DDoSвидания

B марте - мае одно за другим стали появляться сообщения о массовых DDoS-атаках на ряд не связанных между собой российских сайтов и хостинг-провайдеров. Вероятнее всего, они вызваны активизацией ботнета из 10 млн компьютеров, зараженных червями Kido, одним из самых масштабных семейством вирусов. СМИ и блоги рапортуют: из-за атак оказались недоступны сайты НБП, Roem.ru, Tonks.ru, «ХабраХабр», «Каспаров.ру», страницы операторов МТС, «Линк Трафф», газеты «Коммерсант» и многих других. А в мае эксперты компании Symantec (разработчики Norton Antivirus) впервые задетектировали DDoS-атаку, проведенную с помощью ботнета из компьютеров Apple.

Урал в стороне не остался. За два года DDoS-атаки испытали на себе, например, банк «Северная казна» (пользователям оказались недоступны сервисы интернет-банкинга), информагентство Justmedia, портал для провайдеров «Наг.ру», компания «Уралсвязьинформ», портал e1.ru. А недавно хакеры атаковали сайт Свердловского областного суда. В начале года уфимским правоохранительным органам удалось даже поймать группу местных DDoSеров (что случается крайне редко), от рук которых пострадало порядка 30 электронных ресурсов десяти крупных российских компаний. В 2009 году популярность киберпреступности только вырастет.

Гадость или деньги

Эксперты выделяют три основные цели, которые преследуют хакеры при организации DDoS-атаки. Первая - вымогательство: преступники, заблокировавшие работу сервера, через некоторое время выходят на связь и требуют за прекращение атаки денег (так, например, поступили уфимские хакеры). Однако в последнее время эта практика себя изживает. Ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк: «Нажива - цель распространенная, однако не самая привлекательная со стороны киберпреступников, так как в этом случае они вынуждены выходить на прямой контакт с жертвой, а это может привести к раскрытию информации об атакующем. Более популярный вариант - DDoS по заказу конкурентов, где обе коммуницирующие стороны не имеют интереса в раскрытии друг друга». Таким образом, мы вышли на вторую цель DDoS-атак - грубо говоря, «нагадить» оппоненту.

Злоумышленники не ставят перед собой задачи получения денег, главное - парализовать работу противника. Например, в выводе из строя интернет-банкинга той же «Северной казны» некоторые ИТ-специалисты увидели заказ со стороны федеральных банков, недовольных сильным региональным конкурентом. По этой же причине пострадали несколько интернет-магазинов. «Коммерсант», по некоторым данным, был атакован по заказу движения «Наши», о котором нелестно отозвался на своих страницах. В прошлом году с целью добить идейного врага российские DDoSеры атаковали целые страны: Эстония осталась без интернета в период сноса бронзового солдата, огромная часть грузинских сайтов была заблокирована во время абхазского конфликта.

Третья цель - овладение атакуемой системой. Это происходит, если во внештатной ситуации программное обеспечение жертвы выдает какую-либо критическую информацию, например, часть кода.

Распознать трафик

Затраты, которые несут на организацию атаки DDoSеры, и потери их жертв несопоставимы. По данным Виталия Камлюка, средняя стоимость одной атаки составляет от 100 до 1000 долларов в сутки в зависимости от ее мощности. Как правило, организаторы готовы предоставить заказчику возможность ознакомления с DDoS-сервисом в тестовом режиме (5 - 10 минут) бесплатно. Шантажисты за остановку атаки просят гораздо больше - до 10 тыс. долларов. Когда дело касается крупных иностранных компаний, сумма доходит до десятков и сотен тысяч долларов.

Если компании не соглашаются с требованиями хакеров и сами пытаются отбиться, их потери также весьма велики. Например, доступ на сайт «Коммерсанта» был затруднен неделю. Даже если предположить, что атака стоила максимально дорого (в чем есть большие сомнения), - это 7 тыс. долларов. Ущерб, причиненный издательскому дому из-за невозможности показывать рекламу и необходимости покупать дополнительное оборудование, гендиректор «Коммерсанта» Демьян Кудрявцев оценил в сотни тысяч долларов. «Программу, способную создавать простые ботнеты и нарушать работу большинства корпоративных сайтов, можно без проблем приобрести в интернете за 700 долларов, - рассказывает директор компании Netangels Антон Халиков, - а полноценная защита от DDоS-атак, включающая компоненты обнаружения и противодействия, стоит от 100 тыс. долларов». Виталий Камлюк добавляет: «В рунете существует ряд проектов, занимающихся антиDDoSом. Стоимость абонентского обслуживания у таких компаний порой достигает 15 тыс. долларов в месяц, а защита от активной атаки - 45 тыс. долларов в сутки на Гбитном канале. Правда, есть варианты и дешевле: стоимость абонентской платы 100 тыс. рублей (без оплаты трафика клиента), отражение активной атаки - 50 тыс. рублей в сутки на 100 Мбитном канале».

Зачем тратиться на дорогостоящее оборудование и обслуживание? Причина проста: вычислить организаторов атак и их заказчиков - задача крайне сложная. Соответственно, единственная возможность избежать DDoSа - внедрение аппаратных и программных способов защиты.

Скажем сразу: обезопасить себя на 100% невозможно. Заведующий лабораторией сетевой безопасности учебного центра «Информзащита» Владимир Лепихин: «Почему нет такого решения? Во-первых, в этом виновата природа DDoS. Теоретически любая атака становится возможной по причине уязвимости. А уязвимостью в данном случае является сам факт существования системы. Во-вторых, проблема DDoS-атак имеет глобальный характер, и эффективно решить ее можно только общими усилиями, что очень непросто. И это раз и навсегда опровергает миф о существовании автоматизированных решений противодействия DDoS-атакам. Они по определению неполноценны и поверхностны».

Если суммировать мнения экспертов, можно выделить две группы эффективных защитных механизмов. Первая объединяет превентивные меры. Например, резервирование мощностей - серверов и каналов связи: главное, вовремя перенаправить трафик клиентов. Еще одна мера - профилактика эпидемий. Некоторые эксперты уверены, что при распространении Kido срабатывали сигнатуры пятилетней давности, которые сложно было не заметить. Однако момент был упущен, гигантский ботнет создан, и теперь весь мир борется с DDoS-атаками.

Вторая группа защитных механизмов построена на детектировании угроз. Идея очень проста: вовремя заметить атаку и принять соответствующие меры - от изменения параметров отдельно взятого сервера до манипуляций с трафиком (перенаправление, блокировка, отслеживание источника атаки). На этом принципе построены практически все автоматизированные средства защиты от DDoS-атак. Самое сложное здесь - выработка критериев фильтрации трафика: вместе с потоком, содержащим признаки атаки, можно заблокировать и «легитимный». Кроме того, этот механизм защиты не спасет в случае крупномасштабного нападения. Потребуется принимать меры на уровне провайдера или провайдеров - возможно, по всему миру.

Таким образом, победить в DDoS-сражении можно, только используя комплекс мер, прикладывая к их реализации усилия не одной обороняющейся компании, а целого ряда структур, особенно интернет-провайдеров. Именно они могут обеспечить более надежную защиту от DDoS-атак: их каналы связи имеют гораздо большую пропускную способность, чем у клиента, а значит, можно заблокировать трафик до того, как он «забьет» последнего.

DDoS-атака (distributed denial of service - распределенный отказ обслуживания) - атака на вычислительную систему (сервер) с целью довести ее до отказа. Схематически DDoS-атака выглядит так: на сервер жертвы обрушивается огромное количество ложных запросов с большого числа заранее зараженных вирусом компьютеров, объединенных в управляемую сеть (ботнет). В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится недоступным для реальных пользователей. Владельцы компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Типичный пример DDoS-атаки - блокирование работы сайтов или центров обработки данных.

Все более глубокое проникновение IT во все сферы деятельности предприятий создает новое поколение рисков. Активность хакеров (DDoS-атаки) может парализовать деятельность информационных систем предприятия и привести к временной потере управления. Защита от DDoS-атак должна быть доверена профессионалам и основана на применении комплексных современных решений на уровне провайдера. Только тогда она будет эффективной, считает заместитель генерального директора - директор Межрегионального филиала информационно-сетевых технологий ОАО «Уралсвязьинформ» Вячеслав Сбродов

- Вячеслав Иванович, каковы основные негативные последствия от DDoS-атаки для компании?

- Главное - потеря управляемости, невозможность выполнения бизнес-процессов из-за перегрузки и приостановки информационных сервисов, когда IT-система начинает получать большое количество запросов от так называемых «зомби-машин». Следовательно, такая ситуация может привести к недополучению доходов. Нельзя не учитывать и прямой экономический ущерб, если в результате атаки выйдет из строя IT-система.

В этом же ряду - увеличение затрат из-за «паразитного» трафика, генерируемого в ходе DDoS-атак. Конечно, такая ситуация создает и репутационные риски для компаний.

- Многие эксперты замечают, что эффективную защиту от подобных атак можно построить только на уровне провайдера. Предлагает ли «Уралсвязьинформ» соответствующие решения?

- Безусловно. Компания предлагает корпоративным клиентам решение, обеспечивающее защиту их сетей передачи данных от DDoS-атак. Работа созданного программно-аппаратного комплекса включает четыре составляющих: определение контрольных характеристик нормальной структуры трафика, непрерывный мониторинг каналов передачи данных, обнаружение аномалий в структуре трафика и его очистка.

Реализуемая схема в принципе проста: параметры всего интернет-трафика по IP-адресам, которые клиент хочет защитить, по его заявлению направляются на наше оборудование. Система обнаружения атак осуществляет непрерывный мониторинг и анализ данного трафика. При обнаружении в нем вредоносной составляющей оборудование сигнализирует о начале DDoS-атаки. После этого трафик клиента перенаправляется на оборудование центра очистки, где все нелегитимные данные вычищаются из общего потока с помощью конкретных для каждой атаки фильтров, а легитимные направляются обратно в сеть клиента.

- В чем преимущество ваших решений по защите ИТ-систем клиентов?

- Во-первых, решение «Уралсвязьинформа» дает возможность сохранить работоспособность интернет-сервисов своих клиентов во время проведения атаки.

Во-вторых, при построении системы защиты использованы оборудование и программное обеспечение ведущих производителей, которые хорошо зарекомендовали себя на рынке. Arbor Networks Peakflow SP - это платформа для мониторинга сети и обнаружения аномалий. Cisco Guard позволяет очищать каналы передачи данных и отфильтровывать потоки вредоносного сетевого трафика. Замечу, что Cisco Guard рассчитан на обработку трафика с интенсивностью до 3 Гб в секунду. Поэтому может быть нейтрализована даже очень серьезная DDoS-атака.

Предлагаемая нашим клиентам система одновременно защищает мультисервисную сеть самого «Уралсвязьинформа» (на ее базе создаются корпоративные сети передачи данных - VPN). В целом ее возможности по подключению корпоративных клиентов - более 1 млн портов. Таким образом, система позволяет на территории Урала обезопасить сеть клиента любого размера.