Количество DDoS-атак растет

Количество DDoS-атак растет

Урал в стороне не остался. За два года DDoS-атаки испытали на себе, например, банк "Северная казна" (пользователям оказались недоступны сервисы интернет-банкинга), информагентство Justmedia, портал для провайдеров "Наг.ру", компания "Уралсвязьинформ", портал e1.ru. А недавно хакеры атаковали сайт Свердловского областного суда. В начале года уфимским правоохранительным органам удалось даже поймать группу местных DDoSеров (что случается крайне редко), от рук которых пострадало порядка 30 электронных ресурсов десяти крупных российских компаний. В 2009 году популярность киберпреступности только вырастет.

Гадость или деньги

Эксперты выделяют три основные цели, которые преследуют хакеры при организации DDoS-атаки. Первая — вымогательство: преступники, заблокировавшие работу сервера, через некоторое время выходят на связь и требуют за прекращение атаки денег (так, например, поступили уфимские хакеры). Однако в последнее время эта практика себя изживает. Ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк: "Нажива — цель распространенная, однако не самая привлекательная со стороны киберпреступников, так как в этом случае они вынуждены выходить на прямой контакт с жертвой, а это может привести к раскрытию информации об атакующем. Более популярный вариант — DDoS по заказу конкурентов, где обе коммуницирующие стороны не имеют интереса в раскрытии друг друга". Таким образом, мы вышли на вторую цель DDoS-атак — грубо говоря, "нагадить" оппоненту.

Злоумышленники не ставят перед собой задачи получения денег, главное — парализовать работу противника. Например, в выводе из строя интернет-банкинга той же "Северной казны" некоторые ИТ-специалисты увидели заказ со стороны федеральных банков, недовольных сильным региональным конкурентом. По этой же причине пострадали несколько интернет-магазинов. "Коммерсант", по некоторым данным, был атакован по заказу движения "Наши", о котором нелестно отозвался на своих страницах. В прошлом году с целью добить идейного врага российские DDoSеры атаковали целые страны: Эстония осталась без интернета в период сноса бронзового солдата, огромная часть грузинских сайтов была заблокирована во время абхазского конфликта.

Третья цель — овладение атакуемой системой. Это происходит, если во внештатной ситуации программное обеспечение жертвы выдает какую-либо критическую информацию, например, часть кода.

Распознать трафик

Затраты, которые несут на организацию атаки DDoSеры, и потери их жертв несопоставимы. По данным Виталия Камлюка, средняя стоимость одной атаки составляет от 100 до 1000 долларов в сутки в зависимости от ее мощности. Как правило, организаторы готовы предоставить заказчику возможность ознакомления с DDoS-сервисом в тестовом режиме (5 — 10 минут) бесплатно. Шантажисты за остановку атаки просят гораздо больше — до 10 тыс. долларов. Когда дело касается крупных иностранных компаний, сумма доходит до десятков и сотен тысяч долларов.

Если компании не соглашаются с требованиями хакеров и сами пытаются отбиться, их потери также весьма велики. Например, доступ на сайт "Коммерсанта" был затруднен неделю. Даже если предположить, что атака стоила максимально дорого (в чем есть большие сомнения), — это 7 тыс. долларов. Ущерб, причиненный издательскому дому из-за невозможности показывать рекламу и необходимости покупать дополнительное оборудование, гендиректор "Коммерсанта" Демьян Кудрявцев оценил в сотни тысяч долларов. "Программу, способную создавать простые ботнеты и нарушать работу большинства корпоративных сайтов, можно без проблем приобрести в интернете за 700 долларов, — рассказывает директор компании Netangels Антон Халиков, — а полноценная защита от DDоS-атак, включающая компоненты обнаружения и противодействия, стоит от 100 тыс. долларов". Виталий Камлюк добавляет: "В рунете существует ряд проектов, занимающихся антиDDoSом. Стоимость абонентского обслуживания у таких компаний порой достигает 15 тыс. долларов в месяц, а защита от активной атаки — 45 тыс. долларов в сутки на Гбитном канале. Правда, есть варианты и дешевле: стоимость абонентской платы 100 тыс. рублей (без оплаты трафика клиента), отражение активной атаки — 50 тыс. рублей в сутки на 100 Мбитном канале".

Зачем тратиться на дорогостоящее оборудование и обслуживание? Причина проста: вычислить организаторов атак и их заказчиков — задача крайне сложная. Соответственно, единственная возможность избежать DDoSа — внедрение аппаратных и программных способов защиты.

Скажем сразу: обезопасить себя на 100% невозможно. Заведующий лабораторией сетевой безопасности учебного центра "Информзащита" Владимир Лепихин: "Почему нет такого решения? Во-первых, в этом виновата природа DDoS. Теоретически любая атака становится возможной по причине уязвимости. А уязвимостью в данном случае является сам факт существования системы. Во-вторых, проблема DDoS-атак имеет глобальный характер, и эффективно решить ее можно только общими усилиями, что очень непросто. И это раз и навсегда опровергает миф о существовании автоматизированных решений противодействия DDoS-атакам. Они по определению неполноценны и поверхностны".

Если суммировать мнения экспертов, можно выделить две группы эффективных защитных механизмов. Первая объединяет превентивные меры. Например, резервирование мощностей — серверов и каналов связи: главное, вовремя перенаправить трафик клиентов. Еще одна мера — профилактика эпидемий. Некоторые эксперты уверены, что при распространении Kido срабатывали сигнатуры пятилетней давности, которые сложно было не заметить. Однако момент был упущен, гигантский ботнет создан, и теперь весь мир борется с DDoS-атаками. ;

Вторая группа защитных механизмов построена на детектировании угроз. Идея очень проста: вовремя заметить атаку и принять соответствующие меры — от изменения параметров отдельно взятого сервера до манипуляций с трафиком (перенаправление, блокировка, отслеживание источника атаки). На этом принципе построены практически все автоматизированные средства защиты от DDoS-атак. Самое сложное здесь — выработка критериев фильтрации трафика: вместе с потоком, содержащим признаки атаки, можно заблокировать и "легитимный". Кроме того, этот механизм защиты не спасет в случае крупномасштабного нападения. Потребуется принимать меры на уровне провайдера или провайдеров — возможно, по всему миру.

Таким образом, победить в DDoS-сражении можно, только используя комплекс мер, прикладывая к их реализации усилия не одной обороняющейся компании, а целого ряда структур, особенно интернет-провайдеров. Именно они могут обеспечить более надежную защиту от DDoS-атак: их каналы связи имеют гораздо большую пропускную способность, чем у клиента, а значит, можно заблокировать трафик до того, как он "забьет" последнего.

Источник: expert.ru
www.expert.ru