DDoS, eli Distributed Denial of Service - lempinimeltään dossi nousee suhteellisen harvoin uutisotsikoihin. Se on kuitenkin jatkuva riesa niin globaalisti kuin kotimaammekin verkoissa. Eri lähteiden raporttien mukaan vuonna 2024 DDoS-hyökkäysten määrä kasvoi yli 50% edelliseen vuoteen verrattuna, suurin hyökkäys oli 5,6 Tbit/s ja pisimmän hyökkäyksen kesto oli lähes 20 päivää. Pääosa hyökkäyksistä oli kuitenkin hyvin lyhyitä - alle kymmenen minuuttia. Toimialoista eniten hyökkäyksiä kohdistui pelialalla ja toiseksi suurimpana kohteena oli pankkisektori. Suomessa hyökkäyksiä nähtiin paljon myös julkiselle puolelle - todennäköisimmin naapurimaasta lähtöisenä.
Palvelunestohyökkäykset voidaan jakaa kolmeen pääkategoriaan - volumetriset, sovelluskerroksen hyökkäykset ja protokollatason hyökkäykset. Volumetristen hyökkäysten osalta puhutaan myös L3/L4-tason hyökkäyksistä, joissa päätavoitteena on tukkia vastaanottajan Internet-kapasiteetti esimerkiksi UDP/ICMP/TCP SYN -tulvalla. Näissä liikenteen määrä on pienessä päässä gigabittien ja suuressa jopa terabittien kertaluokkaa. Kun tyypillinen isonkin organisaation Internet-kapasiteetti on muutamasta gigasta kymmeneen gigaan, ei ole ihme, että pientä tukkoisuutta voi olla havaittavissa.
Sovelluskerroksen höökiminen, josta puhutaan myös L7-hyökkäyksistä tarkoittaa esimerkiksi web-palvelimien kuormittamista näennäisen normaaleilla pyynnöillä, joita lähetetään suurina määrinä. Näitä ovat esimerkiksi HTTP GET/POST- tai DNS-kyselytulvat. Siinä, missä volumetriset hyökkäykset on helppo havaita ja myös suhteellisen helppo torjua, ovat nämä jo kertaluokkaa vaikeampia ja toisaalta myös kertaluokkaa helpompia toteuttaa, koska pienempikin hyökkäävien koneiden määrä on riittävä.
Protokollatason hyökkäyksissä ajatuksena on käyttää loppuun laitteiden tai palvelimien tilaresurssit, kuten yhteyspuskurit tai muistitaulukot. Nämä kohdistuvat joskus palvelimiin, mutta yhtä usein myös tietoliikennelaitteisiin - esimerkiksi palomuureihin tai kuormantasaimiin. Kuten sovelluskerroksen hyökkäys, myös nämä on suhteellisen vaikea havaita ja toisaalta myös kohtuullisen helppoja toteuttaa.
Maamme organisaatiot ovat varautuneet palvelunestohyökkäyksiin hyökkäyksenestopalveluilla. Operaattorit myyvät näitä rutiinilla vähänkin isompien Internet-yhteyksien kylkiäisinä. Malli on hyvä, kun Internet-yhteys on yksikotinen, eli se on toteutettu ainoastaan yhden operaattorin toimesta - tyypillisesti kahdennettuna. Malli soveltuu myös erinomaisesti erityisesti volumetrisiin hyökkäyksiin, koska ne on helppo havaita ja torjua.
Mikäli Internet-yhteys on toteutettu monikotisena, esimerkiksi kahdelta eri Internet-palveluntarjoajalta, joudutaan pohtimaan tarkemmin miten DDoS-suojaus oikein saadaan tehtyä. Periaatteessa kummaltakin voidaan ottaa suojaus, mutta ongelmaksi muodostuvat sekä kustannukset, että koordinaatio. Kustannusten takana on tosiasia siitä, että DDoS-estojärjestelmät ovat nykymuodossaan kalliita ja se näkyy palveluiden hinnassa. Koordinaatiolla tarkoitan sitä, että kahden eri operaattorin järjestelmät eivät keskustele keskenään, joten ne eivät pysty muodostamaan kokonaiskäsitystä mahdollisesta hyökkäyksestä ja sitä kautta sen torjumisesta.
Monikotisille organisaatioille parempi vaihtoehto on toteuttaa palvelunestohyökkäyksen estopalvelu omilla laitteilla. Markkinoilla on useita vaihtoehtoja tähän - esimerkiksi Juniperin Corero ja Nokian Deepfield. Tässä perusajatuksena on kerätä DDoS-analyysiin tarvittava informaatio omilta reunareitittimiltä ja AI-/pilviavusteisen pohdinnan perusteella tuottaa kuhunkin tilanteeseen sopivat torjuntakeinot. Varsinainen torjunta onkin sitten mielenkiintoisempi kysymys. Periaatteessa myös se voidaan tehdä omilla reunareitittimillä, mutta haasteeksi muodostuu se, että torjunta vaikuttaa vain jo Internet-yhteyden läpäisseeseen liikenteeseen. Tämän vuoksi Internet-yhteys voi olla täysin tukkeessa hyvin toimivasta estosta huolimatta.
Paikallisen torjunnan haasteeseen auttaa vanha kunnon BGP. IETF:n standardiehdotus RFC 8955 määrittelee niin sanotun BGP Flowspec -osoiteperheen, jonka avulla hyökkäyksen kohteeksi joutunut taho voi signaloida Internet-operaattorille tarpeesta tehdä liikenteeseen suodatusta. Ajatuksena tässä on se, että suodatustarpeet välitetään operaattorin verkossa aina sen Internet-transit-reunalle asti ja sitä kautta haittaliikenne saadaan poistettua verkosta mahdollisimman aikaisin. Tässä mallissa on tarpeellista, että operaattori tukee BGP Flowspec -määrityksen käyttöä ja sen transit-reitittimet ovat riittävän kyvykkäitä asiakaskohtaisten filttereiden käyttämiseen skaalautuvasti. Yksittäinen DDoS-hyökkäys kun voi pahimmillaan aiheuttaa tarpeen tuhansille ja jopa kymmenille tuhansille filttereille.
Kylmä tosiasia on, että DDoS ei ole menossa mihinkään ja sen vuoksi jokaisen vähänkin laajemmin Internetissä palveluitaan tarjoavan organisaation (lue: kaikkien) tulee varautua siihen. Jos haluat kuulla lisää moderneista DDoS-estovaihtoehdoista, ole yhteydessä niin katsotaan miten asiassa päästäisiin eteenpäin.