Sinu veebisaiti tabas rünnak, see on ka Eestis igapäevane asi. Mida sa nüüd tegema peaksid?

Kui kunagi olid DDoS-rünnakud korraldatud mõne häkkeri poolt, siis nüüd pakuvad selliseid teenuseid juba ka teatud organisatsioonid, räägib Veebimajutuse partner, Indrek Kõnnussaar agentuurist Codelight. Kuidas oma veebisaiti sellise rünnaku vastu kaitsta ja mida rünnaku puhul tegema peaks?

Mis on DDoS-rünnak ja mida see teeb?

DoS ehk Denial of Service on rünnak, mille käigus üritab ründaja oma sihtmärgi veebilehte või serverit üle koormata ja seeläbi takistada päris kasutajaid sinna ligi pääsemast. Distributed Denial of Service ehk DDoS on DoS-i liik, kus rünnakud pärinevad rohkem kui ühest allikast.

Selliste rünnakute sooritamiseks on mitmeid erinevaid mooduseid. Kõige lihtsam on võib-olla ette kujutada 50 000 tehnikavõõra vanaema koduarvuteid üle kogu Euroopa, mis on kõik nakatunud sama trooja hobusega (sellist masinate võrku nimetatakse botnetiks).

Viiruse omanikul on botnetis olevate masinate üle täielik kontroll ja ta saab neid soovi korral panna korraga ühte ja sama veebilehte külastama. Rünnatav veebileht ei saa nii suure päringute arvuga hakkama ja muutub meeletult aeglaseks või jookseb kokku. Ründaja saab niiviisi veebilehte ülekoormatuna ja kasutuskõlbmatuna hoida põhimõtteliselt nii kaua kui ta tahab või kuni ohver võtab mingid vastumeetmed kasutusele.

Nakatunud vanaemade arvutid on küll lihtsustatud näide, aga tegelikult illustreerib see hästi seda, miks DDoS-rünnakute eest on ennast väga keeruline kaitsta. Antud stsenaariumi korral on raske vahet teha päris külastajal ja nakatunud arvutil. Seetõttu on keeruline ründajaid lihtsalt ära blokeerida, ilma selle käigus ka paljusid tavakasutajaid ära blokeerimata.

Kuidas saada aru, et oled sellise rünnaku ohvriks langenud?

Nii DDoS-rünnaku kui ka lihtsalt ebaharilikult suure liikluse sümptomiks on see, et sinu veebileht muutub talumatult aeglaseks või ei lae enam üldse ära. Seetõttu on neil kahel olukorral mõnikord keeruline vahet teha.

Kõigepealt tasuks vaadata seda, kust kogu see liiklus pärineb. Kui sinu veebilehe sihtgrupiks on ainult Eesti ja üleöö on tekkinud tavalisest sadades või tuhandetes kordades rohkem külastusi näiteks Ukrainast ja mujalt Ida-Euroopast, siis on ilmselt tegu rünnakuga. Suuremate, rahvusvaheliste lehtede või professionaalsemate ründajate puhul sellest alati ei piisa ja mõnikord ei olegi võimalik ilma süvitsi serverilogidesse laskumata kindlaks teha, mis täpselt toimub.

Suuremate DDoS-rünnakute puhul laekub su postkasti tõenäoliselt ka murelik kiri sinu veebimajutajalt. Vahel juhtub ka seda, et ründaja saadab sulle anonüümselt meiliaadressilt kirja, nõudes rünnaku lõpetamise eest lunaraha.

Mida teha, kui see juhtub?

Lihtsamate rünnakute puhul võib aidata see, kui blokeerida kõik külastused mingist teatud piirkonnast, kust suurem osa liiklusest pärineb. Aga juba natukene keerukamaid või laiemaid rünnakuid on käepäraste vahenditega väga keeruline takistada. Õnneks on olemas mitmeid DDoS-rünnakuid takistavat teenuseid, mis juba üsna väikse summa eest kogu probleemi enda kanda võtavad. Nendeks on näiteks CloudFlare või Sucuri Firewall.

Kui kahtlustad, et oled langenud rünnaku ohvriks, siis kõige mõistlikum oleks kõigepealt võtta ühendust oma veebimajutajaga ja seejärel registreerida end mõne eelmainitud teenusepakkuja juures.

Kuidas selliseid rünnakuid ennetada saaks?

Oma serveri DDoS-rünnakute vastu kaitsmiseks on terve hulk tööriistu ja tehnikaid, aga nad kõik eeldavad väga head arusaamist võrgutehnoloogiast, ligipääsu serverile ja muud sellist. Kõige lihtsam ja tõhusam variant on ikkagi kasutada mõne eelmainitud teenusepakkuja kaitset.

Millised on harilikult nende rünnakute eesmärgid ja kas need ka saavutatakse?

Tüüpiliselt korraldatakse selliseid rünnakuid ühel kolmest põhjusest: väljapressimine, konkurentide rivist välja löömine või häktivism.

Esimese stsenaariumi korral jõuab veebilehe omaniku postkasti e-kiri, kus lubatakse rünnak lõpetada, kui omanik maksab ründajale mingi hulga bitcoine. Kuna bitcoini-aadressid on anonüümsed, siis on küllaltki keeruline ründajat selle kaudu tabada. Kui sellise väljapressimise ohvriks langetakse, siis on oluline kindlasti ründajale raha mitte anda. Kui ründaja näeb, et ohver on nõus maksma, siis jätkab ta tavaliselt sama ohvri käest välja pressimist veel nii kaua kui võimalik.

Teine põhjus on konkurents. Viimastel aastatel on välja ilmunud mitmeid nii-öelda DDoSaaS ehk Distributed-Denial-of-Service-as-a-Service teenusepakkujaid. Tegu on avalike veebiteenustega, mis pakuvad stressitestide nime all tegelikult tasulist DDoS-teenust. Lisaks pakuvad mitmed häkkerite grupid juba küllaltki väikeste summade eest DDoS-rünnakuid. See tähendab, et suvalisel ettevõttel on küllaltki lihtne mõõduka summa eest korraldada rünnak mõne oma suurema konkurendi vastu, löömaks näiteks nende e-poe enne pühade algust rivist välja.

Kolmas põhjus on häktivismtermin, mis on kombineeritud sõnadest hack ja activism. Antud kontekstis tähendab see siis poliitiliselt motiveeritud DDoS-rünnakute korraldamist eesmärgiga juhtida millelegi avalikkuse tähelepanu või edastada mingit poliitilist sõnumit. Viimastel aastatel on palju selliseid rünnakuid või operatsioone korda saadetud Anonymousi nime kasutades. Neid on tüüpiliselt saatnud Twitteris levitatud video Guy Fawkes'i maski kandvast isikust, kes loeb ette mingi osaliselt poliitilise sisuga deklaratsiooni ja ähvardab sealjuures oma sihtmärgi täiesti maatasa teha.

Näiteks rünnati eelmise aastal kevadel operatsiooni #OpTrump raames erinevaid Donald Trumpile kuuluvaid veebilehti. Selle käigus midagi maatasa teha seekord ei õnnestunud. Minevikus on Anonymous siiski suutnud oma sihtmärkidele märkimisväärset peavalu ja majanduslikku kahju tekitada.

Näiteks aastal 2011 võtsid nad 23 päevaks efektiivselt maha kogu Sony PlayStation Network. Samuti kasutati DDoS-rünnakuid näiteks Ukrainas toimuva sõja ajal, kui Ukraina aktivistid võtsid maha mitmeid Venemaa valitsusele kuuluvaid väiksemaid veebilehti.

Kui sagedased sellised rünnakud on?

Arbor Networks Inc. avaldas eelmise aasta esimese poole globaalse statistika, mille kohaselt toimus 2015. aastal algusest 2016. aasta teise pooleni igal nädalal keskmiselt 124 000 DDoS-rünnakut. Üldiselt tundub, et nii DDoS-rünnakute arv kui ka maht suureneb ajas pidevalt. Kui paljud neist rünnakutest puudutavad Eestit, ei oska öelda.

Kui väga neid kartma peaks?

Väiksemate veebilehtede või e-poodide omanikud väga muret tundma ei pea. Kuigi viimasel ajal on sagedasemaks muutunud väljapressimised ka väiksemate lehtede vastu, siis tõenäosus mõne sellise rünnaku ohvriks langeda on endiselt väga väike.

Arvestades seda, et DDoS-kaitse teenuste hinnad algavad küllaltki madalalt ja kaitsevad tõhusalt kõigi väiksemate rünnakute vastu, siis ei ole erilist põhjust muretseda. Küll aga tasub oma veebilehel silm peal hoida kasutades näiteks mõnda tasuta monitoorimise teenust (Uptime Robot) ja olla valmis reageerima.

Jaga