Uudenlaiset dos-hyökkäykset vakava uhka internetille
0
Viime kuukausina internetissä on alettu nähdä teknisesti aivan uudenlaisia palvelunestohyökkäyksiä, jotka ovat vaikeita torjua ja hyvin tuhoisia. Internetin perustekniikoista huolehtiva Icann pohtiikin nyt, miten ihmeessä nämä dns-nimijärjestelmää ovelasti käyttävät hyökkäykset saataisiin kuriin.
Ensimmäinen laajempi hyökkäys nähtiin joulukuussa. Uudenlainen palvelunestohyökkäys hyödyntää ovelasti internetin dns-nimijärjestelmää, joka tulkkaa selväkieliset nettiosoitteet reitittimien ymmärtämiksi ip-osoitteiksi. Hyökkäyksessä ei enää pommiteta suoraan uhrikonetta, vaan lähetetään internetin dns-palvelimille valtavasti pyyntöjä kyseisen palvelun osoitteesta.
Verisignin turvallisuusjohtaja kertoo uutistoimisto AP:lle, että aiemmin tänä vuonna eräässä hyökkäyksessä uhripalveluun alkoi tulvia kyselyjä noin 60 000 dns-nimipalvelimelta. Yhteensä osoitepyynnöt loivat liikennettä hämmästyttävät 8 gigabittiä sekunnissa, mikä riittää laittamaan polvilleen lähes minkä tahansa palvelun.
Miten estää ovela hyökkäys?
Perinteinen palvelunestohyökkäys (dos, denial of service) perustuu siihen, että joukko tietokoneita valjastetaan pommittamaan suoraan yksittäistä konetta tai palvelua. Esimerkiksi haittaohjelmien saastuttamista koneista kerätyillä hyökkäysverkoilla mukaan saadaan helposti tuhansia koneita, jolloin kuorma nousee niin korkeaksi, että uhripalvelu saadaan lähes toimimattomaksi.
Perinteisiä dos-hyökkäyksiä pystytään torjumaan esimerkiksi pudottamalla hyökkäyskoneilta tuleva liikenne kokonaan pois. Uutta hyökkäystapaa on kuitenkin vaikea estää, sillä jos dns-nimipalvelimilta estää pääsyn koneelle, ei sivuille kohta pääse asiallinenkaan käyttäjä.
Icann onkin perustanut komitean pohtimaan mahdollisia muutoksia koko dns-nimijärjestelmään. Tämän tyyppiset epäsuorat nimikyselyt voitaisiin ehkä kieltää, mutta toisaalta se haittaisi monien asiallisten palvelujen toimintaa.
