Erään kilpailijamme palvelut ovat olleet, viime aikoina, useampana päivän toimimattomina palvelunestohyökkäyksien takia. Tästä syystä myös meille on tullut lukuisia kyselyitä, kuinka meillä vastaaviin tilanteisiin on varauduttu.
Tässä kirjoituksessa käymme läpi, mikä on palvelunestohyökkäys ja miten palvelunestohyökkäykseltä suojautuminen parhaiten onnistuu.
Erilaiset palvelunestohyökkäykset
Erilaisia palvelunestohyökkäyksiä on useampia, joiden toteutustavat ja voimakkuudet voivat vaihdella suuresti. Palvelunestohyökkäykset ovat yksi tietoturvauhista, joihin yrityksen kannattaa varautua.
Pääpiirteittäin hyökkäykset voidaan jakaa kahteen eri tyyppiin.
DoS-hyökkäys (Denial of Service)
Dos-hyökkäys on tyypillinen esimerkki palvelunestohyökkäyksestä. Sen tarkoitus on usein estää kohteeksi valitun sivuston tai palvelun toiminta. Tämä tapahtuu useimmiten ohjaamalla niin paljon liikennettä ja kyselyjä kohdepalvelimelle, että sen toimintakyky lakkaa.
DDoS-hyökkäys (Distributed Denial of Service)
Ddos-hyökkäyksestä käytetään usein myös termiä, hajautettu palvelunestohyökkäys. Siinä hyökkääjä usein käyttää apunaan lukuisia kaapattuja tietokoneita, joista käytetään kokonaisuutena nimitystä bottiverkosto. Tavallinen netinkäyttäjä voi tietämättään kuulua tälläiseen bottiverkostoon, varsinkin, jos oman tietokoneen virustorjunta on jätetty retuperälle.
DdoS-hyökkäys on huomattavasti hankalampi torjua, koska hyökkäys tulee siis lukuisista eri IP-osoitteista yhtäaikaisesti, jolloin se käytännössä muistuttaa, hyvin pitkälti, suurta luontaista kävijäpiikkiä palvelussa.
Miksi palvelun toimintakyky lakkaa hyökkäyksessä?
Tyypillisesti yhdelle palvelinlaitteelle kertyy niin paljon kyselyitä, ettei palvelin kykene vastaamaan kaikille halukkaille. Tästä syystä sivustot lakkaavat vastaamasta kävijöiden selainten kyselyihin, ja näyttävät kaatuneilta. Usein ongelmat koskettavat tällöin vain kyseisellä palvelinlaitteella olevia asiakkaita ja sivustoja.
Mikäli hyökkäys on erityisen laaja, voi palveluntarjoajan koko liikennekaista täyttyä aiheettomasta liikenteestä. Tällöin kaikki palveluntarjoajan, kyseisen yhteyden alla olevat, palvelut voivat olla saavuttamattomissa, vaikka hyökkäys ei kohdistuisikaan, juuri siihen palvelinkoneeseen, jolla omat palvelut sijaitsevat.
Miten estää palvelunestohyökkäys?
Joissain tapauksissa, hyökkäys voi tulla vain muutamasta tietyistä IP-osoitteista, jolloin nämä voidaan estää kokonaan palveluntarjoajan toimesta tai oman palvelimen palomuurin määrityksiin. Tarjolla on myös monia fiksuja palveluita sivuston omistajille, joka osaa jo automaattisesti suodattaa vääränlaista liikennettä sekä lisäominaisuuksiensa avulla tarjoaa ratkaisuja, kun hyökkäys omaan sivustoon on käynnissä.
Kuinka hyökkäyksen vaikutuksia voidaan rajata palveluntarjoajan toimesta?
Isossa roolissa on luonnollisesti myös valvonta. Meillä ja useimmilla palveluntarjoajilla on käytössä 24/7 valvonta palvelimilla, jolloin ongelmatapauksiin pystytään puuttumaan hyvin nopeasti.
Yksinkertaisimmillaan hyökkäyksiä torjuttaessa voidaan estää yhteyksiä tietyiltä IP-osoitteilta. Mikäli hyökkäys kohdistuisi hajautetusti esimerkiksi yhtä tiettyä sivustoa tai IP-osoitetta kohti, voidaan myös kyseinen sivusto / IP-osoite tilapäisesti suodattaa pois käytöstä, jolloin muilla asiakkaillamme ei ongelmatilannetta ilmenisi.
On myös monia, ennemmänkin hakkerointiin viittaavia, hyökkäyksiä, jotka kohdistuvat yksittäisiin skripteihin ja toimintoihin, vaikkapa jonkin WordPress-lisäosan osalta. Näissä tapauksissa voidaan tarvittaessa myös estää hyökkäyksessä käytetyt kutsut kokonaan kohdepalvelimelta.
Kaistan määrä usein myös ratkaisevaa
Usein hyökkäysten vaikutukset ovat kiinni siitä, onko palveluntarjoajan käytettävissä oleva kaista isompi, kuin hyökkäyksessä käytetty kaistan määrä. Eli mitä suurempi kaista palveluntarjoajalla käytössään, sitä todennäköisempää on, että ongelmat saadaan minimoitua.
Valitettavasti osaa hyökkäyksistä, ei voida välttämättä torjua lainkaan, joten täydellisiä ratkaisuja ongelmaan ei ole, edes palveluntarjoajan työkalupakissa.
