Лаборатория Касперского: Полная защита от DDoS-атак невозможна

17.02.2012, 09:45
Лаборатория Касперского: Полная защита от DDoS-атак невозможна - Фото
Сергей Голованов, ведущий антивирусный эксперт Лаборатории Касперского: DDoS-атаки популярны потому, что используют архитектурную ошибку, заложенную в проектировании всего интернета

Антивирусный эксперт Сергей Голованов в интервью ЛІГАБізнесІнформ рассказал о стоимости DDoS-атак и цене защиты от них

- За последний год сразу несколько известных веб-ресурсов пострадали от DDoS-атак, в их числе - ЖЖ, Rutracker.org. В феврале, после блокировки домена EX.UAбыли атакованы правительственные сайты в Украине. Специалисты вашей компании анализировали эту активность?

- У Лаборатории Касперского есть знания о тех вредоносных программах, которые участвуют в DDoS-атаках, а также есть разработки, которые позволяют отслеживать атаки некоторых ботнетов, например, Optima, который участвовал в апрельской атаке на ЖЖ.

Шумиха вокруг каких-то определенных атак, на мой взгляд, сезонная

Но в целом, шумиха вокруг каких-то определенных атак, на мой взгляд, сезонная. DDoS-атаки идут постоянно, и мы в этих конкретных случаях ничего принципиально нового не видим. Количество таких атак может варьироваться от нескольких сотен до тысячи в месяц.

- И все же, по итогам атак на ЖЖ Лаборатория Касперского опубликовала свой анализ. Возможно, подобные исследования готовятся по упомянутым ресурсам?

- Специально - нет.

- Последний общий отчет по  DDoS  был опубликован за II квартал 2011 года. Возможно, есть какие-то данные за год: пиковые мощности, география атак, основные цели?

- В декабре прошлого года мы подводили предварительные итоги года, а в конце февраля планируем выпустить обзор DDoS атак за второе полугодие 2011. 

Чаще всего ддосят интернет-магазины, игровые сайты, банки, СМИ

Основные цели атак не поменялись, это чаще всего сайты интернет-магазинов, игровые порталы, банки, популярные СМИ и прочие. Среди сайтов-жертв попадаются также сайты телеканалов, городских администраций, а также правительственные сайты.

По данным декабрьского отчета, обострились также конкурентные "войны", например, атаки на сайты турфирм в горячие сезоны. Средняя продолжительность атаки в Рунете составляла около 9 часов. 

- В отчетах компании есть выводы о том, что снова набирает вес "любительская составляющая", например, протестные атаки, несмотря на то, что такого рода атаки часто просто покупаются за деньги. Вы не могли бы немного рассказать о распределении: атаки за идею и за деньги? Возможно, у вас есть данные по расценкам?

- Профессиональными атаками занимаются злоумышленники, которые уже давно в этом бизнесе, знают, что именно востребовано и как это реализовать при минимальных денежных тратах. Расценки начинаются от нескольких десятков до нескольких сотен долларов в сутки, в зависимости от цели атаки. Средняя стоимость - где-то около 20 тыс.руб. (около 5,4 тыс.грн. - ред.)

Расценки на атаку начинаются с нескольких десятков долларов в сутки

Как проводится профессиональная атака? Допустим, есть компания, которая ведет бизнес онлайн, у нее есть сайт. Злоумышленники около недели потратят на то, чтобы проанализировать этот сайт, найти в нем слабые места, например, какие-то ресурсоемкие операции. В качестве примера можно привести показ капчи (CAPTCHA - популярный способ верификации пользователя на онлайн-ресурсе, при котором нужно ввести в поле неразборчиво поданные символы, чтобы подтвердить, что пользователь является человеком, - ред.), который загружает процессор. Соответственно, достаточно пяти запросов в секунду на ее показ, чтобы сервер стал недоступен. Как правило, для таких атак используются ботсети.

Справка: Ботнеты или ботсети - это сети компьютеров, зараженных вредоносными программами ботами, которые обеспечивают киберпреступнику полный удаленный контроль, в том числе возможность осуществлять массированные DDoS-атаки, рассылки спама и другие злонамеренные действия. Легальный владелец незащищенного компьютера часто не знает, что его машина стала частью ботнета, так как боты действуют в скрытом режиме.

- А как проводятся любительские атаки?

- Это как раз те атаки, которые лучше всего подходят под определение DDoS, то есть распределенные атаки. Здесь ситуация немного сложнее. У любителей нет либо достаточных знаний, либо желания проводить глубокий анализ сайта, поэтому они используют атаки на каналы, замусоривают их пакетами. Самый простой способ - просто заходить на одну и ту же страницу и жать F5.

Если любители смогут договориться и устроить массовое посещение, сервер точно не выдержит

Если любители как-то смогут скоординироваться и устроить такое массовое посещение, сервер точно не выдержит. В этом случае очень трудно определить: это была любительская атака или просто пик посещаемости на сайте. Отфильтровать одних от других сложно, тем более, что боты уже умеют достаточно хорошо имитировать работу браузера.

- Есть ли какой-то способ выловить заказчиков профессиональной атаки? Ведь в Украине, как и в России, за злонамеренное вмешательство в работу компьютерных систем предусмотрена уголовная ответственность...

- Есть отработанный механизм. Правда, о заказчиках с его помощью узнать нельзя, но можно найти исполнителей - технических специалистов, которые анализировали сайт, раздавали команды зараженным компьютерам и так далее. Если есть заявление в полицию от владельца ресурса, что злоумышленники вывели из строя его сервис, технические специалисты МВД попросят у потерпевшего данные об атаке.

Это могут быть данные о сетевом трафике, логи сервера, фактически - вещдоки. Таким образом отслеживают, какие зараженные компьютеры принимали участие в атаке, их географию, и каким провайдером они пользовались. После этого выходят на связь с провайдером, чтобы получить данные о расположении зараженного компьютера, связываются с его владельцем и просят предоставить компьютер как вещественное доказательство. Если владелец соглашается, компьютер могут изъять, но чаще исследование проводят прямо на месте, в его присутствии. Проверяют, с какими сайтами связывался компьютер в момент атаки, откуда вредоносная программа получала команду. После того, как выявляется IP-адрес этого сервера, процедура с провайдером и анализом активности сервера повторяется. Таким образом, выходят практически на владельца ботнета, выясняют адрес подозреваемого.

- Насколько часто такие сценарии отрабатывают до конца?

- Свидетелем такого дела я был несколько раз, точная статистика по Управлению К есть в Министерстве внутренних дел РФ (Управление К при МВД России специализируется на борьбе с преступлениями в сфере информационных технологий, - ред.). Насколько я помню, уголовных дел, связанных с вредоносами, за год набирается около сотни. По DDoS-атакам подсчитать сложнее, поскольку они квалифицируются по-разному. 

- В Украине в этом году должны состоятся парламентские выборы. Как показывает практика, перед такого масштаба событиями сайты кандидатов и партий могут взламывать, ддосить и так далее. Как от этого уберечься, и сколько стоит такая защита?

- В общем случае, защититься от этого никак нельзя. DDoS-атаки потому и популярны, что они используют архитектурную ошибку, заложенную в проектировании всего интернета, и от нее никак не избавиться. Чтобы DDoS-атаки ушли в прошлое, нужно строить новую сеть.

DDoS-атаки потому и популярны, что используют архитектурную ошибку в проектировании всего интернета 

- Кстати, переход на новую систему доменных имен IPv6 не даст каких-то возможностей усиленной защиты от таких атак?

- Говоря о возможностях усиленной защиты, стоит отметить протокол DNSSec (защищенная система доменных имен, в Украине в тестовом режиме запущена 7 февраля компанией Хостмастер - ред.). DNSSec позволяет гарантировать достоверность связи доменного имени и IP-адреса для того, чтобы злоумышленники не смогли подменить эту связь и перенаправить пользователей на фальшивые сайты. Суть DNSSec заключается в цифровой подписи ответов DNS-сервера, благодаря которой пользователь может быть уверен в достоверности ответа и его содержимого. При этом DNS-сервер однозначно идентифицирует пользователя, который запрашивает тот или иной ресурс.

Идея использования DNSSec против DDoS атак, заключатся в том, что если какой-то сайт/ресурс находятся под DDoS атакой, то DNS-сервер может однозначно идентифицировать пользователей, которые в ней учувствуют. Далее эта информация может быть использована для перенаправления всех запросов от этих пользователей не на настоящий ресурс, а, как вариант, на самих себя. К сожалению, проверить такой сценарий работы пока не представляется возможным из-за отсутствия на текущий момент полного масштабного использования DNSSec. 

- Есть ли "вилка" цен на защиту от атак?

- В России многие компании (например, HighLoadLabs, - ред.) предлагают программно-аппаратный комплекс, способный отфильтровать мусорные запросы от легитимных. Стоимость таких услуг зависит от того, с какой атакой имеют дело. Если это небольшой ботнет, тысяч на десять, цена будет стартовать от $100 за заключение контракта. Конечная стоимость будет зависеть от того, сколько времени система будет работать. 

- 10-титысячный ботнет считается маленьким?

- Да, относительно. Существуют 10-миллионные сети. Если говорить о системах, способных удерживать более масштабные DDoS-атаки, счета могут идти на миллионы долларов. Например, в архитектуре систем для соцсетей изначально заложена логика работы с огромным количеством запросов, фактически, им атаки нестрашны. То есть, их, конечно, тоже атакуют, но они переживают это намного проще и легче, чем, к примеру, интернет-магазины. Системы, способные выдержать атаку с сотен тысяч компьютеров, будут стоить от $100 тыс.

Если подытожить, защититься от DDoS-атак можно проактивно и реактивно. Проактивно - если, к примеру, у вас есть очень популярный ресурс, и вы точно знаете, что вас будут ддосить. Тогда из расчета на это выстраивается архитектура сети, но это стоит очень дорого. И можно реагировать реактивно, то есть, по факту. Как только проходит DDoS, срочно связываться с компанией-поставщиком защитных решений. Чем быстрее придет заявка в компанию, тем быстрее там смогут разобраться и очистить канал от ненужных запросов.

Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.
Вакансии
Больше вакансий
New business manager / New business director
Киев Ketchup Loyalty Eastern Europe
Керівник складу IT
Киев ЛІГА, Група компаній
Системний адміністратор (DevOps)
Киев ЛІГА, Група компаній
Разместить вакансию

Комментарии

Последние новости

Партнерский проект"Большой взрыв" ПриватБанка. Полный гайд по вселенной судов вокруг национализации