Palvelunestohyökkäys

Wikipedia

Palvelunestohyökkäys (Denial of Service, DoS) tarkoittaa tietyn verkkopalvelun lamauttamista niin, että palvelu ei ole käytettävissä. Muista hyökkäystyypeistä poiketen tavoitteena ei ole järjestelmään tunkeutuminen, vaan sen toiminnan häiritseminen. Julkisessa Internetissä saatetaan vaikkapa häiritä WWW-palvelun toimintaa niin paljon, etteivät asiakkaat pääse sille, tai lähettää niin suuri määrä sähköposteja yrityksen sähköpostipalvelimelle, että levytila loppuu, eikä palvelin kykene enää ottamaan postia vastaan.

Palvelunestohyökkäys tunnetaan myös nimillä palvelunkieltohyökkäys, häirintähyökkäys tai lamautushyökkäys. Useista lähteistä tapahtuvaa samanaikaista hyökkäystä tiettyä järjestelmää kohtaan kutsutaan nimellä hajautettu palvelunestohyökkäys (Distributed Denial of Service, DDoS).

Palvelunestohyökkäys voidaan toteuttaa monella eri tavalla. Kolme perustapaa ovat:

1. Rajallisten resurssien, kuten kaistan, levytilan tai suoritinajan kuluttaminen.
2. Ohjaustietojen, esim. reititystietojen tai nimipalvelutietojen muuttaminen.
3. Vääränlaisen lähetteen syöttäminen palvelimelle kaataen sen käyttöjärjestelmän tai palvelinprosessin.

Sisällysluettelo 1 Tulvahyökkäykset 2 Ohjaustietojen häiritseminen 3 Vääränlainen lähete 4 Istuntojen määrä 5 Katso myös

[muokkaa] Tulvahyökkäykset

Erilaiset tulvahyökkäykset ovat yksinkertaisimpia ja niiltä on usein mahdoton suojautua. Yksinkertaisimmillaan hyökkääjä avaa tuhansia yhteyksiä www-palveluun tai lähettää tuhansia sähköposteja yrityksen sähköpostipalvelimelle.

Smurf-hyökkäys on tehokkain tunnettu tulvahyökkäysten muoto. Siinä hyväksikäytetään kolmatta osapuolta, joksi kelpaa mikä tahansa iso verkko, jolla on paljon kaistaa, ja joka ei suodata sisääntulevia levitysviestejä. Hyökkääjä lähettää kyseiseen verkkoon suunnatun levitysviestin, johon jokainen verkon kone vastaa. Jos hyökkääjä lähettää 64 kilotavun ping-paketin ja verkossa on 3000 konetta, saa hyökkääjä vastauksena 64 kilotavua * 3000 eli 192 megatavua liikennettä. Kun hyökkääjä nyt väärentää jatkuvasti lähettämiinsä paketteihin uhrin IP-osoitteen, saa uhri jatkuvasti valtavan määrän liikennettä. Hitaallakin modeemiyhteydellä voi tällaista hyökkäystä käyttäen tukkia nopeankin nettiyhteyden.

Lähdeosoitteen väärentämistä hyödynnetään myös hajautetuissa palvelunestohyökkäyksissä. Hyökkäys näyttää tulevan yhdestä osoitteesta, mutta tuleekin todellisuudessa useista. Tällä saavutetaan se, että hyökkäyksen kohteena oleva kone pahimmassa tapauksessa tukkii vastauspaketeillaan myös hyökkäyksen näennäisen lähteen. Valitsemalla sopivan näennäisen lähteen voi hyökkäyksen teho kertaantua. Ilmiö on hiukan sama kuin elokuvista tuttu pikkupoika piilossa nurkan takana ampumassa ritsalla riitaista kaksikkoa.

[muokkaa] Ohjaustietojen häiritseminen

Reititysprotokollat ovat perinteinen ohjaustietojen häiritsemishyökkäyksen kohde. Periaatteessa uudemmissa reititysprotokollissa kuten RIPv2:ssa tai EIGRP:ssä on kohtalaisen hyvät tietoturvaominaisuudet, mutta monet yritykset käyttävät yhä vanhempia protokollia, tai eivät ole kytkeneet tietoturvaominaisuuksia päälle. Reitittimelle voi lähettää reittipäivityksen, jossa vaikkapa väitetään suositun www-sivuston olevan jossain aivan muualla, kuin missä se oikeasti on. Reititin ohjaa kaikki kyseiseen osoitteeseen suunnatut paketit aivan väärään osoitteeseen.

DNS:n (nimipalvelu) kanssa on samanlaisia ongelmia. Pahimpana ongelmana on DNS-välimuistin myrkyttäminen. Ideana on, että Windows NT4 ja 2000 -käyttöjärjestelmien DNS-palvelinohjelma oletusarvoisesti hyväksyy kaikkien nimipalvelinten sille lähettämiä tietoja - muistakin DNS-nimistä kuin kyseisille palvelimille kuuluvista. Jos ns1.operaattori.fi sitten kysyy vaikkapa ns1.yritys.fi-palvelimelta tietoa koneesta www.yritys.fi, voi kyseinen palvelin lähettää vastauksen, jossa on vastaus kyselyyn (www.yritys.fi = 1.2.3.4), minkä lisäksi siinä yhdistetään www.pankki.fi johonkin väärennettyyn osoitteeseen (www.pankki.fi = 1.1.1.1). Palvelin tallentaa tiedon pankin www-palvelimesta kritiikittömästi välimuistiinsa, ja jos joku käyttäjä surffaa www.pankki.fi-osoitteeseen jatkossa, joutuu hän kräkkerin palvelimelle (selaimen osoiterivillä lukee ihan tavallisesti www.pankki.fi).

Myös DHCP-palvelu on ongelmallinen tällaisten hyökkäysten kannalta.

[muokkaa] Vääränlainen lähete

Lokakuussa 1996 keksittiin että suuren osan verkkoon kytketyistä käyttöjärjestelmistä sai kaadettua ylipitkällä ICMP Echo request -paketilla (Ping of death).

Kesäkuussa 1997 julkaistiin WinNuke, jolla sai kohdekoneen Windows-käyttöjärjestelmän tai palvelinohjelman kaatumaan. Vanhemmilla Windows-koneilla tämä tarkoittaa sinistä ruutua. Hyökkäyksestä toipuminen vaati koneen uudelleenkäynnistämistä.

[muokkaa] Istuntojen määrä

Palomuuri voidaan myös tukkia lähettämällä minimaalisen määrän informaatiota sisältäviä paketteja, joilla on tarkoitus aloittaa uusi tietoliikenneyhteys, mutta koskaan saattamatta istuntoa lopetusvaiheeseen. Tällä tavalla saadaan palomuuri tukkeutumaan yhteyksien määrästä ja kykenemättömäksi vastaamaan uusiin yhteyspyyntöihin. Tämän tiedetään toimivan myös suhteellisen uusilla FreeBSD palomuureilla.

[muokkaa] Katso myös

• Ohjelmistosodankäynti