Troijalaisia käytetään usein käynnistämään hajautetun palvelunestohyökkäyksen (DDoS) hyökkäykset kohdennettuja järjestelmiä vastaan, mutta mikä on DDoS-hyökkäys ja miten ne suoritetaan?
Yksinkertaisimmalla tasolla Distributed Denial of Service (DDoS) hyökkäys ylittää kohdejärjestelmän datalla siten, että kohdejärjestelmästä saatu vaste joko hidastuu tai pysähtyy kokonaan. Tarvittavan liikennemäärän luomiseksi käytetään useimmin zombien tai bot-tietokoneiden verkkoa.
DDoS, zombiet ja botnetit
Zombie- tai botnet-verkot ovat tietokoneita, joita hyökkääjät ovat vaarantaneet, yleensä troijalaisten avulla, mikä mahdollistaa näiden vaarantuneiden järjestelmien etävalvonnan. Yhteisesti nämä järjestelmät manipuloidaan luomaan suuri liikennevirta, joka tarvitaan DDoS-hyökkäyksen luomiseen.
Näiden botnetien käyttö usein huutokaupataan ja käydään kauppaa hyökkääjien kesken, joten vaarantunut järjestelmä voi olla useiden rikollisten valvonnassa - joista jokaisella on erilainen tarkoitus. Jotkut hyökkääjät voivat käyttää botnetia roskapostina, toiset toimivat haittaohjelmien latauspaikkana, jotkut isännöivät phishing-huijauksia ja muita edellä mainittuja DDoS-hyökkäyksiä.
Miten DDoS-hyökkäys tapahtuu?
Useita tekniikoita voidaan käyttää Distributed Denial of Service -hyökkäyksen helpottamiseen. Kaksi yleisempiä ovat HTTP GET -pyynnöt ja SYN Floods. Yksi tunnetuimmista esimerkkeistä HTTP GET -hyökkäyksestä oli MyDoom-mato, joka kohdistui SCO.com-verkkosivustoon. GET-hyökkäys toimii nimensä mukaan - se lähettää pyynnön tietylle sivulle (yleensä kotisivulle) kohdepalvelimelle. MyDoom-matoon lähetettiin 64 pyyntöä joka sekunti jokaisesta tartunnan saaneesta järjestelmästä. Kun kymmeniätuhansia tietokoneita arvioitiin MyDoomin tartunnanaiheeksi, hyökkäys osoittautui nopeasti ylivoimaiseksi SCO.com-sivustolle ja koputti sen offline-tilaan useita päiviä.
SYN Flood on periaatteessa keskeytynyt kättely. Internet-viestinnässä käytetään kolmitietoa kättelyä. Aloittava asiakas aloittaa SYN: n kanssa, palvelin vastaa SYN-ACK: lla ja asiakas joutuu vastaamaan ACK: lla. Väärien IP-osoitteiden käyttäminen hyökkääjä lähettää SYN: n, mikä johtaa siihen, että SYN-ACK lähetetään ei-pyytävälle (ja usein ei-olemassa olevalle) osoitteelle. Palvelin odottaa ACK-vastausta turhaan. Kun suuri määrä näistä keskeytetyistä SYN-paketeista lähetetään kohteeseen, palvelinresurssit ovat loppuneet ja palvelin päätyy SYN Flood DDoS: hen.
Myös useita muita DDoS-hyökkäyksiä voidaan käynnistää, mukaan lukien UDP-fragmentin hyökkäykset, ICMP-tulvat ja Ping of Death.
