Киллеры 21 века

В век технологий и развития интернет мы сталкиваемся с новыми видами преступлений. Одним из самых распространенным из них является “заказ” сайта – организация DDOS атаки на сайт за деньги. Это приводит к выводу из строя сервера на котором находится сайт и блокировке доступа к нему.

Заказать DDoS атаку сегодня может кто угодно – это просто и дёшево. Ботнеты – весьма ходовой товар у злоумышленников. Стоимость аренды ботнета в среднем составляет 9 долларов в час.

DDoS атаками называют попытки заблокировать доступ обычных пользователей к определённым сетевым ресурсам посредством перегрузки серверов, на которых эти ресурсы размещены, мусорным трафиком. Как правило под этим подразумевается отправка массированного потока бессмысленных запросов к серверу, который их не успевает обрабатывать, и в результате начинает функционировать с перебоями или отказывается работать вовсе. Распределённая DDOS атака (Distributed Denial of Service attack – DDoS) – её самая зловредная разновидность. Во время DDOS мусорный трафик исходит от очень большого количества источников. Если с простой DoS-атакой можно справиться, заблокировав адрес злоумышленника, то с DDoS всё сложнее – атакующих компьютеров слишком много.

Сейчас во Всемирной сети насчитываются миллионы заражённых компьютеров, входящие во множество мелких, среднемасштабных и крупных бот-сетей. Крупнейшими такими сетями на сегодняшний день являются сети ZeuS (3,6 миллиона ботов), Koobface (2,9 миллиона ботов) и Tidserv (1,5 миллиона ботов).

Принципы распространения ботнетов практически не претерпели изменений с прошлых лет, меняется только технологическая начинка. Механизмы fast flux, пулы сайтов, ориентированных на заражение компьютера пользователя, разнообразные http injections, уязвимости нулевого дня, обновления тел движков ботнета в клиент-серверном режиме – вся эта цепочка работает неизменно многие годы. Борьба между ботнетами тоже идёт вовсю.

Есть определённые особенности текущего времени: это растущая конкуренция на рынке, которая заставляет вирусы (и, как следствие, ботнеты) “воевать” за ресурсы машины; эта конкуренция неизбежно ведет к войне ботнетов между собой. В ближайшие годы мы будем наблюдать эту постоянно увеличивающуюся борьбу за ресурсы конечного пользователя. Разработчики ботнета руководствуются принципом: “Ботнет должен работать”. Это означает, что за ботнетом необходим присмотр – и инвестиции тоже: нужны деньги на программирование, обновление тел вредоносных программ, мониторинг ситуации с управляющими центрами и т.п. В общем, всё “по-взрослому”.

Паниковать, впрочем, не стоит. Много лет именитые специалисты по сетевой безопасности твердили, что вот ещё совсем чуть-чуть, и сетевые злоумышленники создадут какой-нибудь особо крупный ботнет и отправят весь интернет в тартарары. Они преувеличивали. У современного интернета довольно хорошо обстоит дело с распределённостью, он почти не содержит ключевых “узловых” точек, атака на которые могла бы вывести из строя всю конструкцию.

Цели DDOS – Атак

Сетевые атаки можно разделить по атакуемой цели:

Во-первых, целью атаки может быть отказ в обслуживании сетевой инфраструктуры, и тогда внешний ресурс становится недоступным элементарно из-за неработающей сети.

Во-вторых, целью атаки может быть просто увеличение нагрузки на сервера интернет-проекта до такой степени, что он просто перестанет обслуживать клиентов и отвечать на запросы, хотя с внешней стороны с сетью всё, вроде бы, в порядке.

Тяжелее всего бороться с географически и технологически распределенными атаками на разные типы протоколов, с изменением URI-части HTTP в определённые промежутки времени, DNS запросами различных типов, максимально моделирующими и приближающими ботнет к поведению конечного пользователя человека. Как правило, средний уровень атаки растёт вместе с ростом пропускной способности каналов, – как магистральных, так и локальных и пользовательских; несколько лет назад атака с входящим трафиком в 1 Гб/c считалась высоко-уровневой, сегодня что-то подобное будет отнесено к атакам среднего уровня.

Проще всего противодействовать не распределённым атакам, жёстко сегментированым и низкоуровневыми по пропускной способности. Их обычно устраивают начинающие злоумышленники – пресловутые script kiddies. Впрочем, “слабые” DDoS атаки могут сигнализировать о тестирование какой-то части зараженного функционала более серьёзными противниками.

Защита от DDoS атак

Защита от DDoS атак производится разными способами, но, как правило, это фильтрация входящего трафика и блокировка сегментов Сети, из которых ведётся “бомбардировка”, а также наращивание пропускной способности канала, чтобы входящий трафик не мог “смыть” целевой сервер.

Отдельная история – это “борьба” с DDoS атаками у российских хостеров. Было время, когда фактически единственным инструментом борьбы с такими атаками было отключение доступа к сайту для иностранных пользователей. Этот способ будет работать, ну, максимум, ещё год, пока российский ботнет не появится.

Помимо “отключения Запада”, обычное дело – выставление счетов самим же пострадавшим от атак клиентам за перерасход трафика. “У нас есть знакомые, которым выставляли по 3 тысячи долларов за ночь по итогам DDoS атаки, Нет, есть, конечно, способы с этим бороться. Трафик у тебя бесплатный, если ты соблюдаешь соотношения 1:4 (4 доли российского и 1 доля западного трафика). DDoS обычно идет с Запада. То есть, когда он приходит, он кардинально нарушает соотношение, оттуда и цена.

Очень часто качественная защита от DDoS атак осуществляется с помощью программно-аппаратного комплекса с оборудованием Juniper, Cisco, которое располагается перед своеобразным суперкомпьютером, и обрабатывает входящий трафик. Внутри стоит ещё одна система – уже их разработки – она дофильтровывает трафик, идущий к конечным клиентам.

Необходимость в собственной разработке связана с тем, что все крупные системы рассчитаны на канальных операторов, которые могут массированно отфильтровать тонны трафика. А когда, допустим, если у клиента есть ресурсы лишь на обработку 100-200 Мбит и он подвергается не масштабной DDoS атаке , то оборудование Cisco может просто не заметить этого клиента. В этом принципиальное отличие от существующих в России услуг “защита от DDoS”. При этом клиенты оказываются “закрыты” не только от DDoS, но и от внутри-сетевых атак.

В целом, у “облачных” хостинг-провайдеров возможности по обеспечению надёжности хостинга выше, чем у большинства обычных в силу архитектурной специфики. Например, есть возможность заказывать полное резервирование, так что у любого ресурса всегда наготове “зеркало”: если один сервер по какой-либо причине “упал”, быстро поднимается его полная копия, и восстанавливается состояние “перед смертью”.

Самым эффективным способом борьбы с DDoS, является комплекс мер, состоящий из:

  • Обучения системы по байесовскому методу (в основе которого лежит теорема Байеса из теории вероятностей), плюс к этому – накапливание максимального количества признаков вектора атаки, по которым будет настраиваться и осуществляться дальнейшая фильтрация.
  • Использование централизованной базы данных атак канальных операторов, представленных в определённых линейках оборудования (Arbor).
  • Использование готовых и, желательно, многоуровневых решений от вендоров, зарекомендовавших себя на этом рынке. (Arbor, Cisco Guard, Juniper IDP). Лучше всего работает связка нескольких решений в одно с технической поддержкой (особенно это эффективно в момент атаки).
  • Фильтрации атаки по принципу – как можно ближе к атакующему ботнету. Используется BGP, black hole определённых сетей и маршрутов, наиболее близко расположенных к очагам атаки. Для реализации таких возможностей должны присутствовать определённые договоренности и пиринговые отношения с участниками-провайдерами.
  • Разработка собственных алгоритмов анализа паразитного трафика и использование их в качестве дополнения к существующим механизмам. Прецеденты разработки подобных систем на этом рынке также существуют.

DDoS атаки – это, по сути, “услуги интернет-киллера для всех желающих”. Благо отбоя от желающих нет: вынос сайтов политических оппонентов и бизнес-конкурентов, подавление вещания неугодных интернет-СМИ, иногда просто хулиганство, когда какой-нибудь обиженный в комментариях дуралей начинает пакостить как умеет – это уже совершенно обычное дело.

Проблему нужно выносить на более серьёзный, даже государственный уровень, создавать государственные центры борьбы с подобными явлениями, решения на базе GPL и т.д. Необходимо уделять проблеме больше внимания, так как эта проблема стоит перед рунетом очень остро, а рынок до сих пор по инерции надеется “на авось” и покупает услуги защиты в крайнем случае, когда бизнес уже понёс существенные убытки.”

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
21 декабря 2015, 16:16

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *