DDoS: дешевые атаки и дорогостоящая защита

Во время боевых действий в Южной Осетии в ряде СМИ появились сообщения о том, что война ведется и в информационном пространстве. В частности, говорилось о том, что сайт президента Грузии Михаила Саакашвили российские хакеры (в основном из Москвы и Санкт-Петербурга) подвергают DDoS-атакам с 500 IP-адресов одновременно. После блокировки одних IP-адресов атаки возобновлялись с других. В течение нескольких дней хакерским атакам якобы подвергались также сайты МИД Грузии, агентства “РИА Новости” и Комитета по информации и печати Южной Осетии.

Приводились и более конкретные факты: например, что защитой сайта президента Грузии занялась американская компания Tulip Systems. Причем это произошло сразу после того, как ее президент Нино Дожашвили предложила администрации Саакашвили свои услуги. Напомним, что при DDoS-атаке (Distributed Denial of Service, распределенный отказ в обслуживании) множество компьютеров посылают к атакуемому серверу запросы, в результате чего сайт работает очень медленно, а то и просто полностью отключается. Честно говоря, трудно поверить, что сайты президента Грузии, МИД Грузии, агентства “РИА Новости”, Комитета по информации и печати Южной Осетии и других серьезных структур проектировались без соблюдения определенных норм информационной безопасности. Да и вообще, имели ли во время вышеупомянутого конфликта место хакерские атаки на популярные интернет-ресурсы?

“500 IP-адресов — это очень маленький ботнет для DDoS-атак, — убежден ведущий инженер отдела систем и методов защиты информации компании “Микротест” Павел Первин. — Посещение сайта одновременно пятьюстами пользователями является нормой, скажем, для большинства российских новостных порталов. Говорить о кибервойне или преднамеренных DDoS-атаках можно, если на сайт одновременно заходят минимум 10 тыс. пользователей в секунду. Кроме того, типичный ботнет — это зараженные компьютеры по всему миру с центром управления в одной точке. Поэтому можно предположить, что на самом деле сайт президента Грузии не подвергался атакам злоумышленников, а просто обыкновенные пользователи из Москвы и Санкт-Петербурга проявляли к этому порталу повышенный интерес. В данном случае снижение времени отклика сайта и замедление его работы скорее всего были связаны с отказом оборудования. Заявление же американской компании Tulip Systems о проведении борьбы с атакующими сайт президента Грузии “российскими хакерами” является не чем иным, как саморекламой. Сам же факт публикации новости, по всей видимости, был связан с информационным противостоянием между противоборствующими сторонами”.

А вот мнение старшего вирусного аналитика “Лаборатории Касперского” Виталия Камлюка, большого знатока истории ботнетов: cредства защиты от DDoS-атак существуют, но это, как правило, дорогостоящее оборудование, которое не всякий Web-сайт может себе позволить. Почему правительственные сайты Грузии не защищены таким оборудованием, следует спросить у администраторов этих сайтов. Если они всё же защищены (что кажется мне очевидным), тогда возникает вопрос: зачем кому-то нужно не просто тихо решить проблему с DDoS-атаками, а еще и кричать на всех углах что “нас атакуют”?

Насчет средств защиты от DDoS-атак, нередко происходящих и в относительно мирное время, есть разные точки зрения. “Надежная защита от DDoS-атак есть, но она не является программным продуктом или устройством, — говорит руководитель центра компетенции Trend Micro Михаил Кондрашин. — Тут важнее при разработке сайта, для которого доступность является критичным параметром, учесть возможность DDoS-атак. Подавляющее большинство таких атак носят довольно “тупой” характер. Все атакующие компьютеры запрашивают на атакуемом ресурсе один и тот же документ или вообще просто отправляют сетевой пакет ping. При такой модели угрозы не очень сложно разработать сайт, у которого не будет единой точки отказа. При этом, разумеется, в момент атаки придется предпринять некие контрмеры. Сайт, устойчивый к DDoS-атакам, не является неуязвимым к ним, а только допускает оперативную доработку для отражения конкретной атаки. Например, если все компьютеры, участвующие в DDoS-атаке, загружают определенную страницу, то архитектура сайта должна позволять ее переименовать так, чтобы легитимные посетители ничего не заметили”.

С Михаилом Кондрашиным практически соглашается Павел Первин. Он отмечает: “Что касается мер противодействия преднамеренным DDos-атакам, то они сегодня известны любому квалифицированному специалисту в области информационной безопасности. Для борьбы с DDoS-атаками на рынке представлен широкий выбор надежных и эффективных решений”.

Однако не всё так просто. Выкладыванием определенной суммы и обращением к надежному поставщику проблема на 100%, похоже, не решается. “DDoS-атаки получили большое распространение благодаря так называемым ботнетам — логическим сетям внутри Интернета (как правило), состоящим из зараженных вирусами (многие современные вирусы имеют в себе функцию удаленного контроля над ПК) компьютеров, — поясняет руководитель отдела сетевых проектов компании “Доктор Веб” Евгений Кузин. — Часто такие сети имеют сложную структуру, с узлами-координаторами и узлами, выполняющими функции прокси. Хакеры, контролирующие сеть, могут за несколько минут привести ее в боевую готовность и заставить тысячи компьютеров по всему миру рассылать спам, вирусы или же атаковать сайты в Интернете. При этом обычный пользователь может продолжать работать на своем компьютере, не подозревая о том, чем занимается его ПК. Из-за множества и разрозненности участников ботнетов противодействие DDoS-атакам весьма затруднено. Блокировка адресов может быть неэффективной из-за чрезвычайно большого их количества. Как правило, проводятся анализ атаки и блокировка (или кэширование ответов) конкретного типа запросов либо адресов, на которые они направлены”.

“Да, DDoS-атаки являются одной из главных проблем современной ИТ-безопасности, — подчеркивает технический специалист “Symantec в России и СНГ” Кирилл Керценбаум. — Бороться с ними можно, но это дорого и сложно, а их организация настолько проста и эффективна, что мало кто из провайдеров или тем более хостинг-провайдеров может себе позволить внедрение дорогостоящих аппаратных или программных средств для борьбы с данным явлением. Для организации DDoS-атак используются распределенные мощности сетей зараженных бот-вирусами компьютеров. В число таких сетей входит печально известная Russian Business Network (RBN), с нее, по некоторым данным, и производилась атака. Так как бот-сети опираются на миллионы зараженных компьютеров, чьи пользователи даже и не подозревают о той побочной деятельности, что происходит на их ПК, а географически они распределены по всему миру, то можно себе представить, насколько тяжела в реализации может быть система защиты от подобного вида атак. Самый главный вопрос: готовы ли владельцы интернет-ресурсов платить за такую защиту? Ясно, что не все могут себе это позволить”.

О высокой цене решения вопроса говорит и руководитель направления систем информационной безопасности компании “Ай-Теко” Максим Гусляев: “В настоящее время для защиты от DDoS-атак обычно используются решения Cisco Systems, Arbor Networks, Narus и CloudShield Technologies. Все эти фирмы выпускают устройства, которые могут быть отнесены к одному из двух классов: устройства обнаружения аномалий и устройства очистки трафика. Причем существуют примеры успешного сочетания продуктов разных производителей в рамках одного проекта. Так, в качестве устройства обнаружения аномалий может выступать продукт компании Arbor Networks или Narus, а устройством очистки трафика может служить решение Cisco Guard. Но предлагаемое этими компаниями оборудование является довольно дорогостоящим, поэтому не каждый оператор может позволить себе весьма значительные дополнительные инвестиции в инфраструктуру, не имея оценки по их окупаемости”. Максим Гусляев cчитает, что задачу обеспечения информационной безопасности применительно к операторам связи можно рассматривать в трех плоскостях: ·

• обеспечение информационной безопасности собственной корпоративной инфраструктуры и активов; ·
• защита сетевых элементов и систем управления операторской сети; ·
• обеспечение информационной безопасности при предоставлении услуг абонентам.

Он также отмечает, что если раньше абоненты склонялись в сторону того или иного поставщика услуг связи исходя из сравнения тарифов, то теперь их выбор всё чаще обусловлен тем, насколько предоставляемый провайдером пакет услуг соответствует их нуждам. Поэтому сегодня речь идет о том, что недостаточно просто предоставить абоненту доступ к телекоммуникационной среде. Информационная безопасность является ключевым фактором для операторов связи в процессе перехода на новое поколение сервисов и решений. Очевидно, что поставщики услуг, обеспечивающие безопасность своих сервисов, получают существенное конкурентное преимущество