15 декабря 2010 года на форуме Клерк.Ру прошла интернет-конференция «DDoS атаки в России как способ нечестной конкурентной борьбы». На все вопросы посетителей сайта ответил Александр Лямин - руководитель Лаборатории Высоких нагрузок (Highload Lab) и ведущий специалист ЦТТИ МГУ.
Анонимный пользователь: Раскажите, пожалуйста, чайнику, какие виды атак бывают - вкратце - по степени опасности? Почему именно DDOS?
Александр Лямин: Мы классифицируем DDoS-атаки исходя из того, на какой уровень
инфраструктуры они нацелены:
-- канальные емкости
-- сетевая инфраструктура
-- сетевой стэк приложения
-- приложение
Степень опасности определяется ответом на вопрос: достигла ли атака поставленной цели?
Наиболее разрушительны атаки на исчерпание канальной емкости, просто потому, что могут доставить неприятности не только конкретному веб-приложению, но и оператору связи. Впрочем они же и наиболее неэффективны: продолжать их можно весьма ограниченное время, боты, задействованные в атаке, скорее всего будут потеряны для ботнета (излечены).
Пользователь Юрий_хостинг: Подскажите пожалуйста, какие решения сейчас используются для защиты от атак вида SYN-flood с очень большим кол-вом пакетов в секунду? Большим, чем может переварить конечный выделенный сервер. Скажем 500к или 1500к PPS.
Александр Лямин: Спасибо за очень неожиданный для этой аудитории вопрос. Атака вида SYN-flood была впервые применена 15 лет назад, и при этом остается весьма и весьма эффективной техникой. Ваш вопрос - отличное тому доказательство.
На наш взгляд, механизм SYN-cookies, разработанный доктором Дэниелом Бернштеном в 1996 году, является весьма эффективным при условии, что вы сделаете весь механизм полностью параллельным и неблокируемым. Заявленых вами цифр вполне можно достичь на обычном современном сервере, если использовать наш набор патчей (доработки) для ядра OS Linux 2.6 (https://patchwork.kernel.org/patch/285762/)
Пользователь Маномим: Хотелось бы узнать, насколько опасен способ ддос атаки по сравнению с другими? Совершенствуется ли со временем качество ддос атак? Ведь в основе лежит довольно примитивный принцип.
Александр Лямин: Категорически не соглашусь со словом "примитивный". Если при построении приложения следовать нашим рекомендациям и здравому смыслу, то с высокой степенью вероятности это приложение даже не заметит "примитивной" атаки.
Если же речь идет об эффективной атаке, нацеленной на результат, то это требует весьма глубоких знаний в целом спектре различных областей: сетевых технологиях, безопасности систем семейства Windows, архитектуре веб-приложений и других сетевых сервисов.
Анонимный пользователь: Есть какие-либо признаки, по которым администратор может определить, что его сервер атакуют? Или это можно понять, когда уже атака в разгаре и сделать ничего уже невозможно?
Александр Лямин: До известной степени это будет очень обобщенным рецептом, но если вы вдруг видите, что идет быстрый рост посещаемости вашего ресурса, причем большая часть посетителей находится в Индии или Юго-Восточной Азии - это абсолютно точно DDoS.
Есть более интересные методы анализа данных, основанные на той же математике, на которой построен анализ сейсмо-данных с целью предсказания землетрясений. Но это очень серьезная математика, которую Яндекс не решился давать даже на профильной конференции для ИТ-специалистов. Нам подход Яндекса очень симпатичен, мы тоже пытаемся применять подобные методы для обнаружения атак.
Анонимный пользователь: Насколько активен хакер во время атаки - он постоянно предпринимает какие-то программные действия, общается с другими атакующими – в общем, занимается только атакой и ничем другим? И, тогда, надолго ли хватает хакера? На 8-12 часов? Или же это все делается параллельно с какой-то другой работой и особой активности не требует?
Александр Лямин: Качество исполнения атаки напрямую зависит от стоимости. Как правило, серьезные атаки исполняются группами, работающими круглосуточно. Перед атакой проводится аудит веб-приложения, вычисляются наиболее уязвимые места, строится определенная стратегия, причем с запасными вариантами на случай, если открывающий атаку прием перестает работать.
Впрочем, если сайт-жертва не оказывает сопротивления, это просто легкие деньги для хакеров. Буквально - "нажал кнопку, заработал 1000 долларов". Добавьте сюда крайне низкие риски быть пойманным, и вот вам хорошая причина того, почему это явление имеет настолько массовый характер.
Анонимный пользователь: Знакомы ли вы с тем, насколько практикуются подобные DDoS-атаки в зарубежных странах - в США и в Европе? Насколько существенны отличия от наших?
Александр Лямин: Да, это явление безусловно интернациональное. Но настолько массовое - только в России. Тут есть целый ряд факторов: проникновение интернета, хорошая школа (скорее по инерции), несовершенство законодательства, ужасное качество кода веб-приложений, бедность, безработница.
Есть еще один интересный факт, который нужно отметить - это "экспорт" исполнителей по СНГ. Обычная практика, когда российские заказчики DDoS-атаки идут к исполнителям на Украине, и vice versa. Почему? Очень просто - это разные страны, а Интерпол работает со скоростью черепахи, и эффективно сводит риски быть пойманными к нулю.
Анонимный пользователь: Как примерно структурируется или выглядит группа атакующих? Это независимые друг от друга программисты, корпоративщики или студенты? Есть какие-то типичные свойства?
Александр Лямин: Как правило, это четко организованная группа, где каждый выполняет свои функции: написание модулей заражения, распространение ботнета, написание и поддержание контрольного центра, написание атакующих модулей, продажи. Обычная преступная группировка, никакой романтики.
Анонимный пользователь: Скажите, каковы основные цели DDoS-атаки? Бывают это просто развлечения хакеров? И как часто это бывают просто развлечения?
Александр Лямин: Ботнет (сеть инфицированных компьютеров-зомби) - это весьма дорогостоящий и ценный ресурс и DDoS-атаки -только один из способов его монетизации. Какой смысл развлекаться не зарабатывая деньги, если можно зарабатывать деньги развлекаясь? Впрочем, страничка нашей компании находится под атакой 7 дней в неделю. Прямо сейчас мы регистрируем 1.6Gbps, но это не значит что это делается "для веселья". Просто они (злоумышленники) тестируют свои технологии.
Анонимный пользователь: Можно ли противостоять атаке своими силами, или же все-таки необходимо обратиться к специалистам?
Александр Лямин: Да, атакам начального уровня (до 5000 ботов) реально противостоять, имея в распоряжении выделенный сервер, гигабитный канал и грамотно выстроенное приложение с квотированием ресурсов. Как минимум, вы сможете заставить атакующих честно отрабатывать каждый полученный ими от заказчика рубль.
Пользователь бух2007: Я правильно понимаю, что DDoS- это некий флешмоб, при котором кучка юзеров договаривается в одно время с разных компов начать делать свое гаденькое дело? И какова должна быть их численность, чтоб нанести реальный вред?
Александр Лямин: Нет. DDoS это вовсе не веселый "флэш моб" в духе маргинальных интернет-тусовок SomethingAwful или нашего Udaff.ru. Как правило, это злономеренные действия лица или группы лиц с применением вредоносного программного обеспечения (вирусов). Обычный пользователь даже и не подозревает, что его компьютер участвует в DDoS-атаке.
Пользователь Тётя Соня: Возможно ли имитировать или заказать DDoS атаку на собственный сайт, чтобы таким образом "распиариться" - кричать, что наш сайт правительству или вообще спецслужбам заграничным не угоден?
Александр Лямин: Да, нам известны такие случаи в российских СМИ. Впрочем, их достаточно легко вычислить специалисту. Дело в том, что DDoS-атака порождает нагрузки достаточно специфичного характера и их трудно подделать.
Анонимный пользователь: У вас на сайте написано, что ваши услуги бесплатны. Неужели это правда, а если да, то как вам это удается? В чем тогда основа бизнеса?
Александр Лямин: Да, мы действительно готовы принять ваш ресурс на нашей исследовательской площадке абсолютно бесплатно при условии соблюдения ряда требований:
1. Ресурс нацелен на российскую аудиторию.
2. Полностью и однозначно соответствует законодательству РФ.
Мы оставляем за собой право отказать в предоставлении услуги. Услуга предоставляется "как есть", т.е. мы не будем подписывать никаких договоров и гарантий. Цель исследовательской компоненты - собрать максимальное количество разнообразных DDoS атак для совершенствования наших алгоритмов и технологий, которые потом мигрируют в коммерческую версию нашего продукта.
Пользователь бух2007: Интересуюсь недавней атакой на Клерк. Расскажите поподробней об этом. Что это было? Зачем? Как? Кто все эти люди?
Александр Лямин: Я считаю, что здесь должен быть комментарий КЛЕРК.РУ. Скажу только, что атака была проведена на качественном уровне, и мы постоянно и отчетливо ощущали, что с той стороны работает грамотная команда, нацеленная на нанесение максимального ущерба.
Анонимный пользователь: Александр, ваша фирма весьма молода - всего год. Что вы можете сказать о потоке клиентов? Нарастает ли он, и если да, то почему? Потому что вы такие хорошие защитники, или потому что количество DDoS-атак увеличивается?
Александр Лямин: Наша компания была зарегистрирована в 2006 году. Тематикой фильтрации трафика мы плотно занимаемся 3 года, и тот год, о котором вы говорите, это открытый бета-тест наших технологических возможностей.
Количество DDoS атак растет потому, что средний уровень выносливости веб-приложений настолько низок, что некоторые из них можно "выключить", просто неудачно зажав кнопку F5 в вашем браузере. Соответственно, уровень затрат на проведение атак на такой ресурс будет минимален. Если коротко - проблема DDoS будет существовать до тех пор, пока этот инструмент будет экономически целесообразен.
Анонимный пользователь: Много ли в России специалистов в области консультирования и создания высоконагруженных проектов и компонент? Сотрудничаете ли вы с зарубежными коллегами?
Александр Лямин: Yandex/Mail.ru располагают очень сильными командами. Сильная группа специалистов по сетевой безопасности есть в RTCOMM. На этом из состоявшихся команд, пожалуй, все. Однако постоянно появляются новые люди. Так, относительно недавно тематикой защиты от DDoS стали заниматься Oversun (специализируется в хостинге и облачных вычислениях) и Kaspersky (win32 антивирусы).
О сотрудничестве как таковом, наверное, говорить пока рано. Мы с интересом изучаем все публикации по нашей тематике, появляющиеся в свободном доступе. Есть определенные точки пересечения интересов с RIPE. Есть определенный обмен информацией с бывшими коллегами по Namesys, которые сейчас работают в Google, Oracle, Redhat, но это безотносительно тематики DDoS, на общие темы: распределенные параллельные вычисления, алгоритмы и так далее...
Анонимный пользователь: Можно ли предположить, что DDoS атаки в будущем станут чаще? Или появятся какие то другие способы?
Александр Лямин: Каждый день мы видим что-то новенькое. Как и в любой гонке вооружений, это бесконечное совершенствование средств защиты и нападения. DDoS атаки будут существовать, пока они будут экономически эффективны.
Анонимный пользователь: Есть ли у вас какая-либо статистика по DDoS атакам в России и в мире?
Александр Лямин: Если коротко:
За прошедший год к нам поступило более 600 обращений. Верхний порог по скорости, который мы наблюдали на площадке МГУ, в июне 2010 - 12.5Gbps. В ноябре мы этот "рекорд" обновили цифрой 25Gbps.
97% наблюдаемых атак были атаки на уровень приложения (HTTP). Средняя длительность атаки 3 дня, максимальная длительность атаки 6 месяцев. Средняя численность атакующего ботнета - 5000, средняя численность российской части ботнета - 1000.
Наиболее мощные атаки были зафиксированы на СМИ и кредитные организации, это две самых, пожалуй, рискованных категории.
Мир: 65Gbps (октябрь 2010).
Россия: 45Gbps (октябрь 2010).
Тенденции 2011: увеличение доли высокоскоростных атак, атаки на DNS.
Анонимный пользователь: Бывали ли случаи, когда заказчики DDoS понесли уголовную ответственность за свои действия, ну, или хотя бы были установлены следствием? Вообще, насколько эффективна борьба правоохранительных органов с таким явлением, как DDoS-атака?
Александр Лямин: Да, такие случаи были. Управление "К" МВД России очень серьезно озабоченно данной проблемой, и я думаю в следующем году мы обязательно увидим ряд конкретных действий, направленных на решение проблемы DDoS.
Но для действительно эффективной работы необходимо привести в соответствие и законодательство. Дело в том, что большинство статей, посвященных информационной безопасности, для DDoS "нерабочие". Все известные нам случаи привлечения к ответственности - это исключительно по статье 273 УК РФ. Но создание, использование и распространение вредоносного программного обеспечения, за которое наказывают по этой статье, как вы понимаете, не совсем тот предмет.
Анонимный пользователь: Сколько стоит заказ хорошей DDoS-атаки? Существуют ли примерные расценки на атаку и защиту от нее?
Александр Лямин: От 100 долларов в сутки и до бесконечности. От бесконечности и до 5000 рублей в месяц. На самом деле эти цифры очень важны. Выйдя на рынок услуг по фильрации трафика с нижним тарифным планом в 5000 рублей, мы просто сделали DDoS-атаки экономически нецелесообразными.
Анонимный пользователь: Существуют ли на сегодняшний день какие-либо технические средства исключающие возможность атаки? Каковы перспективы систем безопасности?
Александр Лямин: На данный момент не существует технологий, которые позволяют полностью исключить успешное проведение DDoS атаки. И история с VISA/Mastercard/Paypal недельной давности - отличная тому иллюстрация.
Для полного и безоговорочного решения проблемы потребуется "переизобрести" Интернет - ввести цифровую подпись источника. Подобного рода работы уже ведутся, но они навряд ли покинут стены лабораторий в ближайшие 10 лет.
Анонимный пользователь: Какова технология DDoS? Как происходит атака? Не могли бы вы объяснить это понятным для всех языком?
Александр Лямин: DDoS дословно переводится на русский язык как Распределенная Атака на Отказ в Обслуживании.
Любые атаки на отказ в обслуживании имеют один и тот же механизм: выявить в системе ограниченный разделяемый ресурс и полностью занять его, оттеснив легитимных пользователей. Ресурсом может быть что угодно: канальные емкости, вычислительные ресурсы, системы хранения данных или даже одна таблица в базе данных.
Буква D - добавляет Распределенность, т.е. невозможность выделить и заблокировать источник атаки.
На данный момент самым популярным инструментом для проведения DDoS атак являются сети инфицированных компьютеров - ботнеты. Но сейчас встречаются некоторые виды DDoS-атак которые можно провести и без ботнета.
Пользователь Mikaa: Можно ли заранее защитить сайт от DDoS-атаки?
Александр Лямин: Да, есть вполне понятный комплекс мер и инструментарий, который позволит сделать любое веб-приложение устойчивым к DDoS атакам в разумных пределах.
Поскольку этот вопрос, наверное, слишком техничен для аудитории КЛЕРК.РУ, я просто поставлю ссылку на мою презентацию, посвященную этой теме: http://www.highload.ru/papers2009/12217.html
Анонимный пользователь: Есть ли способы защититься от недобросовестных конкурентов, использующих DDoS-атаку? Насколько это доступно небольшим компаниям?
Александр Лямин: Набор инструментов для управления ресурсами на самых дешевых (и самых популярных ) хостинг-площадках ограничен и самостоятельно противостоять даже небольшой DDoS атаке крайне затруднительно.
Именно поэтому мы разработали тарифы, ориентированные на средний и мелкий интернет-бизнес.
Анонимный пользователь: Ради чего обычно устраивают DDos? Какие цели преследуют?
Александр Лямин: Цели могут быть самыми разными: от тривиального вымогательства и устранения конкурентов, до более интересных целей – например, попыток изменить результаты поисковой выдачи Яндекс. DDoS - это технологичный инструмент, а способы его применения зависят исключительно от изобретательности современных Мориарти.
Анонимный пользователь: Скажите, пожалуйста, а можно ли вычислить заказчика DDoS-атаки?
Александр Лямин: Возможно, например в случае, если атака осуществляется хакерами-любителями, но это скорее исключение.
Начать дискуссию