Меню Закрыть

DDoS с большой дороги

Кибертерроризм захлестнул интернет. В случае, если раньше DDoS-атаки на сайты компаний использовались главным образом с целью шантажа, то сейчас к помощи киберпреступников прибегают и солидные на вид организации, желающие свести счеты с конкурентами. Кто и как организует атаки и сколько на этом возможно получить, выяснял Денис Зенкин.

В рунете навряд ли найдется много популярных сайтов, ни разу не подвергавшихся так называемым атакам DDoS (“отказ обслуживания”). Им часто подвергались серверы радиостанции “Эхо Москвы”, издательского дома “Коммерсантъ”, журнала Mobile Review. ?ые сети, в частности сообщества LiveJournal, широкопрофильные порталы (к примеру Mail.ru), интернет-провайдеры (“Мастерхост”, “Зенон”) также регулярно попадают под прицел кибертеррористов. Участи этой не избежали и разработчики систем информационной безопасности: очень много случаев, когда успешные атаки “валили” серверы, к примеру, BlueSecurity либо CastleCops.

Растет практика использования DDoS и в политических целях — прежде всего в межпартийной борьбе и для выражения несогласия с действиями того либо иного государства. Вспомните прошлогодний случай с демонтажом памятника воину-освободителю в Таллине и последовавшую за этим лавину DDoS-атак на веб-сайты эстонских правительственных учреждений. ? действия несогласных все чаще сопутствуют внутренним и международным событиям. За примерами далеко ходить не приходится: арабо-израильский конфликт, пакистано-индийский конфликт, недавние события в Косово.

DDoS — скоро набирающая известность тип хакерских атак. Сочетание слов, имеющее аббревиатуру DDoS, на российский переводится как “распределенный отказ обслуживания”. Мишень атаки никак не в том, чтоб просочиться в систему, а в том, чтоб нейтрализовать ее работу. Представьте себе себе торговца печатных изданий, к которому в один момент строится неимоверная очередность жаждущих купить свежую прессу. Соответственно,  вы можете получить собственный экземпляр совсем не так быстро как хотели бы, ежели вообще получите.

По такому сценарию проходят DDoS-атаки в интернете. Десятки тысяч компьютеров внезапно начинают единовременно посылать на определенный сервер бессмысленные пакеты данных. Сервер пытается их обработать, но не справляется. В итоге добросовестные посетители не могут получить доступа к источнику. Для компаний, чья действие осуществляется именно в интернете (интернет-магазины, общественные сети, онлайн-СМИ и т. п.), такое происшествие оборачивается многомиллионными потерями и дрянной славой.

К примеру, русский филиал процессинговой системы ChronoPay, обслуживающий интернет-платежи, утратил три года назад около $700 тыс. из-за нескольких часов простоя по причине DDoS-атаки. Заокеанский интернет-аукцион eBay по этой же причине не работал 22 часа и в течение последующих пяти дней утратил четверть своей стоимости на фондовом рынке.

DDoS. История проблемы 
История возникновения DDoS-атак достаточно поучительная. Спецтехнология, которая легла в основу этой разновидности хакерских атак, была сделана экстраординарно в миролюбивых целях. Она энергично применялась для постижения пропускной способности каналов передачи данных и для проверки их поведения в условиях пиковых нагрузок. Подлинно, сложно придумать лучший вариант тестирования системы, чем симуляция “боевых” условий. Впрочем скоро эта спецтехнология и инструменты попали в руки тех, кто обнаружил им иное использование.

Первые случаи хакерских DDoS-атак были зарегистрированы в 1996 году. Впрочем серьезно об этой задаче заговорили только через четыре года, когда жертвами атак стали веб-сайты Amazon, Yahoo, eBay, CNN и даже ФБР. Основной итог из этого был примитивен: “если они отключили Yahoo, то могут отключить кого угодно”. Всякий сайт в всякий момент мог стать мишенью для атаки. С тех пор DDoS стал обыденным явлением сетевой жизни: не проходит и месяца без сообщения о новом огромном происшествии. По данным Университета компьютерной безопасности (США), приблизительно 55% всех хакерских атак имеют именно такую природу, а подсчеты компании Arbor Networks показывают, что всякий день в интернете происходит около 1300 DDoS-нападений.

DDoS давным-давно стал значительно большей задачей, нежели спам. На долю электронной почты доводится примерно 1,5% объема данных, передаваемых через интернет. Таким образом, столь знаменитая задача как спам (неугодные почтовые рассылки) в глобальном масштабе — каждого лишь незначительные помехи на ярусе 1%. Объем же DDoS-данных достигает 5%, и итоги DDoS-атаки значительно серьезнее.

Как все феноменальное, спецтехнология DDoS примитивна и прозрачна. Безусловно, массированные атаки на источники, имеющие сильную охрану,— это доля профессиональных киберпреступников. Но для проведения средней силы атаки, которая не нанесет серьезного урона жертве, не требуется каких-то специальных навыков. C этой задачей может совладать даже любитель.

DDoS делится на два архитектурных типа: программируемый и самостоятельный. Программируемый тип включает руководящую консоль, промежуточные компьютеры и компьютеры-солдаты. По сигналу с консоли промежуточные компьютеры посылают команду каждому “солдатам” с указанием цели и типа атаки. Те, в свою очередь, начинают “бомбардировку” жертвы. Самостоятельная зодчество полагает применение сети “солдат”, запрограммированных на атаку определенной цели. Невзирая на мнимый недочет эластичности и управляемости, они Исключительно опасны: такие компьютеры продолжают делать даже позже нейтрализации руководящего центра. “К сожалению, выйти на след хакера фактически нереально. Немного того что непосредственными исполнителями атаки являются компьютеры ничего не подозревающих пользователей, связь между ними и руководящей консолью также Исключительно запутанна: нападающие применяют неизвестные прокси-серверы для сокрытия своего местоположения”,— рассказывает Дмитрий Дукорский, технический референт компании Kerio Technologies.

Особого внимания заслуживают именно “солдаты”. Как правило, на компьютеры неприметно (при помощи вируса либо через брешь в системе безопасности) внедряется особая программа, которая никак себя не проявляет до поступления команды сверху. Случается, что “солдат” может спать многие месяцы и даже годы, раньше чем будет подчинен свободе хакера. Обладатели этих компьютеров даже и не подозревают, что участвуют в атаке. Из-за этой особенности в профессиональной среде экспертов по информационной безопасности такие солдаты получили наименование “зомби”.

В компьютерном андеграунде зомби-сети являются единовременно предметом специальной гордости и торговли. Хакеры тратят много усилий и средств на их создание. Им требуется разрабатывать либо заказывать особые вредные программы, проводить их многократную рассылку, Дабы получить в сухом остатке работающую сеть довольно сильных компьютеров. На подпольных форумах Зачастую дозволено встретить объявления об аренде таких зомби-сетей либо реализации атак с их поддержкой.

Как атаковать и как заработать

Прошли времена, когда DDoS был уделом хулиганов и носителей диагноза геростратовой мании величия. Сегодня любителям под силу провести атаку разве что на себе сходственного. Важные компании, бизнес которых зависит от интернета, применяют сильные средства противодействия, совладать с которыми горазд только подлинный специалист. Со временем на услуги этих людей появился устойчивый спрос: заказы со стороны соперников, политические заказы, вымогательство и шантаж. А с иной — непредвзятые экономические законы, согласно которым потребность рождает предложение. Понемногу на этой почве подросла настоящая индустрия.

“Почаще всего для проведения DDoS-атак хакеры применяют вредные программы семейства SdBot, Rbot и BlackEnergy Bot. Это сильные системы, за плечами которых несколько лет постоянного технологического улучшения. В их арсенале развитое управление, функции механического обновления, перехвата данных и рассылки спама,— говорит Александр Гостев, ведущий антивирусный аналитик “Лаборатории Касперского”,— По моим подсчетам, для отключения всякого из 99% русских сайтов понадобится зомби-сеть из приблизительно 20 тыс. компьютеров. При этом ресурсы современных хакеров могут неоднократно превышать эту цифру”.

Большинство DDoS-хакеров исполняют торговые заказы по нейтрализации соперников. Как правило, они распространяют объявления о своих службах при помощи неизвестных рекламных рассылок и многообразных форумов. В целях конспирации общение неизменно ведется с неизвестных адресов, чтобы исключить вероятность неугодного контакта с правоохранительными органами, а оплата принимается на подставные счета обезличенных платежных систем и сурово по принципу “вечером деньги — утром стулья”.

По этой причине клиент неизменно рискует: он может стать жертвой тривиального мошенничества, когда исполнитель пропадает сразу же позже перечисления денег. В отсутствии ручательства он может связаться с любителями, которые не сумеют достичь поставленной цели. Он может сам стать жертвой шантажа. Наконец, не исключено, что под видом хакеров ему придется общаться с правоохранительными органами.

Как в любом ином преступном бизнесе, тут нет жестких тарифов. Цена DDoS-атаки зависит от слишком многих факторов и ее колебания могут составлять до тысячи раз. К примеру, службы любителя могут стоить 2-3 тыс. рублей за день атаки. Высокопрофессиональная “бомбардировка” веб-сайта средней руки — 7-10 тыс. рублей. Масштабная атака на отлично защищенный сервер — до нескольких десятков тысяч баксов в день.

PR на DDoS 

В последнее время специалисты подмечают применение феномена DDoS в непривычных целях. “Изредка хочется задать вопрос — а был ли мальчуган? Мне знамениты несколько случаев, когда на DDoS-атаки сваливают нерасторопность IT-службы, из-за которой нарушается типичная работа систем. Согласитесь, множество с сочувствием отнесется к жертве хакерской атаки и скорее каждого, легко извинит ошибку,— комментирует Евгений Преображенский, генеральный директор компании Perimetrix.— Факт наличия атаки проверить дюже трудно и даже при таком раскладе данные дозволено легко фальсифицировать”.

DDoS-атаки также применяются для привлечения общего внимания — в рекламных и политических целях. До сих пор сообщения об удачных атаках вызывают интерес публики и неизбежно занимают заголовки СМИ. Случается, что государства голословно обвиняют друг друга во недружелюбных действиях, применяя в качестве доказательной базы тот самый знаменитый DDoS. Один из наглядных примеров — заявление эстонских “специалистов”, которые якобы вычислили источник атак на правительственные сайты: он находился нигде напротив, как в Кремле. И правда несуразности этому обвинению не занимать, заявление попало в формальные каналы и было обширно растиражировано западными СМИ как наглядное подтверждение враждебного поведения России в отношении небольшого демократического государства.

Несмотря на то, что тому нет прямых доказательств, многие специалисты не исключают, что спецтехнология DDoS энергично применяется и на правительственном ярусе. Разумно предположить, что в условиях сегодняшней зависимости бизнес-коммуникаций и СМИ от интернета DDoS является значительным доводом в политической борьбе и может представлять собой результативный инструмент выяснения отношений между государствами в случае их обострения. Было бы дюже необдуманно не рассматривать этого и не проводить соответствующих изысканий, как в области охраны, так и нападения.

Вопрос о кибертерроризме с применением DDoS уже не раз подымался на страницах печати и специализированной прессы. В 1-й раз об этом феномене заговорили в ноябре 2002 года. Тогда объектами атаки стали корневые серверы интернета, отвечающие за координацию работы глобальной сети в целом. В итоге случая интернет был ненадолго расколот на национальные подсети, не имевшие вероятности общаться между собой. К счастью, итоги удалось стремительно одолеть и восстановить типичную работу серверов. Впрочем факт остался фактом: DDoS дозволено применять в глобальных террористических целях. В итоге таких действий могут быть нарушены значимые коммуникации, глобальная экономика понесет многомиллиардные убытки, возникнет опасность жизни и здоровью людей. Увы, мировой паралич из-за отказа интернета — это теснее больше не сценарий дешевого блокбастера, но настоящая опасность.

Неуловимые хакеры

В большинстве европейских стран и заокеанских штатов приняты особые акты, прямо и недвусмысленно определяющие хакерские атаки и ответственность за их реализацию. Русское право в этом смысле больше аморфно. Особенно близкие статьи УК РФ — 272 (“Неправомерный доступ к компьютерной информации”, санкция — лишение воли до пяти лет) и 273 (“Создание, применение и распространение вредных программ для ЭВМ”, санкция — лишение воли до семи лет). Впрочем ни то, ни другое в случае с DDoS не работает. В ходе атаки неправомерного доступа не совершается, а факт применения вирусов вообще недоказуем. Но даже если бы и возникла новая статья, направленная на наказание “дэдосеров”, то она неизбежно вошла бы в когорту бумажных законов, которые на практике не работают. Запретить — одно дело. Вовсе другое — обнаружить преступника и подтвердить его вину. А вот с этим в России, увы, пока задачи. За всю историю к уголовной ответственности (да и то по статье 163 УК РФ “Вымогательство”) в России были привлечены лишь трое молодых людей (дело “балаковских хакеров”), занимавшихся шантажом и дэдос-атаками британских интернет-букмекеров на сумму около $4 млн.

Несмотря на усилия властей и модернизацию права, все эти действия, по сути, малоприменимы. При нынешней архитектуре интернета вычислить хакера фактически невозможно. Попадаться в сети будут только неосмотрительные любители, а “огромная рыба” будет уходить безнаказанной. Те же “балаковские хакеры”, по признанию экспертов, попались по бессмысленности: в один ответственный момент позабыли верно спрятать свой адрес. Проще каждого, безусловно, выйти на “солдат”, но реально привлечь их обладателей к ответственности нереально — они сами пали жертвами преступников. А неисполнение норм компьютерной гигиены сегодня не является ни уголовно, ни административно наказуемым деянием. Правда, в США теснее раздаются призывы к изменению подхода: приравниванию компьютера к объекту повышенной угрозы и, соответственно, появлению ответственности обладателя за его надлежащее состояние.

Может сложиться ощущение, что глобальную сеть поразила неизлечимая эпидемия, которая рано либо поздно приведет к тотальному кризису. В реальности, это не так. Как потребность рождает предложение, так и опасность вызывает ответную охраняющую реакцию. В последние годы индустрия информационной безопасности разработала ряд довольно результативных спецтехнологий для борьбы с DDoS. К всеобщим рекомендациям для снижения угрозы и минимизации урона от атак относят применение особого программного обеспечения (межсетевые экраны) и соблюдение всеобщих правил компьютерной гигиены. Домашние пользователи могут сделать выбор из широкого спектра коробочных продуктов. Для среднего и малого бизнеса понадобится шлюзовой межсетевой экран, а для больших организаций — высокопроизводительные брандмауеры. Нужно также применять и регулярно обновлять антивирусные программы, чтобы неприметно не влиться в число зомби-компьютеров.

В перспективе единоборство с DDoS неизбежно выйдет на всеобщий ярус. Не только потому, что эта опасность приобретает планетарные масштабы. Но также из-за того, что результативность выявления таких атак прямо пропорциональна ярусу сбора либо обзора статистики. Множество способов бессильны возле цели, но фактически безотказны на магистральной сети. На этом ярусе дозволено с высокой вероятностью распознать дэдос, его тип, нрав, побочные действия и оперативно разработать механизм охраны.

Основные виды DDoS-атак:
Флуд (англ. flood — наводнение) — наиболее распространенный вид. Связан с “бомбардированием” целевой системы большим количеством бессмысленных или неправильных запросов с целью исчерпать ее ресурсы (процессора, памяти, пропускной способности канала) и провоцировать замедление или полный отказ.

Использование ошибки в программе, приводящей к возникновению необрабатываемой исключительной ситуации и аварийному завершению серверного приложения.

Недостаточная проверка данных пользователя, приводящая к исчерпанию процессорных ресурсов либо исчерпанию памяти.

Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Комбинированная атака — комбинация описанных атак, направленных на отказ в обслуживании.

Методы обнаружения DDoS-атаки:
Сигнатурные — в потоке сетевых данных производится качественный анализ и поиск определенных пакетов, свойственных DDoS. Малоэффективно против новых типов атак.

Статистические — количественный анализ потока сетевых данных с целью выявления аномалий, свойственных DDoS. Главный недостаток — наличие ложных срабатываний и недостаточная эффективность.

Гибридные — сочетают в себе достоинства обоих методов.

Яндекс.Метрика

Позвоните сейчас, получите подарок!