Mikä on DDoS-hyökkäys?
On todennäköisempää, että olet kuullut verkkosivuston kaatuneen hakkerien toimesta tai että suosittu verkkosivusto on kaatunut. Suurin osa tällaisesta käyttökatkosta suosituilla ja suuren liikenteen verkkosivustoilla johtuu hajautetuista palvelunestohyökkäyksistä (DDoS-hyökkäykset).
Verkkolaitteen liikenteen kaistanleveydellä on rajansa. Mainittu raja riippuu tekijöistä, kuten laitteen suorituskyvystä, yhteyspisteen (kytkin tai reititin) datarajasta ja Internet-palveluntarjoajan (ISP) sallimasta enimmäisyhteysnopeudesta ja kaistanleveydestä.
Miten kaikki tämä johtaa verkkosivuston käyttökatkoksiin? Miten nämä hyökkäykset tapahtuvat? Tämä artikkeli tulee olemaan paljastus DDoS-hyökkäyksistä ja siitä, miten niitä voi välttää tai estää.
## Tyypillisen DDoS-hyökkäyksen erittely
Hakkerit aloittavat DDoS-hyökkäykset ensin rekrytoimalla armeijan haavoittuvia tietokoneita, joita yleisesti kutsutaan Botnetiksi. Botnetit ovat sarja keskenään yhteydessä olevia tietokoneita ja laitteita, jotka on kompromisoitu haittaohjelmalla. Botneteja käytetään sitten hakkerien toimesta lähettämään samanaikaisesti resurssipyyntöjä, jotka kuluttavat uhrin yhteyskaistanleveyttä, estäen näin laillisten etäkäyttäjien pääsyn palveluihin laitteella.
DDoS-hyökkäyksissä käytetyt datapaketit ovat samoja tai samankaltaisia kuin ne, joita käytetään jokapäiväisessä viestinnässä internetin yli, paitsi että ne on koordinoitu valtaviksi datamääräksi kerrallaan. Verkkopalvelimet, jotka käsittelevät videostreamausliikennettä, voivat sallia enimmäisrajoituksen 20 gigatavua sekunnissa. Vertailun vuoksi DDoS-hyökkäykset voivat kuormittaa yksittäisen palvelimen tai verkkolaitteen jopa 1 teratavulla sekunnissa. Tällainen liikennemäärä voi onnistuneesti tehdä palvelusta, kuten Googlesta, vastaamattoman.
## Ketkä ovat mahdollisia DDoS-hyökkäysten kohteita?
DDoS-hyökkäykset ovat erittäin helppoja johtuen useiden internetiin yhdistettyjen laitteiden haavoittuvuudesta ja botnettien saatavuudesta pimeässä verkossa aloittelevien hakkerien käyttöön. Monet internetin käyttäjät, ja yllättäen jotkut organisaatiot, ottavat käyttöön internetiä hyödyntäviä teknologioita muuttamatta laitteen mukana tulleita oletusvalmistajan kirjautumistietoja. Hakkerit kiertävät internetiä etsien tällaisia laitteita, pääsevät niihin käsiksi ja asentavat haittaohjelmia, jotka mahdollistavat tällaisten laitteiden etäohjauksen, ilman että laitteen todelliset omistajat tietävät laitteensa olevan osa botnettia.
Botnetit, jotka koostuvat haavoittuvien laitteiden verkostosta, eivät ole tässä ensisijaisia uhreja, vaan niitä käytetään koordinoidun hyökkäyksen toteuttamiseen yhtä verkkosivustoa tai online-palvelua vastaan – nämä ovat olleet DDoS-hyökkäysten pääasiallisia uhreja.
DDoS-hyökkäykset verkkosivustoja ja online-palvelualustoja vastaan voivat olla väärennettyjä paketteja, saapuvia viestejä tai yhteyspyyntöjä. Ne toteutetaan useimmiten kostonhimoisena hyökkäyksenä joko kilpailijoiden maineen tahraamiseksi ja sitä seuraavan markkinaosuuden laskun aikaansaamiseksi, hyökkäyksenä poliittisia vastustajia vastaan tai joskus demoralisointikeinona ihmisoikeusliikkeitä ja -entiteettejä vastaan.
Amazon Web Services (AWS) koki yhden viimeaikaisista DDoS-hyökkäyksistä helmikuussa 2020. Nimetön AWS:n merkittävä asiakas oli hyökkäyksen kohteena, mikä vaikutti heidän online-palveluihinsa kolmen päivän ajan. Liikennekaistan huippuarvo, 2,3 teratavua sekunnissa, sai AWS:n valtavan kaistanleveyden näyttämään lasten leikiltä.
Tähän mennessä suosituin bottiverkko – Mirai, oli vuoden 2016 DDoS-hyökkäysten keskipisteessä. Syyskuussa 2016 internet toimi Mirai-bottiverkon isäntänä aikansa massiivisimmassa DDoS-hyökkäyksessä, jonka liikenne huipentui 620 Gbps kaistanleveyteen osuen kyberturvallisuusanalyytikon blogiin. Kun osa Mirai-koodista julkaistiin myöhemmin samana kuukautena DEFCON-kokoontumisessa, paljon laajemman mittakaavan hyökkäys kohdistui merkittävään verkkotunnuksen nimipalvelun tarjoajaan – Dyniin.
Dyn oli DNS-palveluntarjoaja verkkosivustoille kuten Netflix, GitHub, PayPal, Reddit, Airbnb ja HBO Mirai-hyökkäyksen aikana. 1,5 Gigabittiä sekunnissa tapahtunut DDoS-hyökkäys Dynin verkkosivustojen verkostoon teki niiden palveluista vastaamattomia hyökkäyksen keston ajan. Vuonna 2016 tapahtui useita muita Mirai-hyökkäyksiä, joihin sisältyi kaapattuja IoT-laitteita kuten valvontakameroita, kahvinkeitinlaitteita ja jopa vauvamonitorikameroita.
## DDoS-hyökkäysten tyypit
DDoS-hyökkäyksiä on erilaisia. Käydään läpi joitakin niistä alla:
Zero-Day DDoS: Zero-Day DDoS on termi, jota hakkerit käyttävät salaisilla verkkosivuillaan, jotka on isännöity dark webissä. Termi viittaa joukkoon lähdekoodeja ja värvättyihin bottiverkkoihin, jotka ovat myynnissä; tämä kuitenkin aiheuttaa haavoittuvuustasoja, joille turvapäivityksiä ei ole vielä julkaistu.
Ping of Death: Tämä hyökkäystapa sisältää hyökkääjien lähettämän useita muunnettuja ping-paketteja verkon solmuun. Paikallisia laitteita (kytkimet ja reitittimet) hallinnoivat laitteet omaavat rajoituksia sekunnissa läpäiseviensä pakettien pituudelle. Pitkät paketit jaetaan usein osiin, jotka vastaanottava isäntä kokoaa uudelleen. IP-paketin keskimääräinen datan pituus on noin 1700 tavua; kuitenkin, hakkerit pyrkivät toteuttamaan Ping of Death -hyökkäyksiä lähettämällä ping-viestejä, joiden datan koot ovat jopa 71,423 tavua, kun ne on koottu uudelleen vastaanottavassa päässä. Tämän tyyppinen DDoS-hyökkäys kuluttaa tehokkaasti palvelimen muistin ja tekee siitä mahdottoman vastata laillisiin kyselyihin niin kauan kuin hyökkäys kestää.
UDP Flood -hyökkäys; Tämä on tyyppiä DDoS-hyökkäys, joka sisältää uhrin tulvimisen jatkuvilla User Datagram Protocol (UDP) -luokan datavirroilla. Tässä hyökkäystyypissä etäisäntään kohdistuu toistuvia yhteyspyyntöjä satunnaisiin portteihin. Samankaltainen kuin UDP-tulva on ICMP (ping) -tulva, joka lähettää nopeita ja satunnaisia ping-paketteja odottamatta yhteyden palautetta. Pakettitulva kuormittaa isännän resursseja ja kaistanleveyttä ja tekee joskus mahdottomaksi kättelyn muodostamisen, kun tehdään laillisia yhteyskyselyitä.
SYN Flood -hyökkäys: Tämän tyyppinen hyökkäys hyödyntää haavoittuvuutta TCP-yhteyksissä – kolmivaiheisessa kättelyssä. Kolmivaiheinen kättely sisältää etätietokoneen, joka lähettää yhteyspyynnön palvelimelle; palvelin vastaa tunnustamalla pyynnön. Etätietokoneen on myös vastattava tunnustukseen lähettämällä yhteydenaloituspaketti. Mitä hakkerit tekevät suorittaakseen DDoS-hyökkäyksen tämän kanavan kautta, on lähettää useita SYN-yhteyspyyntöjä yhdelle isännälle käyttäen bottiverkkoa. Palvelimet vastaavat jokaiseen solmuun ACK-viestillä, mutta hakkerit estävät bottiverkkoja vastaamasta. Vastauksen puuttuminen ACK-viestiin jättää hyökkäyksen kohteena olevan palvelimen roikkumaan, ja lisää kättelypyyntöjä lähetetään kunnes kaikki uhrien resurssit on kulutettu loppuun.
HTTP Flood -hyökkäykset: Näissä hyödynnetään legitiimejä pyyntöjä, jotka on tarkoitettu pakettien GET- ja POST-toimintoihin mennessä ja tullessa verkkosivustolta tai palvelimelta. Hyökkäys yleensä huijaa etäpalvelinta varaamaan enimmäisresurssit väärennetyille pyynnöille.
## Ennaltaehkäisevät toimenpiteet DDoS-hyökkäyksiä vastaan
Kuten aiemmin korostettiin, DDoS-hyökkäykset toteutetaan kahdessa vaiheessa: rekrytoimalla solmut, jotka muodostavat bottiverkon, ja tulvimalla uhrin verkon yli valtavalla liikenteellä. Kotiverkkojen tavalliset käyttäjät voivat suojautua osallistumasta bottiverkkohyökkäykseen poistamalla kaikki haavoittuvuuden lähteet henkilökohtaisista laitteistaan noudattamalla alla olevia vaiheita:
1. Vaihda salasanat uusissa laitteissa:
Verkkolaitteet, kuten reitittimet, kytkimet, Wi-Fi-tukiasemat ja IoT-laitteet, tulevat oletussalasanoilla. Oletussalasanojen vaihtaminen on järkevää, sillä tämä toimenpide vie laitteesi ja kaikki siihen liitetyt laitteet askeleen kauemmas mahdollisesta tietoturvarikkomuksesta. Käyttöohjeen tai valmistajan verkkosivuston tarkastelu paljastaa helpot vaiheet laitteen salasanan vaihtamiseen.
2. Käytä ajan tasalla olevia ja luotettavia turvallisuusresursseja:
Etulinjan laitteiden, palomuurien ja käyttöjärjestelmän laiteohjelmiston päivittäminen on ensimmäinen suojauskerros haittaohjelmien tunkeutumisen estämiseksi verkkolaitteisiin.
Organisaatioille, jotka huomaavat verkkoinfrastruktuurinsa olevan DDoS-hyökkäyksen kohteena, seuraavan toimintasuunnitelman tulisi varmistaa, että käyttökatkokset ja siitä aiheutuvat tappiot ovat mahdollisimman vähäisiä.
3. Hyödynnä yhdyskäytäväteknologiaa, joka tunnistaa äkilliset liikenteen piikit
DDoS-hyökkäys voidaan helposti hallita, jos se huomataan tarpeeksi aikaisin; tämä antaa tarpeeksi aikaa ottaa yhteyttä yrityksen ISP:hen, joka sitten toteuttaisi parhaan DDoS-hajottamistekniikkansa. ISP voi pysäyttää tai minimoida DDoS-hyökkäyksen vaikutuksen hajottamalla liikenteen palvelimille, joilla on käytettävissä olevaa kaistanleveyttä, tai ohjaamalla liikenteen Sink Holeen tai Black Holeen. Black Hole -menetelmät ovat kuitenkin tehokkaampia, sillä kaikki liikenne, sekä laillinen että laiton, jotka menevät hyökkäyksen kohteena olevaan IP-osoitteeseen, lähetetään ’null interface’ -reikään. Sinkhole-menetelmät sen sijaan yrittävät suodattaa datapaketteja.
4. Verkon resurssien taustajärjestelmän uudelleenkonfigurointi
On mahdollista rajoittaa laitteistojen, kuten kytkimien ja reitittimien, sallimaa kaistanleveyden määrää, mikä pätee myös palomuureihin. Liikenteen rajoittamisen avulla suodatetaan pois DDoS-hyökkäyksille ominainen valtava kaistanleveys, samalla kun sallitaan tavalliset ominaisuudet omaavat paketit paikallisverkkoon.
5. Pidä IoT-laitteet turvattuina
Kahvinkeitintä koskevan haavoittuvuuden sanottiin olevan hyväksikäytetty kasinon verkkoinfrastruktuurin hakkerointiin. Aiemmin annettu neuvonta IoT-laitteista on korostamisen arvoinen – vaihda oletussalasanat heti, kun IoT-laitteesi otetaan käyttöön, ja pyri päivittämään laitteen firmware säännöllisesti.
## Yhteenveto
DDoS-hyökkäykset saattavat vaikuttaa pelottavilta ja monimutkaisilta, mutta eivät enää. Tämän artikkelin kautta saadun uuden tai päivitetyn tiedon avulla DDoS-hyökkäysten torjumiseen kykenevän ISP:n valitseminen tulisi sisällyttää kohtien joukkoon, jotka tarkistetaan päätettäessä, mihin ISP:hen tilaus tehdään.