Пресса о нас
23.10.2003

Цена DDoS-атаки

В середине октября компания «Зенон Н.С.П.» объявила о том, что 10 и 14 числа этого месяца на ее сеть были организованы DDoS-аттаки. На вопросы о том, проводились ли эти атаки на самом деле и каковы методы предотвращения подобных инцидентов отвечают директор «Зенона» по развитию бизнеса Андрей Кондаков и руководитель группы защиты информации «РТКомм.ру», Николай Федотов.

15 октября интернет-провайдер «Зенон Н.С.П.» сообщил о том, что 10 и 14 октября на сеть Zenon/Internet были организованы распределенные атаки типа "отказ в обслуживании" (Distributed Denial of Service Attack, DDoS). Запросы поступали со скоростью порядка 500 тысяч в секунду и формировались в тысячах точек как со стороны внешних, так и со стороны внутрироссийских каналов. По сообщению «Зенона», нагрузка на оборудование сети Zenon/Internet во время второй атаки превысила среднестатистические показатели в сотни раз, а нагрузка на каналы возросла на 250%. Атакующие использовали так называемые SYN-пакеты, предназначенные в обычных условиях для организации установки соединения между компьютерами через Интернет. По информации «Зенона», «отправка большого количества SYN-пакетов на атакуемый узел приводит к чрезмерной нагрузке на его ресурсы, а поддельные адреса отправителя пакетов не позволяют определить злоумышленника и использовать стандартные способы блокировки». «Веб-информ» обратился к представителям компании «Зенон Н.С.П.» и «РТКомм.ру» за комментариями.

Полный текст материала находится на www.webinform.ru

Николай Федотов, руководитель группы защиты информации «РТКомм.ру»

Такие атаки идут на всех. А поскольку они происходят постоянно, то для кого-то это - очень хороший способ свалить на «злобных хакеров» свои собственные недостатки. Я не говорю, что так было у «Зенона», но повод хороший. Какой-то сбой произошел, накрылась база данных, временно стал недоступен сервис. - У каждого системного администратора есть выбор: сказать «да, это я недоглядел - ошибся» или «а вот, кто-то неизвестный нас атаковал и вызвал простой системы». И то, и другое объяснение будет формально правильным, потому что и атаки есть всегда, и недоработки есть всегда. Что является истинной причиной сказать сложно.

Почти любая так называемая DDoS-атака может вызвать перебои в работе, недоступность сервисов, а то и более тяжелые последствия. А может и не вызвать, если от этого должным образом защититься.

В последнее время DDoS-атаки по формальным критериям ничем отличаются от легальных запросов. Например, стоит веб-сервер. С него имеет право запрашивать информацию любой пользователь. Каждый запрос немножечко нагружает процессор сервера, базу данных и канал передачи. Для любого сетевого сервиса есть порог, на который он рассчитан. При превышении либо канал связи забьется, либо процессорная мощность будет исчерпана, либо другой ресурс кончится. Никто не мешает злоумышленнику вместо запланированных 1000 запросов ввести 10 000. И вот вам DDoS-атака. Хотя формально это самые обычные запросы картинки и веб-странички. Иногда сложно сказать, была ли это умышленная DDoS-атака или кто-то неправильно распланировал возможную нагрузку на свои сервисы. Ведь каналы они денег стоят.

Приведу пример. Несколько раз нам приходили жалобы типа: «Нам с вашего адреса на наш адрес вылился гигабайт трафика, и это ввело нас в расходы на очень большую сумму, 1000 y.e. Это атака. Требуем принять меры». Мы начинаем разбираться. Смотрим, что по этому адресу веб-сервер, на котором лежат музыкальные файлы размером мегабайтиков по 5-10. И каждый может их скачать. И никакой аномальной активности не наблюдалось. Просто какой-то пользователь сил провайдера не рассчитал и запустил закачку сразу сотни таких mp3-шек параллельно. А провайдер не зашейпил свой трафик и попал на деньги. Кто виноват? - Трудно сказать. Нельзя однозначно сказать, что это была атака. Это был флуд.

«РТКомм.ру» это коммерческая организация. На первом месте для нас стоит соблюдение законодательства, а на втором месте извлечение прибыли. А уже на каком-то n-ом -наказание злодеев по справедливости. Поэтому любая организация, для которой получение прибыли важнее справедливости, использует пассивные методы защиты. Начался, скажем, флуд, мы его засекли. Что [для нас] значит флуд? Это значит, что наш клиент страдает у него сервер отказать может. Мы страдаем, потому что нам за лишний трафик платить. Другой наш другой клиент страдает, от которого трафик идет. Ему тоже платить за него надо. Чувствуем, что теряем деньги. Что нужно делать? Выявить откуда идет [трафик], понять, по каким критерием его можно детектировать, и поставить фильтр. Поставили фильтр все, деньги перестали терять. А найти [злоумышленника] это очень сложно, и от этого прибыли никакой нет. Вот придут правоохранительные органы, будут искать, попросят нас помочь с удовольствием. А по своей инициативе Зачем?

А «Зенон» понять можно. Они не хотят, чтобы это повторилось. А, может быть, они точно знают, кто это был, но доказать не могут. Наверное, это та ситуация. Возможно, они посчитали, что нужно одного [хакера] примерно наказать. Меньше будет желающих устраивать такую пакость. Соответственно, меньше убытков будет.

К вопросу о названной «Зеноном» сумме на профилактику приведу еще один пример. У нас есть один клиент. Он покупает канал пропускной способностью 2МГбит/сек, как для среднего коммерческого офиса. А у них большая организация больше сотни пользователей. Но они не могут позволить себе [канал] больше. На них идет DDoS-атака, забивает весь канал работать невозможно. Отфильтровать - тоже невозможно, потому что нет критерия. Фильтруешь то, что им мешает, зафильтруешь и полезный трафик. Что в таком случае делать? Надо расширять канал. А это стоит больших денег, потому что нужно «последнюю милю» тянуть в пределах Москвы. А прокладка кабеля это сотня согласовательных инстанций, это сам кабель и большая плата за подключение, за трафик. Тут 100 000 долларов может еще и не хватить. Нет у них таких денег. Сидят и мирятся с периодическими DDoS-атаками.

DDoS-атака это атака на перегрузку. Перегружаться могут канальные емкости, процессоры серверов, оперативная память, ресурсы баз данных. Какой из этих ресурсов быстрее исчерпается, тот и будет критическим. Чтобы держать нормальную DDos-атаку, нужно наращивать все эти параметры или ставить какие-то более совершенные фильтры, сетевые экраны.

Возврат к списку