Анатомия DDoS-атаки
DDoS-атаки в последние несколько лет стали одним из самых распространенных преступлений в киберпространстве. Чаще всего хакеры организуют подобные нападения на серверы государственных органов и крупных бизнес-структур. Более того, в 2004 году появился такой вид преступлений, как шантаж возможностью проведения DDoS-атаки. Его жертвами становятся компании, бизнес которых напрямую зависит от стабильности работы web-серверов — например, онлайновые казино. Каков же механизм осуществления DDoS-атак? Попробуем разобраться.
Основы
DDoS-атака — распределенная атака типа "отказ в обслуживании" (DDoS — Distributed Denial of Service). Сегодня она является одной из самых распространенных и опасных сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы. По существу, атака DoS нарушает или полностью блокирует обслуживание законных пользователей, сетей, систем и иных ресурсов. Результат таких атак — длительные простои системы, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер. По данным Computer Emergency Response Team (CERT) — авторитетной международной организации в области безопасности Интернета — количество DDoS-атак резко возросло именно в последние годы, хотя сама технология известна уже достаточно давно. Новейшие информационные технологии теперь активно используются организованными преступными группировками. Впрочем, мотивация атакующих может быть самой различной: мелкая месть, чрезмерно рьяная конкуренция или вымогательство. Независимо от конкретных причин цель атакующих — поставить систему-мишень на колени, задействовав множество атак в диапазоне от локального прекращения сервиса до массивного DDoS-"наводнения". Большинство DDoS-атак базируется на использовании уязвимостей в основном протоколе Internet (TCP/IP) — в частности, на способе обработки системами запроса SYN. Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить свою анонимность, используют ложные исходные адреса. Таким образом, значительно затрудняется выявление реальных злоумышленников. Кроме того, широкое распространение DDoS-атак показало несостоятельность традиционно применявшихся в Глобальной сети технологий обеспечения безопасности. Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows NT/XP и роста Интернета. Операционная система Windows — мишень для абсолютного большинства взломщиков. Кроме того, многие средства DDoS очень легкодоступны, и для их использования не требуется высокая квалификация.
Типы атак DDoS
Существует два основных типа атак, вызывающих отказ в обслуживании. Первый тип приводит к остановке всей работы системы или сети. Если взломщик посылает жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке, значит, взломщик проводит атаку DDoS, поскольку никто не сможет получить доступ к ресурсам. С точки зрения взломщика эти атаки хороши тем, что с помощью нескольких пакетов можно сделать систему неработоспособной. В большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима перезагрузка системы администратором. Таким образом, первый тип атак является наиболее разрушительным, поскольку осуществить атаку легко, а для устранения ее последствий требуется вмешательство оператора.
Второй (более распространенный) тип атак приводит к переполнению системы или локальной сети с помощью такого большого количества информации, которое невозможно обработать. Например, если система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет 20 пакетов в секунду, законные пользователи, пытаясь подключиться к системе, получают отказ в обслуживании, поскольку все ресурсы заняты. При такой атаке злоумышленник должен постоянно переполнять систему пакетами. После того, как он перестает это делать, проведение атаки прекращается, и система возобновляет нормальную работу. Этот тип атаки требует больше усилий со стороны взломщика, поскольку ему необходимо постоянно активно воздействовать на систему. Иногда этот тип атаки приводит к остановке системы, однако в большинстве случаев восстановление после ее проведения требует минимального вмешательства человека. При проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем. Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов, становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений.
Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействована 1000 машин, то блокировать их все становится чрезвычайно трудно. Причем, как правило, атака против единственной жертвы проводится с множества компьютеров, разбросанных по всему миру. Если даже проводимые с одного источника атаки DDoS бывает сложно предотвращать, то можно себе представить, насколько сложнее защищаться от таких атак, которые проводятся с множества машин, расположенных в разных местах. К тому же, от атак DDoS защититься довольно сложно еще и потому, что жертва никогда не может полностью исключить возможность ее проведения. Если компьютерная система подключается к Интернету, то всегда есть вероятность того, что взломщик может отправить в нее такое количество данных, которое она будет не в состоянии обрабатывать.
Вот конкретный пример того, как организовываются DDoS-атаки в наши дни — посредством комбинирования компьютерных технологий и приемов социальной инженерии. В начале января 2005 г. компьютерной компанией Sophos в Интернете была зафиксирована рассылка почтового вируса, маскирующегося под просьбу помочь жертвам цунами в Юго-Восточной Азии. Вирус приходил в виде письма с заголовком "Tsunami donation! Please help!" ("Пожертвования на цунами, пожалуйста, помогите") и приложенным исполняемым файлом "tsunami.exe". Собственно, этот файл и содержал вирус. При активации он заражал компьютер пользователя, рассылал свои копии по всем найденным в компьютере адресам и готовился совершить DDoS-атаку на один из немецких хакерских сайтов.
Защита от DDoS-атак
Естественно, принципиально важный вопрос для специалистов в области компьютерной безопасности — способы защиты от DDoS-атак. Универсального рецепта нет до сих пор. Пока основное средство — быстрое обнаружение и способность сосредоточить силы чрезвычайного реагирования интернет- провайдера. Провайдер, получив тревожный сигнал, обязан моментально развернуть входные фильтры, чтобы блокировать "мусорный" трафик в тех точках, где он входит в сеть провайдера. Пока это лучший способ подготовиться к массированной DDoS-атаке и при необходимости быстро ее остановить. Для примера: основной хост-сервер Пентагона подвергается в среднем ста DDoS-атакам в неделю, но благополучно с ними справляется именно благодаря собственной "системе быстрого реагирования".
Следует помнить, что большинство операционных систем (от Windows до многих версий UNIX), маршрутизаторов и компонентов сетей, которые должны обрабатывать пакеты на каком-либо уровне, являются уязвимыми для атак DDoS. Хотя атаки DDoS предотвратить довольно сложно, ограничение доступа к важным учетным записям, ресурсам и файлам, а также защита их от неправомочных пользователей может существенно затруднить проведение многих атак DDoS.
"Коммерческий" DDoS
Аналитики уже давно предсказывают, что в будущем DDoS-атаки будут одним из основных видов оружия в кибервойнах. В Интернете уже давно бушуют конфликты — от дилетантских взломов сайтов небольших фирм до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. Но пока DDoS-атаки все же чаще используются организованными преступниками в своих целях. Спрос порождает предложение. По сообщению ряда СМИ, уже и в Рунете появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за $150-250 в сутки. Правда, многие эксперты утверждают, что за предложением "убить" веб-страницу по предоплате может скрываться обычное мошенничество. Типичное рекламное предложение этой "услуги" выглядит примерно так: "Мы рады вам предоставить качественный сервис по устранению сайтов, мы можем положить любой сайт нашей атакой, которая называется DDoS-атака". Согласно прайс-листу, шестичасовой простой веб-сайта обойдется заказчику в $60, а суточный — в $150. По предоплате. Однако, судя по всему, серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют организованные криминальные структуры.
DDoS-"невидимка"
Специалисты хорошо знают: преступления в сфере компьютерных технологий специфичны прежде всего тем, что имеют высокий уровень латентности. Так, по данным Национального отделения ФБР по компьютерным преступлениям, от 85% до 97% компьютерных посягательств не выявляются либо не предаются огласке. По оценкам других экспертов, латентность компьютерных преступлений в США достигает 80%, в Великобритании — до 85%, в ФРГ — 75%, в России — более 90%. Причина такой ситуации в том, что многие организации по тем или иным мотивам разрешают конфликт своими силами, не обращаясь к правоохранительным органам. Чаще всего это боязнь огласки и, как следствие, потери репутации в деловых кругах. Другой распространенный вариант — опасения топ-менеджеров, что начавшееся расследование вскроет и их собственные грязные делишки. В результате пострадавшие от DDoS-атак бизнес- структуры в большинстве случаев решают эту проблему исключительно организационно-техническими методами. И, как следствие, способствуют тому, что организаторы DDoS-атак остаются безнаказанными.
Денис Лавникевич
Основы
DDoS-атака — распределенная атака типа "отказ в обслуживании" (DDoS — Distributed Denial of Service). Сегодня она является одной из самых распространенных и опасных сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы. По существу, атака DoS нарушает или полностью блокирует обслуживание законных пользователей, сетей, систем и иных ресурсов. Результат таких атак — длительные простои системы, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер. По данным Computer Emergency Response Team (CERT) — авторитетной международной организации в области безопасности Интернета — количество DDoS-атак резко возросло именно в последние годы, хотя сама технология известна уже достаточно давно. Новейшие информационные технологии теперь активно используются организованными преступными группировками. Впрочем, мотивация атакующих может быть самой различной: мелкая месть, чрезмерно рьяная конкуренция или вымогательство. Независимо от конкретных причин цель атакующих — поставить систему-мишень на колени, задействовав множество атак в диапазоне от локального прекращения сервиса до массивного DDoS-"наводнения". Большинство DDoS-атак базируется на использовании уязвимостей в основном протоколе Internet (TCP/IP) — в частности, на способе обработки системами запроса SYN. Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить свою анонимность, используют ложные исходные адреса. Таким образом, значительно затрудняется выявление реальных злоумышленников. Кроме того, широкое распространение DDoS-атак показало несостоятельность традиционно применявшихся в Глобальной сети технологий обеспечения безопасности. Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows NT/XP и роста Интернета. Операционная система Windows — мишень для абсолютного большинства взломщиков. Кроме того, многие средства DDoS очень легкодоступны, и для их использования не требуется высокая квалификация.
Типы атак DDoS
Существует два основных типа атак, вызывающих отказ в обслуживании. Первый тип приводит к остановке всей работы системы или сети. Если взломщик посылает жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке, значит, взломщик проводит атаку DDoS, поскольку никто не сможет получить доступ к ресурсам. С точки зрения взломщика эти атаки хороши тем, что с помощью нескольких пакетов можно сделать систему неработоспособной. В большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима перезагрузка системы администратором. Таким образом, первый тип атак является наиболее разрушительным, поскольку осуществить атаку легко, а для устранения ее последствий требуется вмешательство оператора.
Второй (более распространенный) тип атак приводит к переполнению системы или локальной сети с помощью такого большого количества информации, которое невозможно обработать. Например, если система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет 20 пакетов в секунду, законные пользователи, пытаясь подключиться к системе, получают отказ в обслуживании, поскольку все ресурсы заняты. При такой атаке злоумышленник должен постоянно переполнять систему пакетами. После того, как он перестает это делать, проведение атаки прекращается, и система возобновляет нормальную работу. Этот тип атаки требует больше усилий со стороны взломщика, поскольку ему необходимо постоянно активно воздействовать на систему. Иногда этот тип атаки приводит к остановке системы, однако в большинстве случаев восстановление после ее проведения требует минимального вмешательства человека. При проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем. Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов, становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений.
Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействована 1000 машин, то блокировать их все становится чрезвычайно трудно. Причем, как правило, атака против единственной жертвы проводится с множества компьютеров, разбросанных по всему миру. Если даже проводимые с одного источника атаки DDoS бывает сложно предотвращать, то можно себе представить, насколько сложнее защищаться от таких атак, которые проводятся с множества машин, расположенных в разных местах. К тому же, от атак DDoS защититься довольно сложно еще и потому, что жертва никогда не может полностью исключить возможность ее проведения. Если компьютерная система подключается к Интернету, то всегда есть вероятность того, что взломщик может отправить в нее такое количество данных, которое она будет не в состоянии обрабатывать.
Вот конкретный пример того, как организовываются DDoS-атаки в наши дни — посредством комбинирования компьютерных технологий и приемов социальной инженерии. В начале января 2005 г. компьютерной компанией Sophos в Интернете была зафиксирована рассылка почтового вируса, маскирующегося под просьбу помочь жертвам цунами в Юго-Восточной Азии. Вирус приходил в виде письма с заголовком "Tsunami donation! Please help!" ("Пожертвования на цунами, пожалуйста, помогите") и приложенным исполняемым файлом "tsunami.exe". Собственно, этот файл и содержал вирус. При активации он заражал компьютер пользователя, рассылал свои копии по всем найденным в компьютере адресам и готовился совершить DDoS-атаку на один из немецких хакерских сайтов.
Защита от DDoS-атак
Естественно, принципиально важный вопрос для специалистов в области компьютерной безопасности — способы защиты от DDoS-атак. Универсального рецепта нет до сих пор. Пока основное средство — быстрое обнаружение и способность сосредоточить силы чрезвычайного реагирования интернет- провайдера. Провайдер, получив тревожный сигнал, обязан моментально развернуть входные фильтры, чтобы блокировать "мусорный" трафик в тех точках, где он входит в сеть провайдера. Пока это лучший способ подготовиться к массированной DDoS-атаке и при необходимости быстро ее остановить. Для примера: основной хост-сервер Пентагона подвергается в среднем ста DDoS-атакам в неделю, но благополучно с ними справляется именно благодаря собственной "системе быстрого реагирования".
Следует помнить, что большинство операционных систем (от Windows до многих версий UNIX), маршрутизаторов и компонентов сетей, которые должны обрабатывать пакеты на каком-либо уровне, являются уязвимыми для атак DDoS. Хотя атаки DDoS предотвратить довольно сложно, ограничение доступа к важным учетным записям, ресурсам и файлам, а также защита их от неправомочных пользователей может существенно затруднить проведение многих атак DDoS.
"Коммерческий" DDoS
Аналитики уже давно предсказывают, что в будущем DDoS-атаки будут одним из основных видов оружия в кибервойнах. В Интернете уже давно бушуют конфликты — от дилетантских взломов сайтов небольших фирм до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. Но пока DDoS-атаки все же чаще используются организованными преступниками в своих целях. Спрос порождает предложение. По сообщению ряда СМИ, уже и в Рунете появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за $150-250 в сутки. Правда, многие эксперты утверждают, что за предложением "убить" веб-страницу по предоплате может скрываться обычное мошенничество. Типичное рекламное предложение этой "услуги" выглядит примерно так: "Мы рады вам предоставить качественный сервис по устранению сайтов, мы можем положить любой сайт нашей атакой, которая называется DDoS-атака". Согласно прайс-листу, шестичасовой простой веб-сайта обойдется заказчику в $60, а суточный — в $150. По предоплате. Однако, судя по всему, серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют организованные криминальные структуры.
DDoS-"невидимка"
Специалисты хорошо знают: преступления в сфере компьютерных технологий специфичны прежде всего тем, что имеют высокий уровень латентности. Так, по данным Национального отделения ФБР по компьютерным преступлениям, от 85% до 97% компьютерных посягательств не выявляются либо не предаются огласке. По оценкам других экспертов, латентность компьютерных преступлений в США достигает 80%, в Великобритании — до 85%, в ФРГ — 75%, в России — более 90%. Причина такой ситуации в том, что многие организации по тем или иным мотивам разрешают конфликт своими силами, не обращаясь к правоохранительным органам. Чаще всего это боязнь огласки и, как следствие, потери репутации в деловых кругах. Другой распространенный вариант — опасения топ-менеджеров, что начавшееся расследование вскроет и их собственные грязные делишки. В результате пострадавшие от DDoS-атак бизнес- структуры в большинстве случаев решают эту проблему исключительно организационно-техническими методами. И, как следствие, способствуют тому, что организаторы DDoS-атак остаются безнаказанными.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 11 за 2005 год в рубрике безопасность :: разное