Не все DDoS-защиты одинаково полезны

В преддверии выборов и в день голосования появились сообщения об атаках на сайты СМИ и политических партий. Речь идет о «DDoS-атаках», целью которых является нарушение функционирования сайтов через генерацию большого числа паразитных подключений и, как следствие, исчерпание ресурсов оборудования и каналов связи.

Газета «БРЯНСК.RU» становилась объектом подобных атак неоднократно. Последний раз сервер газеты был атакован за две недели до выборов. И хотя в день голосования нас не тронули, актуальность темы сомнению не подлежит: кибервойны превратились в инструмент политической борьбы, говорится в посвященном хакерским атакам накануне выборов докладе Межрегиональной ассоциации правозащитных организаций АГОРА.

По данным ассоциации, в день выборов в Государственную Думу нападению подверглись 25 интернет-ресурсов, включая крупнейший в России сервис блогов «Живой Журнал» и сразу несколько сайтов независимых СМИ ─ «Коммерсанта», «Большого города», радиостанции «Эхо Москвы», The New Times и Slon.ru. К вечеру воскресенья большинство сайтов возобновили работу, однако сайт «Коммерсанта» оставался недоступен. Ранее DDoS-атакам подвергались сайты «Новой газеты», «Ведомостей» и ФИНАМ FM.

В этой связи возникает несколько вопросов: кто? зачем? как бороться?

На вопросы об исполнителях и заказчиках должны отвечать правоохранительные органы. Цели и задачи таких атак, кажется, лежат на поверхности. Поэтому сейчас мы остановимся на теме противодействия. В этом нам поможет давший интервью корреспонденту БРЯНСК.RU Константин Ефимович Тимашков - руководитель компании, специализирующейся на защите от DDoS-атак, абонентская служба которой расположена в Брянске.

БРЯНСК.RU: Константин, расскажите, чем вы занимаетесь?

Константин: Руковожу и развиваю фирму, которая занимается фильтрацией DDoS-атак. Именно фильтрацией, потому что мы не ведем какие-то войны и не занимаемся отражением атак. Фильтрация паразитного трафика – это наше обычное дело. Мне само слово «отражение» не нравится. Более подробно можно познакомиться на нашем сайте: ddos-protection.ru.

БРЯНСК.RU: Какая разница между фильтрацией и отражением DDoS-атак?

Константин: Это очень важно. Понятие «отражения атак» подразумевает какую-то борьбу и противостояние. Многие думают, что там какие-то хакеры, большая команда, не спят 24 часа в сутки и в буквальном смысле слова руками атакуют сайт жертвы. На самом деле тут и слово «хакер» употреблять неуместно, они могут ничего не понимать в компьютерных технологиях, то есть их работа сводится к покупке соответствующего ПО и выполнению действий, описанных в инструкции для «чайников». Тут очень важно правильно сформулировать, но я буду употреблять слово «хакер», потому что у нас уже устоявшиеся неправильные ассоциации, и так будет понятней. Почему у нас нет «отражателей спама»? У нас есть «борцы со спамом» и «системы фильтрации спама», а «отражателей спама» нет. Борцы со спамом работают против явления как такового, то есть перед ними стоит более глобальная задача, чем у нас.

БРЯНСК.RU: Как действуют злоумышленники?

Константин: В реальной жизни «хакеры» вводят команды в панели управления сетью зараженных компьютеров, запускают специализированные утилиты, а также программу для мониторинга доступности сайта жертвы. В идеальном для них варианте дальше все происходит автоматически – весь комплекс атакует сайт жертвы. Если мониторинг сообщил, что сайт жертвы стал доступен, хакеры предпринимают дополнительные действия, изменяют или усложняют атаку.

БРЯНСК.RU: Что вы предпринимаете в этом случае?

Константин: В этом случае мы ничего не предпринимаем, потому что это за пределами нашей сети. И как только атакуемый сайт подключается к нашей сети, наша система детектирует наличие атаки, фильтрует её, оповещает инженеров, и, если возникает какая-то реальная угроза нормальному функционированию сайта клиента, то мы принимаем дополнительные меры для фильтрации атаки. Обычно все работает в штатном, автоматическом режиме.

БРЯНСК.RU: Как часто бывают перебои в работе клиентских сайтов?

Константин: Серьезных перебоев, связанных с DDoS атаками, давно уже у нас не бывает. Возможен короткий простой, но автоматика в течение нескольких минут переводит сайт в режим «под атакой». Система сама переключает режимы, и ей не надо обучаться атаке, она готова бороться с любой теоретической угрозой. Популярные сайты обычно оповещают свою аудиторию о наличии DDoS-атаки, и, когда она закончилась, пользователи, испытывающие проблемы доступа к сети из-за каких-то перебоев в работе их провайдера, думают, что это защита их заблокировала. В связи с тем, что у пользователей сложился негатив в отношении разных систем защиты, мы стараемся лишний раз не вмешиваться.

БРЯНСК.RU: Вы хотите сказать, что вашей системе не требуется обучение и она готова к атаке в любой момент?

Константин: Обучение систем защиты основано на отличии паразитных запросов от «белых» запросов пользователей. Процесс обучения заключается в генерации базы сигнатур на такие паразитные запросы и фильтрации по ним. Если хакеры атакуют запросами, ничем не отличающимися от запросов пользователей, обучать систему защиты бесполезно. Хакеры будут постоянно менять тактику, при этом могут быть отфильтрованы запросы пользователей, то есть у сайта в любом случае будут проблемы.

БРЯНСК.RU: Если системы, использующие обучение, неэффективны, почему они успешно используются?

Константин: При атаках отечественных хакеров в большинстве случаев паразитные запросы отличаются от запросов пользователей, и их можно фильтровать по сигнатуре или по какому-то явному статичному признаку. Например, хакеры забывают поставить двоеточие в запросе, опускают пробелы, пропускают поля, свойственные браузерам. Можно устраивать конкурс на самую тупую атаку. Запросы, не отличающиеся от запросов пользователя в России, редкость, поэтому системы с обучением здесь кое-как работают. То же самое и с фильтрацией по частотности запросов. Если пользователи очень активны на сайте, они попадают под фильтр. Такая ситуация вполне может устраивать владельцев ресурсов какое-то время, а по факту - цель злоумышленников достигнута.

БРЯНСК.RU: А как работает ваша система защиты?

Константин: Нашей системе тоже доступно обучение. Например, если тысячи пользователей находятся за одним IP-адресом, то, чтобы не блокировать их общий IP из-за атаки с компьютера одного пользователя, при наличии какой-то явной сигнатуры мы фильтруем по ней паразитные запросы. Мы постоянно генерируем базу сигнатур, но применяем её редко. Кстати, обычно под обучением подразумевают ручную доводку фильтров или переключение их в какие-то другие режимы. Наша система уникальна, она может работать как по классической схеме с сигнатурами, так и по нашей технологии. По мере того как серверу клиента становится плохо, она подбирает оптимальный режим фильтрации.

БРЯНСК.RU: С вашей системой все более или менее понятно, но давайте обсудим события 4 декабря. Насколько опасными и мощными были атаки на пострадавшие сайты?

Константин: Хочу отметить, а у меня есть право на это мнение, это тот факт, что основная масса атакованных сайтов оказалась под протекцией одной фирмы. Если предположить, что до этого момента по всем сайтам работали разные злоумышленники, то в итоге все они начали работать по одной площадке. Цифры, которые озвучили представители этой площадки, а так же технические подробности, говорят о том, что ничего серьезного не было.

БРЯНСК.RU: В чем тогда причины недоступности пострадавших сайтов при использовании защиты?

Константин: Я могу высказать только свое субъективное мнение, которое разделяют и другие специалисты. Подробности атаки, описанные редакцией Slon.ru, вызвали возмущение в технической среде. 4 декабря можно назвать «днем феерической некомпетентности». Этот термин предложил один из участников форума провайдеров. Вот сами посудите, на Slon.ru озвучивают следующее: «Атака велась с помощью ботнета, состоящего из примерно 250 000 зараженных компьютеров». Представитель защищавшей сайт компании Александр Лямин сообщил, что «скорость входящего трафика достигала 250 мегабит на пике». Давайте возьмем в руки калькулятор и посчитаем. У каждого компьютера сейчас минимум 128 килобит подключения. Эта цифра, конечно, условная и минимальная. Если даже всего 50 тысяч компьютеров были на скорости 128 килобит: 50000 x 128 / 1000 / 1000 = 6,4 гигабита. Я думаю, что об объемах атаки кто-то, мягко говоря, «наврал». С такого количества зараженных компьютеров цифры должны быть в разы больше, чем в вышеприведенной формуле. Просто площадка не рассчитана на такое количество одновременных атак и набрала критическую массу рисковых абонентов и, как следствие, не справилась с задачей.

БРЯНСК.RU: Кто такие рисковые абоненты?

Константин: Это устоявшийся термин в бизнесе по фильтрации DDoS-атак. Когда-то, когда порт брендового оборудования для фильтрации атаки был размером всего 1 гигабит, абоненту давалась гарантия фильтрации атаки размером 1 гигабит. А что делать, если атакуют одновременно пять абонентов? Сейчас цифры и емкости другие, но вопрос поднимается повсеместно. Сама сеть, в которой стоят рисковые клиенты, даже по вышестоящим провайдерам фигурирует как рисковая.

БРЯНСК.RU: Как вы считаете, как получилось, что все атакуемые оказались загнанными в один угол?

Константин: Мне кажется, они все были готовы к атакам и заранее выбрали одну фирму.

БРЯНСК.RU: Выбрали одну фирму специально?

Константин: Это простая логика. На рынке защиты от DDoS среди СМИ нами уже сформирована положительную практика. Клиентов много, технические специалисты нас знают, знают, что, независимо от угрозы, мы всегда предоставляем сутки бесплатной фильтрации...

БРЯНСК.RU: Что же тогда периодически происходит с "Живым Журналом"? Насколько нам известно, он не воспользовался услугами той же компании.

Константин: ЖЖ выбрал prolexic.com - это одна из самых дорогих фирм на этом рынке. Не могу назвать ее безусловно надежной, особенно когда речь идет о российской аудитории, но это самый дорогой поставщик услуг. ЖЖ - очень сложный для защиты ресурс, и они на данный момент экспериментируют с поставщиками защиты, но, видимо, текущая ситуация с доступностью сайта их пока устраивает.

БРЯНСК.RU: Prolexic.com заявляет о суммарных ресурсах в 375 гигабит. При этом вы не можете назвать их защиту безусловно надежной. Почему?

Константин: Повторюсь, я не могу назвать их защиту безусловно надежной именно для российской аудитории. По договору они гарантируют какие-то цифры доступности для определенного ряда сетей, российских сетей в этом списке нет.

БРЯНСК.RU: В мае этого года мы писали о том, как ваша компания обращалась в полицию с заявлением и данными о сотнях тысяч зараженных компьютеров, участвующих в DDoS-атаках. Чем закончилась эта история?

Константин: Эта история и подобные обращения в правоохранительные структуры – замкнутый круг. Полиция могла бы возбудить уголовное дело и в рамках этого дела проводить нужные проверки. Ведь провайдеры без запроса не отдают данные пользователей, а запросы невозможно направить без основания. С текстом официального ответа вы можете ознакомиться сами: страница 1 и страница 2. Наверное, когда они это увидели и представили объем работы, то это выглядело как DDoS. По каждому факту надо же проверку проводить, а там больше сотни тысяч... Мы пытались структурировать информацию для уменьшения объема работы в тысячу раз, но понимания не нашли.

БРЯНСК.RU: В завершении, расскажите о самой мощной DDoS-атаке на вашей памяти.

Константин: С измерением мощности больших атак настоящая проблема, оборудование занято фильтрацией и на подсчет спорных цифр ресурсов уже не остается. Атаки больше 10 Гигабит уже стали обыденными. К примеру, совсем недавно была synflood-атака мощностью шесть миллионов пакетов в секунду, а это достаточно серьезные цифры.

БРЯНСК.RU

---

Два тунеядца напали на пенсионера в подъезде его домаВ Брянской области катастрофически не хватает рабочих рукАвтоинспекторы просят брянцев жаловаться на плохие дорогиНе забудем! Не простим!Главой Стародубского района избран Владимир КовалевНа ярмарках выходного дня брянцы расхватали картофельБрянская красавица и ее жених предстали перед судомБрянские любители роскошных авто заплатят 17 миллионов рублейНа выборах губернатора Брянской области победил БогомазВ Советском районе Брянска запланирован ремонт дворовСражаться за губернаторское кресло продолжат три кандидатаРоскомнадзор начал охоту на мат в СМИДенину предъявлено обвинение в злоупотреблении полномочиями