[InetQuestion] News: Цена DDoS-атаки
Приветствую,
Цена DDoS-атаки
В середине октября компания ╚Зенон Н.С.П.╩ объявила о том, что 10 и
14 числа этого месяца на ее сеть были организованы DDoS-аттаки. На
вопросы о том, проводились ли эти атаки на самом деле и каковы методы
предотвращения подобных инцидентов отвечают директор ╚Зенона╩ по
развитию бизнеса Андрей Кондаков и руководитель группы защиты
информации ╚РТКомм.РУ╩, Николай Федотов.
15 октября интернет-провайдер ╚Зенон Н.С.П.╩ сообщил о том, что 10 и
14 октября на сеть Zenon/Internet были организованы распределенные
атаки типа "отказ в обслуживании" (Distributed Denial of Service
Attack, DDoS). Запросы поступали со скоростью порядка 500 тысяч в
секунду и формировались в тысячах точек как со стороны внешних, так и
со стороны внутрироссийских каналов. По сообщению ╚Зенона╩, нагрузка
на оборудование сети Zenon/Internet во время второй атаки превысила
среднестатистические показатели в сотни раз, а нагрузка на каналы
возросла на 250%. Атакующие использовали так называемые SYN-пакеты,
предназначенные в обычных условиях для организации установки
соединения между компьютерами через Интернет. По информации ╚Зенона╩,
╚отправка большого количества SYN-пакетов на атакуемый узел приводит к
чрезмерной нагрузке на его ресурсы, а поддельные адреса отправителя
пакетов не позволяют определить злоумышленника и использовать
стандартные способы блокировки╩. ╚Веб-информ╩ обратился к
представителям компании ╚Зенон Н.С.П.╩ и ╚РТКомм.РУ╩ за комментариями.
Андрей Кондаков, директор по развитию ╚Зенон Н.С.П.╩
Атака, что обрушилась на нас 14-го октября, на наш взгляд, была
самой мощной в истории российского Интернета. Я атаками не занимаюсь,
и мне сложно оценить профессионализм [нападавших]. Но, судя по
массированности, ее организовали не совсем ╚пионеры╩.
По факту [атаки] мы обратились в правоохранительные органы и готовы
представить все материалы, которые у нас есть по этому поводу. Что
делать дальше - будут решать профессионалы.
Атаки случались и раньше, мы их отражали. Но такое случилось первый
раз. Мы были вынуждены принимать экстренные меры - дополнительное
оборудование и каналы, обращаться к партнерам. И, естественно, сделали
выводы по завершению атак. С учетом полученного опыта мы принимаем
меры как административного (разного рода инструкции, обращения в
правоохранительные органы), так и технического характера. Наращиваем
мощность роутеров, уже установлен интеллектуальный брандмауэр от
Cisco. Кроме того, мы несколько пересмотрели архитектуру своей сети,
снизив нагрузку на транзитные узлы. По наши подсчетам, полный комплекс
адаптации к новым реалиям обойдется нам в несколько сотен тысяч
долларов.
Отмечу, что даже в профессиональных кругах люди не очень понимают,
что такое DDoS-атака. Меня вот, например, расстроило мнение г-на
Малова из Corbina Telecom, высказанное в ╚Коммерсанте╩. Он сказал,
что, дескать, ╚каналов "Зенону" не хватило╩. А ведь возрастание
канальной нагрузки √ это вторичный эффект.
На самом же деле DDoS-атака √ это много-много компьютеров
[совершенно невинных людей], которые шлют пакеты с вымышленными
опознавательными знаками (с произвольно сгенерированными, ненастоящими
адресами отправителя TCP-пакета и с указанием destination - места
назначения). Фильтровать на бордер-роутерах все адреса только по
destination √ значит отключиться от Интернета.
С точки зрения провайдера весь Интернет выглядит, как дерево.
Провайдер находится у его корней, дальше √ идет ствол или несколько
стволов (это √ его upstream-провайдеры). А атака идет с листочков
этого дерева. И если просто начать ╚пилить╩ на уровне ствола, то
дерева не останется! Задача же при борьбе с атаками √ перекрыть
явление на уровне маленьких веточек, на которых эти атакующие
╚листочки╩ находятся. Тогда будут блокированы только те компьютеры,
которые атакуют, а ╚добропорядочные╩ компьютеры будут иметь связность
с нашей сетью. Поэтому исключительно грубо понимать эту проблему
только как нехватку каналов.
Проблема DDoS-атак √ это не проблема количества каналов. Интернет √
это миллионы компьютеров, поэтому при желании можно развить любую
мощность атаки, с которой не справится ни один канал. И для того,
чтобы с этим бороться, нужны договоренности с провайдерами, которые
эту сеть строят. Причем на мировом уровне.
Проблеме ведь уже много лет. И до сих пор ее решения ╚в лоб╩ не
нашли. Еще в 1995-м году Кевин Митник попал в тюрьму за атаку с
подделкой обратных адресов в пакетах. Возможность подделывать
служебную информацию в интернет-пакетах следствие несовершенcтва
самого интернет-протокола IPv4, который не предоставляет никаких
средств защиты от подобных атак, а тем более от распределенных атак с
подделкой служебной информации.
Российский Интернет стал большим √ уже есть ╚толстые╩ каналы,
проблема докатилась и до нас. Бороться с такими атаками тем труднее,
чем длиннее цепочка от ╚опорных╩ американских провайдеров (таких, как
UUNet ) до провайдера, которого атакуют. Ведь чтобы устранить явление,
нужно пройти обратно по всей цепочке. Чтобы эффективно бороться с
атаками, нужно сотрудничество, которое позволит ╚включиться╩ в борьбу
сообществу провайдеров, включая ╚опорных╩. Тогда с 30%-ой вероятностью
атакующие компьютеры будут находиться в сети того же ╚опорного╩
провайдера. И там уж √ ╚рука-владыка╩ быстро найдет и накроет
атакующих.
Николай Федотов, руководитель группы защиты информации ╚РТКомм.Ру╩
Такие атаки идут на всех. А поскольку они происходят постоянно, то
для кого-то это - очень хороший способ свалить на ╚злобных хакеров╩
свои собственные недостатки. Я не говорю, что так было у ╚Зенона╩, но
повод хороший. Какой-то сбой произошел, накрылась база данных,
временно стал недоступен сервис. - У каждого системного администратора
есть выбор: сказать ╚да, это я недоглядел - ошибся╩ или ╚а вот, кто-то
неизвестный нас атаковал и вызвал простой системы╩. И то, и другое
объяснение будет формально правильным, потому что и атаки есть всегда,
и недоработки есть всегда. Что является истинной причиной √ сказать
сложно.
Почти любая так называемая DDoS-атака может вызвать перебои в
работе, недоступность сервисов, а то и более тяжелые последствия. А
может и не вызвать, если от этого должным образом защититься.
В последнее время DDoS-атаки по формальным критериям ничем не
отличаются от легальных запросов. Например, стоит веб-сервер. С него
имеет право запрашивать информацию любой пользователь. Каждый запрос
немножечко нагружает процессор сервера, базу данных и канал передачи.
Для любого сетевого сервиса есть порог, на который он рассчитан. При
превышении √ либо канал связи забьется, либо процессорная мощность
будет исчерпана, либо другой ресурс кончится. Никто не мешает
злоумышленнику вместо запланированных 1000 запросов ввести 10 000. И
вот вам DDoS-атака. Хотя формально √ это самые обычные запросы √
картинки и веб-странички. Иногда сложно сказать, была ли это
умышленная DDoS-атака или кто-то неправильно распланировал возможную
нагрузку на свои сервисы. Ведь каналы √ они денег стоят.
Приведу пример. Несколько раз нам приходили жалобы типа: ╚Нам с
вашего адреса на наш адрес вылился гигабайт трафика, и это ввело нас в
расходы на очень большую сумму, 1000 y.e. Это √ атака. Требуем принять
меры╩. Мы начинаем разбираться. Смотрим, что по этому адресу
веб-сервер, на котором лежат музыкальные файлы размером мегабайтиков
по 5-10. И каждый может их скачать. И никакой аномальной активности не
наблюдалось. Просто какой-то пользователь сил своего провайдера не
рассчитал и запустил закачку сразу сотни таких mp3-шек параллельно. А
провайдер не зашейпил свой трафик и попал на деньги. Кто виноват? -
Трудно сказать. Нельзя однозначно сказать, что это была атака.
╚РТКомм.Ру╩ √ это коммерческая организация. На первом месте для нас
стоит соблюдение законодательства, а на втором месте √ извлечение
прибыли. А уже на каком-то n-ом -наказание злодеев по справедливости.
Поэтому любая организация, для которой получение прибыли важнее
справедливости, использует пассивные методы защиты. Начался, скажем,
флад (flood), мы его засекли. Что [для нас] значит флад? Это значит,
что наш клиент страдает √ у него сервер отказать может. Мы страдаем,
потому что нам за лишний трафик платить. Другой наш клиент страдает,
от которого трафик идет. Ему тоже платить за него надо. Чувствуем, что
теряем деньги. Что нужно делать? Выявить откуда идет нежелательный
трафик, понять, по каким критериям его можно детектировать, и
поставить фильтр. Поставили фильтр √ все, деньги перестали терять. А
найти злоумышленника √ это очень сложно, и от этого прибыли никакой
нет. Вот придут правоохранительные органы, будут искать, попросят нас
помочь √ с удовольствием. А по своей инициативе┘ Зачем?
А ╚Зенон╩ понять можно. Они не хотят, чтобы это повторилось. А,
может быть, они точно знают, кто это был, но доказать не могут.
Наверное, это та ситуация. Возможно, они посчитали, что нужно одного
хакера примерно наказать. Меньше будет желающих устраивать такую
пакость. Соответственно, меньше убытков будет.
К вопросу о названной ╚Зеноном╩ сумме на профилактику приведу еще
один пример. У нас есть один клиент. Он покупает канал пропускной
способностью 2Мбит/с, как для среднего коммерческого офиса. А у них
большая организация √ больше сотни пользователей. Но они не могут
позволить себе канал больше. На них идет DDoS-атака, забивает весь
канал √ работать невозможно. Отфильтровать - тоже невозможно, потому
что нет критерия. Фильтруешь то, что им мешает, зафильтруешь и
полезный трафик. Что в таком случае делать? Надо расширять канал. А
это стоит больших денег, потому что нужно ╚последнюю милю╩ тянуть в
пределах Москвы. А прокладка кабеля √ это сотня согласовательных
инстанций, это √ сам кабель и большая плата за подключение, за трафик.
Тут 100 000 долларов может еще и не хватить. Нет у них таких денег.
Сидят и мирятся с периодическими DDoS-атаками.
DDoS-атака √ это атака на перегрузку. Перегружаться могут канальные
емкости, процессоры серверов, оперативная память, ресурсы баз данных.
Какой из этих ресурсов быстрее исчерпается, тот и будет критическим.
Чтобы держать нормальную DDos-атаку, нужно наращивать все эти
параметры или ставить какие-то более совершенные фильтры, межсетевые
экраны.
Источник: http://webinform.ru/
