Большинство современных компаний имеет весьма развитые веб-представительства, причем многие из них обеспечивают значительную часть их доходов. Вывод из строя таких ресурсов (особенно тех, которые предоставляют пользователям сервис круглосуточно, без технических перерывов) может стоить их владельцам вполне существенных денег и потери репутации, что неизбежно приведёт к оттоку клиентов. Именно поэтому атаки типа “отказ в обслуживании” (DDoS — Distributed Denial of Service) являются сегодня одной из значимых опасностей, подстерегающих предприятия, ведущие свой бизнес с использованием современных информационных технологий. Между тем в российском сегменте сети Интернет появились не только предложения по организации такого рода атак, но и факты шантажа возможностью их проведения.
История вопроса
Первые сообщения о DDoS-атаках относятся к 1996 г. Но всерьез об этой проблеме заговорили в конце 1999-го, когда были выведены из строя веб-серверы таких известных корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и др. Спустя год, в декабре 2000-го, “рождественский сюрприз” повторился: были атакованы серверы крупнейших компаний, причем сетевые администраторы не смогли им противостоять. С тех пор сообщения о DDoS-атаке на тот или иной веб-ресурс уже не являются чем-то уникальным. В начале 2007-го на несколько дней был отключен сайт “Компромат.ру”, а затем в течение года были атакованы сайты радиостанции “Эхо Москвы”, газеты “Коммерсант” и ряд других ресурсов. В июне была предпринята масштабная DDoS-атака на каналы связи внешних телекоммуникационных провайдеров компании “Объединенная система моментальных платежей” с целью блокировать сервис перевода денег на абонентские счета, что ведет к прямым финансовым потерям предприятия.
Ежегодно атаки DDoS стоят различным фирмам и госструктурам потери миллиардов долларов и таят в себе серьезную угрозу для любой компьютерной системы. По существу такое противоправное действие нарушает или полностью блокирует обслуживание рядовых пользователей, сетей, систем и т. д. Результатом являются длительные простои, потерянная прибыль, большие объемы работ по идентификации атаки и подготовка адекватных ответных мер.
По данным Computer Emergency Response Team (CERT) — международной организации в области безопасности Интернета, количество DDoS-атак резко возросло в последние три-четыре года, хотя сама технология известна уже довольно давно. Мотивация атакующих может быть самой разной: мелкая месть, чрезмерно рьяная конкуренция, вымогательство. Но независимо от конкретной причины цель атакующих одна: поставить систему-мишень “на колени”.
Типология атаки
Значительная часть DDoS-атак базируется на использовании уязвимостей в основном интернет-протоколе (TCP/IP), в частности на обработке системами запроса SYN (Synchronize sequence numbers — синхронизация номеров последовательности). Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить анонимность, применяют ложные исходные адреса для управления атакой и вполне реальные — для генерации паразитического трафика. Поскольку машин-зомби множество, это значительно затрудняет выявление реальных авторов атаки. Кроме того, многие средства организации DDoS легкодоступны и не требуют высокой квалификации для работы.
Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров, находящихся на разных концах света. В результате он тратит все ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. При этом владельцы компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами, поскольку она находится под контролем вирусов, которые действуют в скрытом режиме и превращают их в “зомби”, работающих по приказу злоумышленников. Особенно уязвимыми в этом плане являются локальные сети предприятий и учебных организаций, имеющие постоянное широкополосное подключение к Интернету, — к примеру, с подобными проблемами регулярно сталкиваются те или иные сегменты образовательных компьютерных сетей, располагающихся в образовательных учреждениях (школах, колледжах, вузах). Связано это с наличием в них скоростных каналов связи (полученных в ходе национального проекта “Образование”) и относительно слабой антивирусной защитой.
Проведение DDoS-атаки — серьезная операция по дестабилизации работы того или иного информационного ресурса, для чего злоумышленники используют как минимум трехуровневую архитектуру, которую называют кластером DDoS. Ее основа — управляющая консоль (их может быть несколько), т. е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки, распределяет свои ресурсы и анализирует статистику задействованных “бот-сетей”. Обычно это ноутбук, подключенный к Интернету с помощью мобильного телефона или спутникового канала связи: при выходе в Сеть с такой машины хакеры используют всевозможные уловки от работы через аномайзеры до маскировки реального IP, чтобы не быть обнаруженными. Второй уровень — так называемые “главные компьютеры”, те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-“зомби”. На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров. На третьем, низовом уровне находятся агенты —“зомбированные” компьютеры, своими запросами атакующие узел-мишень. В отличие от главных компьютеров и управляющих консолей их число постоянно меняется (владельцы компьютеров задействуют антивирусные средства, администраторы отключают зараженные сегменты от доступа к глобальной сети и т. д.), что заставляет злоумышленников распространять вирусы, чтобы получать всё новые бот-системы в постоянном режиме.
Уровни нападения
Отметим, что как такового “справочника” по типам DDoS-атак или их стройной классификации на сегодняшний момент не существует. Более того, различные производители оборудования по-разному называют одни и те же атаки, обладающие сходными или полностью идентичными характеристиками. По словам Алексея Мисюренко, технического директора телекоммуникацонной компании “Караван”, DDoS-атаки базисно можно разделить на три категории.
Во-первых, это атаки на каналы — действия, направленные на то, чтобы перегрузить паразитным трафиком канальные мощности операторов, предоставляющих сервисы абоненту, против которого осуществляется атака. “Яркий тому пример, — рассказал г-н Мисюренко, — использование служебного протокола ICMP [Internet Control Message Protocol, межсетевой протокол управляющих сообщений, входящий в стек протоколов TCP/IP], когда десятки тысяч компьютеров по всему миру начинают ping'овать жертву атаки (команда ping сообщает, ответил ли опрошенный узел и сколько времени прошло до получения ответа — Прим. ред.). Пусть каждый из тысячи участников атаки создает относительно небольшой поток ICMP в 64 кбит/с, что для современных подключений очень реально. Но это приведет к тому, что в сторону жертвы образуется целый вал запросов величиной в 64 Мбит/с паразитного трафика. Для крупного оператора и крупного клиента такая полоса ничего страшного не представляет, но как быть компании, которая купила подключение всего в 10 Мбит/с?”
Правда, в настоящий момент атаки такого типа претерпевают изменения. “Например, — пояснил г-н Мисюренко, — вместо ICMP злоумышленники используют UDP [User Datagram Protocol, протокол пользовательских датаграмм; сетевой протокол для передачи данных в сетях IP, являющийся одним из самых простых протоколов транспортного уровня модели OSI] и с его помощью отправляют данные на порт номер 80, через который действуют веб-службы. Но они-то работают с ним по TCP [Transmission Control Protocol, протокол управления передачей, один из основных сетевых интернет-протоколов, предназначенный для управления передачей данных в сетях и подсетях TCP/IP]. Как следствие “замыленный” глаз специалиста по информационной безопасности реагирует на такую угрозу с опозданием”. Кроме этого не каждый инженер, ответственный за сетевую безопасность, введет фильтрацию UDP на 80-й порт в сетевых экранах по умолчанию или настроит анализатор трафика на обнаружение подобных аномалий.
Другой яркий пример “социального” подхода — использование программы ping (служебная компьютерная программа, предназначенная для проверки соединений в сетях на основе TCP/IP), отправляющей ICMP-echoreply-сообщения. В таком случае производится попытка представить паразитный трафик как порожденный в ответ на команду ICMP-echorequest от жертвы атаки.
Во-вторых, атаки на сетевой стек. Такие вредоносные действия используют изъяны, заложенные в сам протокол TCP/IP. Яркий пример – SYN-атака, эксплуатирующая механизм установки TCP-соединения между узлами в IP-сети. Особенность данной атаки в том, что относительно узкой полосой паразитного трафика можно довести сервер сетевых служб до состояния, когда он перестанет справляться с надежными запросами самых обычных клиентов. Таких изъянов в основном протоколе для взаимодействия с помощью глобальной сети (TCP/IP) немало.
В-третьих, атаки на приложения, которые в конечном итоге направлены не на само приложение, а на обслуживающие его вычислительные ресурсы сервера, кластера или вычислительную систему. “Для описания такой атаки, — сказал г-н Мисюренко, — приведу следующий пример. Злоумышленник проанализировал сайт потенциальной жертвы и определил несколько HTTP-запросов, генерация отклика на которые по косвенным признакам довольно ресурсоемка. Затем он, используя сети зомбированных компьютеров, организует поток таких HTTP-запросов в сторону жертвы, превращая ее из потенциальной в реальную”. При этом, как показывает опыт опрошенных нами экспертов, атака на сетевой сервис сегодня представляет собой не просто атаку одного типа, но контролируемый процесс. В его ходе атакующая сторона пробует разные типы и комбинации атак, производя мониторинг их эффективности и корректировки, направленные на преодоление защитных механизмов.
Защита от обрушения
Многофункциональная система защиты от DDoS-атак на уровне провайдера разделяется на два основных направления — программные методы и защита с помощью специальных устройств. В настоящий момент, по мнению технического директора компании Masterhost Дмитрия Крикова, на российском рынке хостинга наиболее востребовано первое из них, поскольку на защиту от DDoS-атак нет массового или сколько-нибудь стабильного спроса со стороны клиентов. Таким образом, при текущей ее высокой стоимости и относительно невысокой универсальности большинству провайдеров экономически не выгодно делать вложения в специальную сетевую инфраструктуру.
“Программные методы в основном применяются для защиты пользователей виртуального хостинга, — комментирует ситуацию Дмитрий Криков. — Обычно ресурсы пользователей защищены многоуровневой масштабируемой и резервированной системой распределения нагрузки, выполняющей также функции фильтрации нелегитимных запросов. Такая система состоит из слоя распределения нагрузки и слоя обработки, поддерживается несколькими производительными серверами с равномерным распределением нагрузки и значительным резервированием вычислительных возможностей. При этом подобная система является “прослойкой” между серверами, на которых расположены клиентские ресурсы, и внешним миром (Интернетом). Важнейшие задачи, возложенные на систему, – обеспечение безопасности серверов и ресурсов, а также акселерация, позволяющая повысить эффективность функционирования серверов виртуального хостинга и увеличить скорость обработки запросов. Помимо этого ведущие игроки рынка могут организовывать фильтрацию трафика по некоторым критериям на уровне маршрутизаторов/коммутаторов (например, фильтрацию пакетов на третьем уровне 3: по адресам, протоколам, портам). Более сложные и специфичные задачи решаются уже для конкретных групп сервисов”.
Безусловно, для интернет-провайдера основная задача сегодня состоит в том, чтобы быстро обнаружить попытку атаки и сосредоточить “силы чрезвычайного реагирования” на её отражении. Желательно, чтобы у компании была возможность развернуть входные фильтры для блокировки “мусорного” трафика в тех точках, где он входит в её сеть. Пока это лучший способ подготовиться к массированной DDoS-атаке и при необходимости быстро ее остановить. В данном случае решение по содействию провайдера своему клиенту может состоять из трех основных направлений. Первое — когда провайдер сам защищает абонента. В данном случае ему понадобятся мощные каналы связи с Интернетом (желательно дублированные, чтобы можно было развести трафик “жертвы” и остальных абонентов), а также система обнаружения аномалий трафика, его контекстного анализа и очистки. Второе — сотрудничество со специализирующимися на очистке трафика сервис-провайдерами (чаще всего это европейские или американские компании — DDoSProtection, Prolexic Technologies и т. д., российских специалистов такого уровня пока нет), позволяющее экономить собственные ресурсы и привлекать консультантов по различным видам услуг. Наконец, третье направление — комбинированное, когда провайдер пользуется услугами компаний, специализирующихся на очистке трафика, но при этом задействует и свои ресурсы.
Большинство российских операторов в состоянии содействовать своим клиентам в отражении DDoS-атак, но это индивидуальные решения, до “коробочных” продуктов (стандартных, “заточенных” под различные типы компаний) еще далеко. По мнению наших экспертов, соответствующим оборудованием обладают такие операторы, как Masterhost, RTCOM, “ГарантПарк“, “МТУ-Информ”, “Караван” и РосНИИРОС/Руцентр.
Отметим, что аппаратно-програмные комплексы для отражения DDoS-атак выпускает целый ряд производителей, вся эта аппаратура реализует различный функционал и рассчитана на разные потоки трафика. Среди интересных моделей можно отметить Cisco Catalyst 6500/Cisco 7600 Router Anomaly Guard Module, Cisco Catalyst 6500/Cisco 7600 Router Traffic Anomaly Detector Module, Radware Defence Pro, TippingPoint Intrusion Prevention System и т. д.
Для самостоятельного администрирования оборудования компаниям-пользователям можно порекомендовать предусматривать механизмы защиты и распределения нагрузки, а также функции масштабирования сервиса на этапе проектирования системы, причем в этом случае можно сделать интегрированное решение, которое будет наиболее оптимальным. Кроме того, администраторам стоит помнить, что большинство операционных систем маршрутизаторов и компонентов сетей являются уязвимыми для DDoS-атак. Но хотя предотвратить такие атаки довольно сложно, ограничение доступа к важным учетным записям, ресурсам и файлам, а также меры защиты от неправомочных пользователей могут существенно затруднить их проведение.