Sande sanoi:
^^ Tunnut tietävän tekniikasta, mutta voitko valottaa jos hyökättävään kohteeseen lähetetään vaikkapa miljoona yhtäaikaista html-sivun pyyntöä, kuinka erotetaan oikeat pyydöt "vääristä"?
Operaattori voi tietysti alkaa suodattamaan IP:n perusteella pois ulkomaalaista liikennettä ja keventää näin kuormaa ja serverihotellin ylläpito voi valjastaa lisää laskutehoa edustalle jos hyökkäys pitkittyy.
Joo, tietoliikenne on ollut ammattina rapiat 13 vuotta ja pääosa siitä teknisenä asiantuntijana. Syksyllä siirryin myynnin puolelle, mutta edelliset 4 vuotta meni nimenomaan tietoturvan puolella asiantuntijana erilaisia palomuureja, ddos-suojaa yms laitteita maahantuovassa yrityksessä. Ja siinä hommassa tuli sertifioitua itsensä noihin osaajaksi jne..
Mutta itse tekniikkaan.. tietysti syvintä teknistä ydintä valmistajat eivät kerro, se kun on koko homman ydin. Mutta aika moni valmistaja kerää havaituista hyökkäyksistä IP:t talteen ja raportoi ne omaan pilvipalveluun. Tästä muodostetaan tietokanta joka pusketaan sitten muiden laitteisiin. Tuo toimii ensimmäisenä karkeana filtterinä.
Lisäksi liikenteelle tehdään esim. lennossa pakettianalyysia jolla pyritään tunnistamaan sovellustason hyökkäyksiä etsimällä tietynlaisia rakenteita liikennevirrasta. Tässä erottaudutaan normaalista IPS-toiminteesta siinä, että ns. paikallisesti suoritettavat uhat ei kiinnosta vaan etsitään pelkästään verkon avulla aiheutettavia ongelmia.
Liikenteestä kerätään myös statistiikkaa, jolloin palvelimen/palvelun kuorman kasvaessa esim. vaikka 70% kuluneen 30sek aikana aletaan liikennettä rajoittaa, koska kyseessä on tod.näk. hyökkäys. Prosentit ja aikamääre on säädettävissä palvelukohtaisesti.
Samaten seurataan myös muodostuvia yhteyksiä/yhteysyrityksiä palveluun. Jos yhtyeksiä alkaa jäämään vajaaksi ja niiden vajaana olevien kestoa pitkitetään lähettämällä pitkillä aikaväleillä yksittäisiä paketteja (pyritään siis varaamaan palvelun koko tilataulu), niin se havaitaan ja nämä yhteydet katkotaan.
Tuossa nyt muutamia esimerkkejä siitä, mitä moderni DDos-suojain tekee. Lisäksi on lukuisia muita paljon monimutkaisempia tekniikoita mitä tuohon liittyy.
Hauska puoli tuossa on muuten se, että monasti nuo hyökkäykset eivät enää kohdistu itse palveluun. Palvelimissa ja kuormantasaajissa kun voi olla mielettömästi voimaa. Sen sijaan esimerkiksi palomuureista loppuu tilataulut paljon nopeammin kesken, koska niissä on muutenkin jo koko yrityksen ja ehkä useiden palveluiden taulut seurattavana. Kohtuullisen isonkin muurin muutaman miljoonan yhteyden kokoinen tilataulu on suhteellisen nopea saada täyteen ja samalla laittaa muurilta kuppi nurin. Siinä on sitten koko verkko alhaalla.
Asioista kertomisen suhteen, niin periaatteessa ei kannata hiiskua noista. Mutta tuo lähinnä yksittäisen yrityksen kannalta.. eli mitä harvempi tietää mitä laitteita verkossa on, sen parempi. Yleisenä keskusteluna esim. tällaisella viestillä ei ole turvan kannalta merkitystä.
Teinipennut jotka tajuamatta tekojaan noita palveluita kaatavat eivät tästä hyötyneet mitään. Yllä olevan ohjalta eivät osaa yrittää mitään muuta. Monasti nämä etsivät internetin valmiilta foorumeilta työkaluja joilla rakentavat oman hyökköysverkon ja sitten alkavat räiskiä. Tosin eivät ymmärrä, että monasti ko. verkot ovat sitten heidän tietämättään myös työkalut jakaneen henkilön käytössä. Ei kukaan niitä kilkuttimia huvikseen jaa
Sitten taas kokeneet ja pätevät hakkerit osasto on toinen juttu. Kyseiset tyypit tietävät asioista niin paljon, että lähinnä nauraisivat minun pienille sepostuksilleni. Tällainen nopea yleistys ei tarjoa ko. tyypeille yhtään mitään uutta.
Tietoturvassa on oikeasti paljonkyse prosesseista, siitä ettei suututa vääriä tahoja verkossa tai muuten omilla toimillaan sekä siitä, että on yksinkertaisesti vaikeampi kohde kuin valtaosa muista yrityksistä. Kyllä nuo sikailijatkin mieluummin valitsevat sen helpomman kohteen kuin vaikean. Jos taas osaava taho päättää juuri sinun verkkosi "korkata", niin riippumatta siitä mitä suojauksia on paikalla se todennäköisesti onnistuu jos hyökkääjällä on tarpeeksi resursseja (esim. valtiolliset toimijat).
Herra Hyppösestä muuten.. kaverilla toki on kovaa tietämystä alalta ja aikanaan ollutkin varmati ihan huippuosaaja. Mutta miehen rooli on jo vuosia ollut eräänlaisen evankelistan tontti, joten käytännön tekemisestä heppu on jo aika pahasti irtautunut.. valitettavasti tuo paistaa välillä pahasti läpi. Samaten usein tuntuu näissä isommissa jutuissa, että F-Secure saattaa olla mukana selvittämässä noita keissejä, jolloin Henkka tekee peliliikkeitä ja ohjaa huomiota haluttuun suuntaan. Eli kannattaa nielaista herran kommentit varustettuna ripauksella suolaa..
//Juha