Palvelunestohyökkäyksessä sivustolle lähetetään loputon määrä samanaikaisia pyyntöjä, jolloin sivusto ei enää avaudu vierailijoille. Miten niiltä voi suojautua?
Julkaistu

Kyberhyökkäysten vaara on nykyisessä maailmantilanteessa kasvanut, eikä Suomessakaan ole vältytty palvelunestohyökkäyksiltä. Viime viikon perjantaina, 8.4.2022 verkkohyökkäyksen kohteeksi joutuivat muun muassa Ulko- ja puolustusministeriön sivustot, minkä seurauksena sivustoille ei päässyt. Vaikka palvelunestohyökkäykset eivät ole aina näin näkyviä, ovat ne silti arkipäiväisiä. Hyökkäyksistä voi myös ilmoittaa Kyberturvallisuuskeskukselle, jonka mukaan Suomessa palvelunestohyökkäyksiä raportoidaan vuosittain yli 10 000.

Seravo valvoo asiakkaiden sivustoja vuorokauden ympäri. Mikäli sivuston toiminnassa havaitaan häiriö, Seravon päivystäjä tarkistaa tilanteen. Seravolla ollaan jatkuvassa valmiudessa mahdollisten tietoturvapoikkeamien ja palvelunestohyökkäysten varalta.

Mikä on palvelunestohyökkäys?

Palvelunestohyökkäyksessä (denial-of-service, DoS attack) sivustolle lähetetään loputon määrä samanaikaisia pyyntöjä, jolloin sivusto ei enää avaudu vierailijoille. Mikäli palvelunestohyökkäyksen pyynnöt puolestaan saapuvat monesta eri sijainnista, puhutaan hajautetusta palvelunestohyökkäyksestä (distributed denial-of-service, DDoS attack). Bottiverkkojen hajautetusti tekemät pyynnöt voivat tehdä pyyntöjen estämisestä hankalampaa. Hyökkääjän mahdollisuutena on myös kohteen verkkoyhteyden koko kapasiteetin tukkiminen turhalla datalla.

Oli palvelunestohyökkäyksen tyyppi mikä hyvänsä, lopputulos on käytännössä sama kuin yhtäkkisessä kävijäpiikissä: sivuston kaikki käytettävissä olevat resurssit tulevat käytetyiksi, eikä sivusto pysty enää käsittelemään kaikkia saapuvia pyyntöjä. Seurauksena on siis sivuston ylikuormittuminen. Kävijäpiikeissä lopputulos on tahaton, kun taas palvelunestohyökkäys on täysin tahallinen teko, jossa tavoitteena on kohteena olevan sivuston lamaannuttaminen ja pääsyn estäminen sen sisältöön.

Palvelunestohyökkäykset ovat ikäviä, sillä palvelininfrastruktuuriin iskiessään ne voivat lamauttaa myös muita palveluita varsinaisen kohteensa ohella. Yleisesti verkkohyökkäyksissä pyritään kuitenkin hyödyntämään muita sivustojen ja järjestelmien heikkouksia. Botit saattavat käydä myös kolkuttelemassa WordPressin kirjautumissivua kokeillakseen, pääsevätkö ne sisään. Näistä aiheutuvia ongelmia voidaan ehkäistä huolehtimalla päivityksistä ja esimerkiksi recaptcha-lisäosalla ja käyttämällä kaksivaiheista tunnistautumista (hyvää salasanahygieniaa unohtamatta). Kriittiset tietoturvapäivitykset asennetaankin Seravolla aina viipymättä, vaikka automaattipäivitykset olisi muutoin estetty.

Ennakoi hyökkäykset

Verkkohyökkäystä voi yrittää ennakoida esimerkiksi suunnittelemalla käyttöön kokonaan erillisen ja riippumattoman kevytversion sivustosta. Ensisijainen varautumistapa palvelunestohyökkäyksen varalta on kuitenkin huolehtia siitä, että pääsivuston olennaisin sisältö on hyvin välimuistitettu, jotta se latautuisi mahdollisimman hyvin myös äkillisen kuorman alla.

Välimuistia ovat käsitelleet monet aiemmat blogikirjoituksemme, mutta blogistamme löydät tietoa myös siitä, miten pääset sivuston nopeusoptimoinnissa alkuun itse. Optimointia voi tilata myös Seravolta asiantuntijatyönä. Tällöin voidaan selvittää jo etukäteen, mikäli sivustolla on suorituskykyä haittaavia toiminnallisuuksia, ja ratkoa mahdollisia ongelmia ja pullonkauloja yhdessä.


Seravon WP-palvelun arkkitehtuurissa palvelunestohyökkäyksten mahdollisuus on otettu huomioon monin tavoin: esimerkiksi kuormanjako, oletusarvoinen tehokas välimuistitus ja haittaliikenteen suodatus osaltaan helpottavat äkillisistä kuormatilanteista suoriutumista. Kehitämme WP-palvelua jatkuvasti tässä muuttuvassa maailmassa, asiakkaidemme tarpeet huomioiden.

Lue lisää

Kategoriassa: Tietoturva

Salasanojen suojauksia tiukennetaan

Seravo tiukentaa helmikuun aikana suojauksia asiakkaidensa WordPress-sivustoilla liittyen salasanojen, kirjautumisten ja yhteyksien suojaamiseen.

9 helmikuun, 2021

WordPress-tietokannan suojaukset Seravolla

Viime viikkoina tietoturva on ollut esillä Suomalaisissa uutisotsikoissa. Lue Seravon blogista, mitä kaikkea Seravo tekee tietokannan suojaamiseksi WordPress-sivustoillamme.

9 marraskuun, 2020

Paranna tietoturvaasi kaksivaiheisella tunnistautumisella

Tässä artikkelissa esittelen TOTP-sovelluksen käyttöä kaksivaiheiseen tunnistautumiseen ja miksi TOTP on monia muita vaihtoehtoja parempi menetelmä.

14 toukokuun, 2020

Salasanahygienia on puoli tietoturvaa

Huolehdimme Seravolla paitsi WordPress-sivustojen toimivuudesta ja suorituskyvystä, myös niiden tietoturvasta. WP-palvelussa ylläpidossa olevalle sivustolle tehdään toistuvasti automaattisia tarkistuksia haittakoodin varalta, […]

7 toukokuun, 2020

TLS 1.1 ja 1.0 historiaan maaliskuussa

Seravon WP-palvelussa on vuoden 2020 alusta ollut ensisijaisena HTTPS-liikenteen salausprotokollana käytössä TLS 1.3, jonka lisäksi käytössä on TLS 1.2. Sen […]

10 maaliskuun, 2020

HTTPS ei ole vapaaehtoinen

Tietojen salaus on ollut arkipäivää vuosikaudet. Saatat tälläkin hetkellä olla yhteydessä internetiin suojatun VPN-yhteyden ylitse suojataksesi henkilökohtaiset tietosi uteliailta katseilta. […]

5 marraskuun, 2019