Palvelunestohyökkäys?

[Nyki]

Onkohan Kuopion suunnalla katkennut kaapeli, vai lieneekö joku palvelunestohyökkäys käynnissä, kun ainakin kaikki easylinehostin palvelimilla olevat sivustot ovat olleet eilisillasta alkaen lähes täysin tavoittamattomissa.
Esimerkiksi FLC - Vaskinet - Koirallesi.com - Kotiisi.com, kuten myös Easylinehost itse.

Ari - Vaskinet

[J.Jäntti]

Onkohan Kuopion suunnalla katkennut kaapeli, vai lieneekö joku palvelunestohyökkäys käynnissä, kun ainakin kaikki easylinehostin palvelimilla olevat sivustot ovat olleet eilisillasta alkaen lähes täysin tavoittamattomissa.
Esimerkiksi FLC - Vaskinet - Koirallesi.com - Kotiisi.com, kuten myös Easylinehost itse.

Ari - Vaskinet

En parhaalla kyvyllänikään löydä mitään ilmoitusta toimintaviasta. Ns. viidakkorumpukaan ei ole asiasta laulanut, joten Nykin antama tieto on nyt viimekäden tietoa.
- Easylinehost.fi-sivuille ei pääse
- 212.94.64., .75 ja .77-verkossa eivät laitteet vastaa pingiin ja traceroute pysähtyy seinään jo ennen 212.-verkkoa.
- Ficix:llä ei ole ongelmaa, joten runkoreititys suomessa toimii.
- Soneralla ei ole ongelmaa, joten verkkojen väliset yhteydet ovat kunnossa ainakin tuolla
- Elisalla ei ole ongelmaa, joten verkkojen väliset yhteydet toimivat tuollakin.
- KPY/dna ei ilmoita ongelmista, joten kaapeli tuskin on poikki.

Vika tuntuu osoittavan Easylinehost:n suuntaan. Vaikuttaa ainakin täältä päin katsottuna Easylinehost:n runkolaitevialta enemmän, kuin palvelunestohyökkäykseltä, sillä jos kyseessä olisi palvelunestohyökkäys, pingi kulkisi edes hieman ja niiden verkon reititinkin vastaisi.

Nyt ei millekään niiden tarjoamalle sivulle pääse. Jos sivuista näkyi osa, se johtui luultavimmin siitä, että selaimen välimuistissa olevia tietoja luettiin ensin, mutta loppu jäi saamatta.
Toivon todellakin, että Easylinehost saa kaikki kuntoon pian.

[J.Jäntti]

Viimeisin tieto:

Se on palvelunestohyökkäys, muttei Easylinehost:ia vastaan, vaan Easylinehost:n käyttämää internet-operaattorin runkoverkkoa vastaan. Easylinehostin toiminta ja sen sivut kärsivät sen seurauksista ja hyökkäys on niin voimakas, että se näkyy runkovikana täällä päässä.

08.04.2008
Palvelunestohyökkäys hidastaa yhteyksiämme - denial of service attack (DoS) is slowing us down

Internet-operaattorin runkoverkostoa vastaan on menossa palvelunestohyökkäys joka alkoi maanantain ja tiistain vastaisena yönä.
Internet-operaattorimme on käynnistänyt hyökkäyksen havaitsemisen jälkeen toimenpiteet normaalitilanteen palauttamiseksi. Hyökkäyksen syytä ja lähdettä selvitetään.

Palvelunestohyökkäys (eng. denial of service attack, DoS attack) tarkoittaa tietyn verkkopalvelun lamauttamista niin, että palvelu ei ole saatavissa. Hyökkääjän tavoitteena ei ole järjestelmään tunkeutuminen, vaan sen toiminnan häiritseminen ja normaalin käytön vaikeuttaminen.

Lisätietoja viestintäviraston Cert.fi-sivuilta
(http://www.cert.fi)

There is a denial of service attack (DoS) going on on the internet that is not due to our equipment and which is slowing things down. Someone is attacking from the internet causing this. We are enquiring the matter right now.

[Nyki]

Kerran aiemmin on ollut sama tilanne, mutta silloin hyökkäys oli lievempi, eikä aiheuttanut näin vakavaa jumiutumista.
Olisi mielenkiintoista tietää miksi?
Onko hyökkääjillä joku erityinen sivusto tai palvelu kohteena, kun lamauttavat koko operaattorin/runkoverkon toiminnan?


Ari - Vaskinet

[Nyki]

Jahas, tilanne helpottaa ainakin väliaikaisesti.

[J.Jäntti]

H***n P********t.

Ihmettelen suuresti ettei tv,n uutisissa ole asiasta mainittu mitään.
Yleensä sitä kautta saa heti tiedon. 

En vähättele asiaa, mutta kyseessä on niin paikallisella tasolla tapahtuva hyökkäys, eli hyökkäys kohdistuu vain pieneen osaan verkkoa, joten sen vaikutus on niin pieni, ettei se ylitä uutiskynnystä.
Se ei luultavasti vaikuta esim. kuluttajien kotiyhteyksiin tai suurten yritysten sivuihin tai toimintaan, joten siitä ei siksi ole uutisoitu valtamediassa. Asian paikallisuutta kuvastaa myös se, että CERT-FI:n sivuilla ei ole asiasta mainintaa.

Huoleni kohdistuu siihen, että jollain Easylinehost:n asiakkaalla olisi sellaiset sivut, jotka ovat olleet haavoittuvaisia XSS:lle, eli Cross-Site Scripting-hyökkäyksille.

CERT-FI:n mukaan XSS-haavoittuvuutta käyttävä hyökkäys määritetään näin:

Cross site scripting (XSS) -hyökkäyksellä tarkoitetaan tilannetta, jossa www-palvelimelle syötetään ohjelmakoodia, joka suoritetaan käyttäjän selaimessa. Näin hyökkääjän antama sisältö näyttää olevan peräisin luotettavaksi oletetulta www-sivustolta. Hyökkäys voi onnistua, jos www-palvelin ei tarkista sille annettuja syötteitä (kuten esimerkiksi linkissä annettavaa URL-osoitetta) riittävän tarkasti. Cross site scripting -haavoittuvuudet johtuvat sivustojen turvallisuudeltaan puutteellisesta toteutuksesta, mutta ne eivät tarkoita sitä, että palvelimelle olisi murtauduttu.

Hyökkäys voidaan toteuttaa siten, että käyttäjä houkutellaan syöttämään hyökkäyskoodi palvelimelle. Koodi voi olla mukana sivustolle johtavan linkin sisältämässä URL-osoitteessa. Linkkiä voidaan levittää esimerkiksi roskapostiviestien mukana. Joissakin tapauksissa hyökkäys voidaan tehdä myös upottamalla koodi esimerkiksi sivustolla olevalle keskustelufoorumille lähetettyyn viestiin, jolloin se suoritetaan aina kun käyttäjä lataa sivun siitä riippumatta, että minkälainen linkki sivulle on johtanut.

Eli periaatteessa, jos sivut ovat olleet läpeensä murrettavissa, voidaan ainakin teoriassa saada aikaan vaikka mitä tuhoa, jos tekijä on riittävän älykäs rakentamaan hyökkäyskoneiston, joka voi jotain tehdä. Tuolla menetelmällä tosin saadaan aikaan tiettävästi vain yhden sivun kaatuminen. DoS- (eli palvelunesto-)hyökkäys tulee toisin perin - ulkoa sisällepäin.

Veikkaanpa, että tämä jää arvoitukseksi, mistä hyökkäys tuli ja minne se oli osoitettu; Easylinehost tietää kaiken, mutta tuskin noita tietoja julkaisee, sillä hyökkäyksen tekijän ja hyökkäyksen uhrin ilmoittaminen olisi hyökkäyksen tekijälle shampanjan paikka, sillä se saisi sillä tahtonsa läpi, eli julkisuutta ja sulan hattuun yhteisön silmissä, mikä kirvoittaisi tekemään lisää hyökkäyksiä.

[J.Jäntti]

Taas on tilanne ettei Nykin foorumiin pääse. 
Onko taas hyökkäys menossa??

Vahvasti näyttää siltä taas. Jouduin ottamaan Easylinehost:n sivuun yrityksiä useamman, ennenkuin sivu tuli läpi edes osittain.
Nyt ei ole mitään uutta ilmoitettu heidän päässään, muuta, kuin täälläkin lainattu tiedote, joten tilanne on saattanut olla päällä koko ajan.

Veikkaanpa, että he saivat hetkellisesti torjuttua hyökkäyksen, mutta kuka (tai ketkä) siellä ikinä ovatkaan, ovat he luultavasti muuttaneet hyökkäystaktiikkaansa, mihin torjunta ei pure.
Se on Easylinehost:n kannalta huono juttu. Jos tuo jatkuu vielä pitkään, lähtee asiakkaita lätkimään toisen webhotellin asiakkaiksi.

[J.Jäntti]

http://www.finwx.net/forum/index.php/topic,203.0.html
Sitä tulee vainoharhaisexi   
Tuosta jo kirjoitin Nykin foorumiin.

PerK....

Heh...
Ei mitään hätää, sivusto toimii normaalisti edelleen.
Voin kyllä uskoa tuon, että Nykin sivujen katoaminen, FLC:n tutkakuvaongelmat ja minun sivun katoaminen vaikuttavat samalta asialta, mutta onneksi ihan noin ei sentään tällä kertaa ollut.

Ehdin jo Nykin Foorumille heittää kyseisen linkin.