Антивирусный эксперт Сергей Голованов в интервью ЛІГАБізнесІнформ рассказал о стоимости DDoS-атак и цене защиты от них
- За последний год сразу несколько известных веб-ресурсов пострадали от DDoS-атак, в их числе - ЖЖ, Rutracker.org. В феврале, после блокировки домена EX.UA, были атакованы правительственные сайты в Украине. Специалисты вашей компании анализировали эту активность?
- У Лаборатории Касперского есть знания о тех вредоносных программах, которые участвуют в DDoS-атаках, а также есть разработки, которые позволяют отслеживать атаки некоторых ботнетов, например, Optima, который участвовал в апрельской атаке на ЖЖ.
Шумиха вокруг каких-то определенных атак, на мой взгляд, сезонная
Но в целом, шумиха вокруг каких-то определенных атак, на мой взгляд, сезонная. DDoS-атаки идут постоянно, и мы в этих конкретных случаях ничего принципиально нового не видим. Количество таких атак может варьироваться от нескольких сотен до тысячи в месяц.
- И все же, по итогам атак на ЖЖ Лаборатория Касперского опубликовала свой анализ. Возможно, подобные исследования готовятся по упомянутым ресурсам?
- Специально - нет.
- Последний общий отчет по DDoS был опубликован за II квартал 2011 года. Возможно, есть какие-то данные за год: пиковые мощности, география атак, основные цели?
- В декабре прошлого года мы подводили предварительные итоги года, а в конце февраля планируем выпустить обзор DDoS атак за второе полугодие 2011.
Чаще всего ддосят интернет-магазины, игровые сайты, банки, СМИ
Основные цели атак не поменялись, это чаще всего сайты интернет-магазинов, игровые порталы, банки, популярные СМИ и прочие. Среди сайтов-жертв попадаются также сайты телеканалов, городских администраций, а также правительственные сайты.
По данным декабрьского отчета, обострились также конкурентные "войны", например, атаки на сайты турфирм в горячие сезоны. Средняя продолжительность атаки в Рунете составляла около 9 часов.
- В отчетах компании есть выводы о том, что снова набирает вес "любительская составляющая", например, протестные атаки, несмотря на то, что такого рода атаки часто просто покупаются за деньги. Вы не могли бы немного рассказать о распределении: атаки за идею и за деньги? Возможно, у вас есть данные по расценкам?
- Профессиональными атаками занимаются злоумышленники, которые уже давно в этом бизнесе, знают, что именно востребовано и как это реализовать при минимальных денежных тратах. Расценки начинаются от нескольких десятков до нескольких сотен долларов в сутки, в зависимости от цели атаки. Средняя стоимость - где-то около 20 тыс.руб. (около 5,4 тыс.грн. - ред.)
Расценки на атаку начинаются с нескольких десятков долларов в сутки
Как проводится профессиональная атака? Допустим, есть компания, которая ведет бизнес онлайн, у нее есть сайт. Злоумышленники около недели потратят на то, чтобы проанализировать этот сайт, найти в нем слабые места, например, какие-то ресурсоемкие операции. В качестве примера можно привести показ капчи (CAPTCHA - популярный способ верификации пользователя на онлайн-ресурсе, при котором нужно ввести в поле неразборчиво поданные символы, чтобы подтвердить, что пользователь является человеком, - ред.), который загружает процессор. Соответственно, достаточно пяти запросов в секунду на ее показ, чтобы сервер стал недоступен. Как правило, для таких атак используются ботсети.
Справка: Ботнеты или ботсети - это сети компьютеров, зараженных вредоносными программами ботами, которые обеспечивают киберпреступнику полный удаленный контроль, в том числе возможность осуществлять массированные DDoS-атаки, рассылки спама и другие злонамеренные действия. Легальный владелец незащищенного компьютера часто не знает, что его машина стала частью ботнета, так как боты действуют в скрытом режиме.
- А как проводятся любительские атаки?
- Это как раз те атаки, которые лучше всего подходят под определение DDoS, то есть распределенные атаки. Здесь ситуация немного сложнее. У любителей нет либо достаточных знаний, либо желания проводить глубокий анализ сайта, поэтому они используют атаки на каналы, замусоривают их пакетами. Самый простой способ - просто заходить на одну и ту же страницу и жать F5.
Если любители смогут договориться и устроить массовое посещение, сервер точно не выдержит
Если любители как-то смогут скоординироваться и устроить такое массовое посещение, сервер точно не выдержит. В этом случае очень трудно определить: это была любительская атака или просто пик посещаемости на сайте. Отфильтровать одних от других сложно, тем более, что боты уже умеют достаточно хорошо имитировать работу браузера.
- Есть ли какой-то способ выловить заказчиков профессиональной атаки? Ведь в Украине, как и в России, за злонамеренное вмешательство в работу компьютерных систем предусмотрена уголовная ответственность...
- Есть отработанный механизм. Правда, о заказчиках с его помощью узнать нельзя, но можно найти исполнителей - технических специалистов, которые анализировали сайт, раздавали команды зараженным компьютерам и так далее. Если есть заявление в полицию от владельца ресурса, что злоумышленники вывели из строя его сервис, технические специалисты МВД попросят у потерпевшего данные об атаке.
Это могут быть данные о сетевом трафике, логи сервера, фактически - вещдоки. Таким образом отслеживают, какие зараженные компьютеры принимали участие в атаке, их географию, и каким провайдером они пользовались. После этого выходят на связь с провайдером, чтобы получить данные о расположении зараженного компьютера, связываются с его владельцем и просят предоставить компьютер как вещественное доказательство. Если владелец соглашается, компьютер могут изъять, но чаще исследование проводят прямо на месте, в его присутствии. Проверяют, с какими сайтами связывался компьютер в момент атаки, откуда вредоносная программа получала команду. После того, как выявляется IP-адрес этого сервера, процедура с провайдером и анализом активности сервера повторяется. Таким образом, выходят практически на владельца ботнета, выясняют адрес подозреваемого.
- Насколько часто такие сценарии отрабатывают до конца?
- Свидетелем такого дела я был несколько раз, точная статистика по Управлению К есть в Министерстве внутренних дел РФ (Управление К при МВД России специализируется на борьбе с преступлениями в сфере информационных технологий, - ред.). Насколько я помню, уголовных дел, связанных с вредоносами, за год набирается около сотни. По DDoS-атакам подсчитать сложнее, поскольку они квалифицируются по-разному.
- В Украине в этом году должны состоятся парламентские выборы. Как показывает практика, перед такого масштаба событиями сайты кандидатов и партий могут взламывать, ддосить и так далее. Как от этого уберечься, и сколько стоит такая защита?
- В общем случае, защититься от этого никак нельзя. DDoS-атаки потому и популярны, что они используют архитектурную ошибку, заложенную в проектировании всего интернета, и от нее никак не избавиться. Чтобы DDoS-атаки ушли в прошлое, нужно строить новую сеть.
DDoS-атаки потому и популярны, что используют архитектурную ошибку в проектировании всего интернета
- Кстати, переход на новую систему доменных имен IPv6 не даст каких-то возможностей усиленной защиты от таких атак?
- Говоря о возможностях усиленной защиты, стоит отметить протокол DNSSec (защищенная система доменных имен, в Украине в тестовом режиме запущена 7 февраля компанией Хостмастер - ред.). DNSSec позволяет гарантировать достоверность связи доменного имени и IP-адреса для того, чтобы злоумышленники не смогли подменить эту связь и перенаправить пользователей на фальшивые сайты. Суть DNSSec заключается в цифровой подписи ответов DNS-сервера, благодаря которой пользователь может быть уверен в достоверности ответа и его содержимого. При этом DNS-сервер однозначно идентифицирует пользователя, который запрашивает тот или иной ресурс.
Идея использования DNSSec против DDoS атак, заключатся в том, что если какой-то сайт/ресурс находятся под DDoS атакой, то DNS-сервер может однозначно идентифицировать пользователей, которые в ней учувствуют. Далее эта информация может быть использована для перенаправления всех запросов от этих пользователей не на настоящий ресурс, а, как вариант, на самих себя. К сожалению, проверить такой сценарий работы пока не представляется возможным из-за отсутствия на текущий момент полного масштабного использования DNSSec.
- Есть ли "вилка" цен на защиту от атак?
- В России многие компании (например, HighLoadLabs, - ред.) предлагают программно-аппаратный комплекс, способный отфильтровать мусорные запросы от легитимных. Стоимость таких услуг зависит от того, с какой атакой имеют дело. Если это небольшой ботнет, тысяч на десять, цена будет стартовать от $100 за заключение контракта. Конечная стоимость будет зависеть от того, сколько времени система будет работать.
- 10-титысячный ботнет считается маленьким?
- Да, относительно. Существуют 10-миллионные сети. Если говорить о системах, способных удерживать более масштабные DDoS-атаки, счета могут идти на миллионы долларов. Например, в архитектуре систем для соцсетей изначально заложена логика работы с огромным количеством запросов, фактически, им атаки нестрашны. То есть, их, конечно, тоже атакуют, но они переживают это намного проще и легче, чем, к примеру, интернет-магазины. Системы, способные выдержать атаку с сотен тысяч компьютеров, будут стоить от $100 тыс.
Если подытожить, защититься от DDoS-атак можно проактивно и реактивно. Проактивно - если, к примеру, у вас есть очень популярный ресурс, и вы точно знаете, что вас будут ддосить. Тогда из расчета на это выстраивается архитектура сети, но это стоит очень дорого. И можно реагировать реактивно, то есть, по факту. Как только проходит DDoS, срочно связываться с компанией-поставщиком защитных решений. Чем быстрее придет заявка в компанию, тем быстрее там смогут разобраться и очистить канал от ненужных запросов.