat.
Laadi riskiarvio palvelunestohyökkäysten vaikutuksista.

Suojausratkaisujen suunnittelu ja hankinta

Selvitä, tarjoaako nykyinen internet-palveluntarjoaja (ISP) DDoS-suojauspalveluita.
Harkitse erillisiä DDoS-suojauspalveluita tai pilvipohjaisia suojausratkaisuja.
Varmista palomuurien ja reitittimien DoS-suojausasetukset (rate limiting, IP-suodatukset).
Hyödynnä sisällönjakeluverkkoja (CDN), jotka voivat lieventää hyökkäyksiä.

Ylläpito ja valvonta

Ota käyttöön jatkuva verkko- ja palveluvalvonta (monitorointi).
Seuraa liikennemääriä ja poikkeamia normaalista kuormasta.
Määrittele hälytyskynnykset nopeaa reagointia varten.

Vaste- ja toipumissuunnitelma

Laadi selkeä kirjallinen DDoS-hyökkäyksen hallintasuunnitelma.
Määritä vastuuhenkilöt ja viestintäkanavat hyökkäyksen aikana.
Suunnittele liikenteen uudelleenohjaus- tai rajoitusratkaisut.
Sisällytä toipumissuunnitelmaan palautumistoimet ja asiakasviestintä.

Harjoittelu ja koulutus

Kouluta IT- ja turvallisuustiimi palvelunestohyökkäysten tunnistamiseen ja hallintaan.
Harjoittele hyökkäyksen aikaisia toimintaprotokollia (tabletop exercise tai simuloitu hyökkäys).
Päivitä suunnitelmat ja dokumentaatio oppien pohjalta.

Yhteistyö kumppaneiden kanssa

Varmista yhteydenpito internet-palveluntarjoajiin hyökkäysten torjumiseksi.
Selvitä mahdollisuudet yhteistyöhön viranomaisten tai CERTin kanssa.
Kartoita tarvittaessa ulkoisten palveluntarjoajien tuki DDoS-tilanteessa.

Muistilista

Geoblokkaus (maantieteellisten rajoitusten käyttö)

Palvelupyyntöjen geoblokkauksen avulla voidaan yleensä rajoittaa merkittävästi palvelimelle tulevia palvelupyyntöjä. Mikäli hyökkäystä ei kyetä tunnistamaan riittävän tarkasti saattaa samalla estyä myös verkkopalvelun luvallinen käyttö.

Ulkomaanliikenne voidaan estää poistamalla www reitittimeltä default-reitti, jolloin lähtevät IP-paketit eivät ohjaudu muualle kuin kotimaisiin verkkoihin.

Asetetaan internet-palveluntarjoajan osoitealueelle tietty tag, jolloin kyseinen osoiteavaruus ei näy internet-palveluntarjoajan kautta maailmalle, jolloin ip-paketit ohjautuvat verkkopalveluun vain kotimaasta.

Verkkoliikenteen suodatus

Sovelluskerroksen DDoS-hyökkäykset perustuvat tyypillisesti HTTP GET-pyyntöihin. Sovelluskerroksen hyökkäyksiltä suojaukseen voidaan käyttää mm. verkkoliikenteen suodatusta, joka etsii verkkoliikenteestä epäilyttäviä palvelupyyntöjä.

Sovelluspalomuuri pystyy tutkimaan sovelluskerroksen protokollien sisältöä, jolloin on mahdollista estää haluttuja komentoja ja sisältöä. Sovelluskerroksen palomuurit voivat tunnistaa epätavallisia komentosarjoja, kuten saman komennon toistamista palvelunestohyökkäyksessä.

Vuon jäljitys
Menetelmä pystyy jäljittämään hyökkääjän ainoastaan aliverkon tarkkuudella. Hyökkäyksen jäljittämiseksi voidaan katsoa reititin kerrallaan miltä linkiltä liikenne tulee ja tarkastella reititintä kyseisen linkin päässä. Menetelmä on työläs ja toimiva vain hyökkäyksen ollessa käynnissä. Menetelmä ei sovellu lyhytkestoisten hyökkäysten jäljittämiseen.

Uusimmat ohjelmistopäivitykset

Useimmiten palvelunestohyökkäykseltä voidaan suojautua asentamalla uusimmat ohjelmistopäivitykset. TCP/IP -pinossa olevia toteutuskohtaisia vikoja käytetään hyväksi hyökkäyksissä Ping of Death, Teardrop, Land, Latierra ja Targa. Hyökkäykset pystytään melko tehokkaasti estämään päivittämällä korjaustiedosto.

Riittävä redundanssi

Palvelukapasiteetin ylimitoitus (riittävä redundanssi) on tehokas perusratkaisu.

Sisällöntoimitusverkko (CDN, content, delivery network)

Sisällöntoimitusverkko on maantieteellisesti hajautettu palvelimien ryhmä, joka tallentaa sisältöä välimuistiin lähellä loppukäyttäjiä. Välimuistin käyttö voi vähentää organisaation palvelimien rasitusta ja vaikeuttaa niiden ylikuormittamista sekä laillisia että haitallisia palvelupyyntöjä vastaan.

Kuormitushuipun käsittely

Palvelimen (tilatietoisuus) tulee laskea kuormitushuipun aikana hallitusti palvelutasoa, eikä romahtaa kuormituksen aikana. Verkon nopeuden rajoittaminen laskee verkkoliikenteen määrää tietyn ajanjakson aikana, mikä estää verkkopalvelimia hukkumasta tietyistä IP-osoitteista tuleviin pyyntöihin.

Varayhteydet

Hyökkäyksen kohteena oleviin palveluihin tulee voida avata nopeasti varayhteyksiä.

Teleoperaattorin suorittama haittaliikenteen suodatus

Yritys voi hankkia teleoperaattorilta pakettipesuripalvelun, jolla siivotaan haittaliikenne.

Asia Agenttiohjelmat Tapauksia

Palvelunestohyökkäys ostopalveluna
Palvelunestohyökkäys kuuluu verkossa tuotettaviin kaupallisiin kyberrikospalveluihin (Cybercrime-as-a-Service eli CaaS). Kenellä tahansa on mahdollisuus ostaa, valitse ja maksa -periaatteella esimerkiksi palvelunestohyökkäys kostoksi valittuun organisaatioon. Valmiita ja räätälöitäviä rikospalvelupaketteja myydään kuten muuttovalmiita omakotitaloja internetin pimeässä verkossa (Darknet), jossa käytetään TOR ja I2P teknologioita. Pimeässä verkossa rikospalveluiden asiakkaat voivat salata henkilöllisyytensä ja sijaintinsa viranomaisilta. Kyberrikosten palveluvalikoima on monipuolinen ja palveluiden tarjoajia on paljon.

Palvelunestohyökkäysten lisäksi valmispalveluvalikoimaan kuuluvat mm.

Ransomware-as-a-Service (RaaS). Kyberrikolliset tarjoavat asiakkaille kiristysohjelmapaketteja, joita muut henkilöt tai ryhmät voivat käyttää kohteensa tietojen saastuttamiseen ja salaamiseen. Asiakas voi vaatia uhrilta lunnaita tietojen salauksen purkamiseksi.
Vuokrattavat botnetit. Kyberrikolliset voivat vuokrata asiakkaille botnet-verkkojaan, joita keskusyksikkö (botmaster) hallitsee. Kyberrikollisten asiakkaat voivat käyttää näitä bottiverkkoja moniin tarkoituksiin, kuten roskaposti- ja DDoS-hyökkäyksiin sekä haittaohjelmien levittämiseen.
Identiteetti- ja kirjautumistietovarkaudet. Kyberrikolliset tarjoavat asiakkailleen palveluita, joilla varastetaan henkilön identiteetti tai kirjautumistiedot (esim. käyttäjätunnukset ja salasanat) henkilöiltä tai yrityksiltä. Kyberrikollisten asiakkaat voivat käyttää näitä identiteettejä ja valtuuksia eri tarkoituksiin mm. päästäkseen kirjautumaan tietojärjestelmiin tai myydäkseen niitä eteenpäin.
Malware-as-a-Service (MaaS). Kyberrikolliset myyvät valmiita haittaohjelmasarjoja ja työkaluja, joiden avulla kyberrikollisten asiakkaat voivat käynnistää hyökkäyksiä luomatta itse haittaohjelmia.

DDoS-hyökkäys (Distributed Denial of Service)
Hajautetussa palvelunestohyökkäyksessä hyökkääjä käyttää useita eri koneita pommittamaan palvelupyynnöillä kohteena olevaa tietojärjestelmää. Tätä varten hyökkääjä asentaa Bot-ohjelmia mahdollisimman moneen verkossa olevaan koneeseen ja ryhtyy näiden avulla pommittamaan palvelupyynnöin kohteena olevaa palvelinta. Lähes kaikki nykyiset palvelunestohyökkäyksistä ovat hajautettuja. Hyökkäyksessä käytettyjä ohjelmia ovat mm:

Trinoo (Troj_Trinoo, Trinoo Win32, WinTrinoo, W32.DoS.Trinoo.ns, Trin00)
TFN (Tripe Flood Network)
TFN2K (Tribe Flood Network 2000)
Shaft
Stackheldraht

Ping of Dead-tekniikka palvelun estämisessä
Palvelunestohyökkäyksessä hyödynnetään erilaisia verkkoprotokollien heikkouksia. Ping -paketti (Packet Internet Groper) on näistä ehkä tunnetuin. Palvelimen on vastattava ping -pyyntöön. Lähettämällä riittävästi ping -pyyntöjä, jotka eivät löydä takaisin oikeaan osoitteeseen saadaan palvelin ylikuormitettua.

SYN flooding -tekniikka palvelun estämisessä
SYN flooding tapahtuu, kun palvelimen puoliavointen yhteydenmuodostuspyyntöjen määrä kasvaa liian suureksi estäen uuden yhteyden avaamisen. SYN flood -hyökkäys perustuu useisiin yhteydenottopyyntöihin, joissa jätetään lähettämättä kohteen odottama viimeinen ACK -viesti (ACK on TCP:ssä oleva lippu, joka osoittaa kuittausnumerosarjakentässä olevan arvon olevan käytössä).

Palvelin ei hyväksy uusia yhteydenottopyyntöjä ennen kuin loppuunsaattamattomien yhteyspyyntöjen elinikä (yleensä 75 s) on kulunut loppuun. Yhteydenottopyyntöjä toistamalla hyökkääjä voi estää palvelimen käytön haluamakseen ajaksi tai kaataa koko tietojärjestelmän.

Hyökkääjän on kuitenkin vaihdettava lähetettävien kehysten lähettäjän IP -osoite tavoittamattomaksi, mutta reititettävissä olevaksi, koska hyökkäyksen kohteena oleva palvelin lähettää vastauksensa (SYN/ACK) kyseiseen osoitteeseen. Muita tunnettuja palvelunestotekniikoita ovat mm.

Teardrop
Land
Latierra
Smurf
Papasmurf
RST- ja FIN
Targa

Palvelunestohyökkäyksiä on mahdollista toteuttaa myös ilman erityisiä tekniikoita esimerkiksi lähettämällä maailmalle miljoonia roskaposteja, joissa kehotetaan ihmisiä klikkaamaan viestissä olevia palveluun johtavia linkkejä. Riittävän usean henkilön samanaikainen käyttö voi kaataa palvelun.

Käsitteitä

Hyökkäyspinta-ala
Hyökkäyspinta-ala (attack surface) tarkoittaa laajemmin kaikkia niitä kohtia, rajapintoja ja komponentteja, joita hyökkääjä voi yrittää hyödyntää päästäkseen sisään tai aiheuttaakseen vahinkoa. Esimerkiksi palvelun verkkoportit, avoimet palvelut, DNS-järjestelmä, API-rajapinnat, vanhentuneet sovellukset jne.

Palvelunestohyökkäysten kannalta hyökkäyspinta-alaan kuuluu kaikki, mitä voi ylikuormittaa tai häiritä (esim. verkkokaistat, palvelimen prosessointikyky, reitittimet).

Hyökkäysvektori

Hyökkäysvektori (attack vector) taas tarkoittaa konkreettista tapaa tai menetelmää, jolla hyökkäjä yrittää hyödyntää hyökkäyspinta-alaa. Esimerkiksi UDP flood, SYN flood, DNS amplification, HTTP GET/POST flood jne. ovat palvelunestohyökkäyksen hyökkäysvektoreita.

Lyhyesti

Hyökkäyspinta-ala = Mihin voidaan hyökätä.
Hyökkäysvektori = Miten siihen hyökätään.

Puolustaminen
Hajautetulta palvelunestohyökkäykseltä on vaikea puolustautua tehokkaasti, koska kaikki hyökkäykset tulevat yleensä eri puolilta verkkoa. Palvelunestohyökkäyksissä on myös tyypillistä, että hyökkääjä väärentää IP -osoitteensa. Puolustautuminen on kuitenkin tärkeätä, koska internet on yhä useammille yrityksille elintärkeä palveluiden jakelukanava.

Yhtäjaksoisen palvelunestohyökkäyksen vaikutus tietojärjestelmään vähenee nopeasti, kun yritys saa vastatoimet organisoiduiksi ja onnistuu suodattamaan riittävästi liikennettä. On järkeenkäypä ajatus, että myös hyökkääjä arvioi operaation vaikuttavuutta ja pitää taukoja, joiden aikana organisoi hyökkäykset uudelleen.

Pitkäkestoinen intervallihyökkäys on yrityksen näkökulmasta erittäin hankala. Yrityksen uskoessa, että hyökkäys on päättynyt, se alkaakin odottamatta, uudelleen organisoituna ja reititettynä.