Компьютерра PDA 29.05.2010-04.06.2010
Шрифт:
Паниковать, впрочем, не стоит. Много лет именитые специалисты по сетевой безопасности твердили, что вот ещё совсем чуть-чуть, и сетевые злоумышленники создадут какой-нибудь особо крупный ботнет и отправят весь интернет в тартарары. Они преувеличивали. "У современного интернета довольно хорошо обстоит дело с распределённостью, он почти не содержит ключевых "узловых" точек, атака на которые могла бы вывести из строя всю конструкцию,"- говорит технический директор Mail.Ru Владимир Габриелян.
"Сетевые атаки можно разделить по атакуемой цели, - говорит Владимир
– Во-первых, целью атаки может быть отказ в обслуживании сетевой инфраструктуры, и тогда внешний ресурс становится недоступным элементарно из-за неработающей сети. Во-вторых, целью атаки может быть просто увеличение нагрузки на сервера интернет-проекта до такой степени, что он просто перестанет обслуживать клиентов и отвечать на запросы, хотя с внешней стороны с сетью всё, вроде бы, в порядке."
По словам Михаила Вычижанина, проще всего противодействовать нераспределённым атакам, жёстко сегментированным и низкоуровневыми по пропускной способности. Их обычно устраивают начинающие злоумышленники - пресловутые script kiddies. Впрочем, "лёгкие" DDoS-атаки могут сигнализировать о тестирование какой-то части зараженного функционала более серьёзными противниками.
"Тяжелее всего бороться с географически и технологически распределенными атаками на разные типы протоколов, с изменением URI-части HTTP в определённые промежутки времени, DNS-запросами различных типов, максимально моделирующими и приближающими ботнет к поведению конечного пользователя-человека," - поясняет Вычижанин. Как правило, средний уровень атаки растёт вместе с ростом пропускной способности каналов, - как магистральных, так и локальных и пользовательских; несколько лет назад атака с входящим трафиком в 1 Гб/c считалась высокоуровневой, сегодня что-то подобное будет отнесено к атакам среднего уровня.
Защита от DDoS-атак производится разными способами, но, как правило, это фильтрация входящего трафика и блокировка сегментов Сети, из которых ведётся "бомбардировка", а также наращивание пропускной способности канала, чтобы входящий трафик не мог "смыть" целевой сервер.
Отдельная история - это "борьба" с DDoS-атаками у российских хостеров. Было время, когда фактически единственным инструментом борьбы с такими атаками было отключение доступа к сайту для иностранных пользователей. "Этот способ будет работать, ну, максимум, ещё год, пока российский ботнет не появится," - говорит гендиректор "Оверсан-Скалакси" Дмитрий Лоханский.
Помимо "отключения Запада", обычное дело - выставление счетов самим же пострадавшим от атак клиентам за перерасход трафика. "У нас есть знакомые, которым выставляли по 3 тысячи долларов за ночь по итогам атаки DDoS, - рассказывает Павел Варнавский, финансовый директор "Оверсан-Скалакси".
– Нет, есть, конечно, способы с этим бороться. Трафик у тебя бесплатный, если ты соблюдаешь соотношения 1:4 (4 доли российского и 1 доля западного трафика). DDoS обычно идет с Запада. То есть, когда он приходит, он кардинально нарушает соотношение, оттуда и цена."
Как рассказал Варнавский, защита их клиентов от DDoS-атак осуществляется с помощью программно-аппаратного комплекса с оборудованием Juniper, Cisco и F5 Networks, которое располагается перед своеобразным суперкомпьютером, и обрабатывает входящий трафик. Внутри стоит ещё одна система - уже их разработки - она дофильтровывает трафик, идущий к конечным клиентам.
Необходимость в собственной разработке связана с тем, что все крупные системы рассчитаны на канальных операторов, которые могут массированно отфильтровать тонны трафика. "А когда, допустим, если у клиента есть ресурсы лишь на обработку 100-200 Мбит, - говорит Варнавский, - и он подвергается немасштабной DDoS-атаке , то оборудование Cisco может просто не заметить этого клиента."
В этом, как утверждает Варнавский, принципиальное отличие от существующих в России услуг "защита от DDoS". При этом клиенты оказываются "закрыты" не только от DDoS, но и от внутрисетевых атак.
В целом, у "облачных" хостинг-провайдеров возможности по обеспечению надёжности хостинга выше, чем у большинства обычных в силу архитектурной специфики. Например, есть возможность заказывать полное резервирование, так что у любого ресурса всегда наготове "зеркало": если один сервер по какой-либо причине "упал", быстро поднимается его полная копия, и восстанавливается состояние "перед смертью".
По словам Вычижанина, самым эффективным способом борьбы с DDoS, является комплекс мер, состоящий из:
• Обучения системы по байесовскому методу (в основе которого лежит теорема Байеса из теории вероятностей), плюс к этому - накапливание максимального количества признаков вектора атаки, по которым будет настраиваться и осуществляться дальнейшая фильтрация.
• Использование централизованной базы данных атак канальных операторов, представленных в определённых линейках оборудования (Arbor).
• Использование готовых и, желательно, многоуровневых решений от вендоров, зарекомендовавших себя на этом рынке. (Arbor, Cisco Guard, Juniper IDP). Лучше всего работает связка нескольких решений в одно с технической поддержкой (особенно это эффективно в момент атаки).
• Фильтрации атаки по принципу - как можно ближе к атакующему ботнету. Используется BGP, black hole определённых сетей и маршрутов, наиболее близко расположенных к очагам атаки. Для реализации таких возможностей должны присутствовать определённые договоренности и пиринговые отношения с участниками-провайдерами.
• Разработка собственных алгоритмов анализа паразитного трафика и использование их в качестве дополнения к существующим механизмам. Прецеденты разработки подобных систем на этом рынке также существуют.
DDoS-атаки - это, по сути, "услуги интернет-киллера для всех желающих". Благо отбоя от желающих нет: вынос сайтов политических оппонентов и бизнес-конкурентов, подавление вещания неугодных интернет-СМИ (например, "Сотовик" только-только оклемался от атаки, начавшейся 14 мая), иногда просто хулиганство, когда какой-нибудь обиженный в комментариях дуралей начинает пакостить как умеет - это уже совершенно обычное дело.