Uuden palvelunestohyökkäyksen teho kymmentuhatkertainen

Uudentyyppinen menetelmä toteuttaa palvelunestohyökkäyksiä on yleistynyt maailmalla. Menetelmän avulla hyökkäysliikenteen voi voimistaa kymmentuhatkertaiseksi alkuperäiseen hyökkäysvolyymiin nähden.

Palvelunestohyökkäyksestä puhutaan, kun tietoon tai palveluun pääsy vaikeutuu tai estyy kokonaan. Pienimuotoiset palvelusestohyökkäykset ovat arkipäivää, ja monesti ne eivät vaikuta palveluiden saatavuuteen. Esimerkiksi viime syksynä Ahvenanmaalaista internet-palveluntarjoaja Ålcomia vastaan tehty palvelunestohyökkäys lamaannutti hetkellisesti useita palveluita Ahvenanmaalla.

Miten hyökkäys toteutetaan teknisesti?

Uusi menetelmä hyödyntää Memcached-nimistä hajautettua välimuistipalvelua, jota käytetään esimerkiksi päivittyvien internet-sivujen sisällön nopeampaan hakemiseen, mikä sekä nopeuttaa kyseisten internet-sivujen selailua että säästää sivuston resursseja. Osa näistä Memcached-palveluista on auki suoraan internetiin, vaikka siihen ei ole tarvetta.

Memcached- palvelu käyttää oletusasetuksin TCP-ja UDP-porttia 11211. UDP-protokollassa osapuolien ei ennen tiedon välittämistä tarvitse muodostaa yhteyttä, joten vastaanottajalle ei myöskään selviä onko lähettäjän IP-osoite aito vai väärennetty. Näin ollen hyökkääjän jäljittäminen on hankalaa. Avointa Memcached-palvelua pystyy hyödyntämään palvelunestohyökkäyksiin peilaamalla (katso lisätietoja alla olevasta Viestintäviraston julkaisemasta dokumentista "Palvelunestohyökkäyksen tekniikkaa puolustajille").

Varautuminen

Viestintäviraston Kyberturvallisuuskeskus sai tiedon käytetystä uudesta menetelmästä maanantaina 26.2., ja kartoitti suomalaisten käytössä olevia internetiin avoimia Memcached-palveluita, joita löytyi noin 100 kappaletta. Välitimme tiedon palvelinten ylläpitäjille pyrkien ennalta estämään niiden käytön vastaavissa hyökkäyksissä. Tämä ei kuitenkaan estä hyökkäysten kohdistumista Suomeen, sillä hyökkäykseen voi käyttää myös ulkomaisia palveluita.

Viestintävirasto suosittelee, että internetiin auki oleviin Memcached-palveluihin rajoitettaisiin pääsy vain sitä tarvitseville. Memcached on julkaissut myös päivityksen tähän liittyen, joten palvelu on syytä päivittää.

Lisätietoa


Päivityshistoria

Asiasanat: Tietoturva , Palvelunestohyökkäys , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248