Грани.Ру подверглись DDoS-атаке

За последний год оппозиционные ресурсы подвергаются систематическим атакам. В конце октября портал "Права человека в России" в связи с продолжающейся DDoS-атакой открыл "запасной сервер" по адресу hro1.org. Начало атаки было отмечено 21 октября. Доступ к серверу и другим ресурсам, которые находятся на той же технической площадке, в результате атаки фактически прекратился.

Ранее DDoS-атакам подвергались посвященное НБП сообщество в Livejournal, сайты "Эха Москвы", "Коммерсанта", сайты организаторов "Марша несогласных".

В мае руководство "Эха Москвы" обратилось в правоохранительные органы с просьбой дать правовую оценку DDoS-атаке на сайт радиостанции.

Суть DDoS-атаки

DDoS-атака (distributed denial-of-service attack) - это распределенная атака типа отказ в обслуживании. В настоящее время DDoS-атака становится одним из самых распространенных и опасных видов сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы, нарушая или же полностью блокируя обслуживание законных пользователей, сетей, систем и иных ресурсов. Результат таких атак - длительные простои, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер.

Сама технология DoS-атак известна уже достаточно давно. Еще до того, как появились программные средства для распределенных DoS-атак, существовали коммерческие "закрытые" программы, способные управлять распределенными пересылками пакетов с множества машин на один определенный адрес. Таким образом можно было определить, какой объем трафика сеть вообще способна "переварить", выяснить, должна ли пропускная способность адресатов быть улучшена, насколько надежно будет функционировать система при запланированной нагрузке. При разработке инструментария DDoS выяснилось, что наиболее губительной оказывается пересылка пакетов, имеющих ошибочную структуру. Особенно так называемых ICMP-пакетов (Internet control messaging protocol). Эти пакеты предназначены для управления конфигурацией сети. В случае, если подобный пакет оказывается ошибочным, довольно большое время тратится на его обработку и - после принятия решения о его ошибочности - на возврат пакета посылающему. То есть, по сравнению с обычным сетевым пакетом, возрастали как время обработки пакета, так и общий трафик сети.

Большинство DDoS-атак также базируется на использовании уязвимостей в основном интернет-протоколе TCP/IP, в частности, на способе обработки системами запроса SYN. Широкое распространение DDoS-атак показало несостоятельность традиционно применявшихся в глобальной Сети технологий обеспечения безопасности. Ситуация усугубляется тем, что взломщики, чтобы сохранить свою анонимность, используют ложные исходные адреса. Таким образом значительно затрудняется выявление реальных злоумышленников. Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows NT/XP и общего роста Интернета. Операционная система Windows - мишень для абсолютного большинства взломщиков. Многие средства DDoS общедоступны, а для их использования не требуется высокой квалификации. Впрочем, типовая атака отказа в обслуживании может использоваться и как компонент весьма замысловатой многоступенчатой атаки.

Типы DDoS-атак

Существует два основных типа атак, вызывающих отказ в обслуживании. Во-первых, взломщик может посылать жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке. Этот тип атаки наиболее эффективен, поскольку сервер можно привести в неработоспособное состояние с помощью всего нескольких сетевых пакетов. И в большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима ее перезагрузка администратором.

Второй (более распространенный) тип атак использует "метод грубой силы": то есть производится настоящее "наводнение" системы или локальной сети большим количеством "мусорной" информации, которое невозможно обработать вовремя. Допустим, система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет вдвое больше. Если "настоящие" пользователи попытаются подключиться к этой же системе, то они, естественно, получат отказ в обслуживании, поскольку свободных ресурсов уже не останется (происходит переполнение буфера). Но при такой атаке злоумышленник должен постоянно пополнять систему "лживыми" пакетами. После того как он перестает это делать, проведение атаки прекращается, и система (в большинстве случаев) просто возобновляет нормальную работу. Как правило, при проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего это сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем (производится их предварительное "зомбирование", например, с помощью разосланных со спамом вирусов или троянов). Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов (с множества компьютеров, разбросанных по всему миру), становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений. Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействованы тысячи компьютеров, то блокировать их становится чрезвычайно трудно.

Жертвы DDoS-атак у нас и за рубежом

Сетевое сообщество было вынуждено обратить на DDoS-атаки самое пристальное внимание в начале февраля 2000 года, когда одновременно было атаковано множество крупнейших американских коммерческих серверов - Amazon.com, CNN.com, Buy.com, Yahoo!, ZDNet, E-Trade.com, eBay.com - и еще целый ряд популярных сайтов.

В октябре 2002 года произошла атака на корневые серверы Интернета - семь из тринадцати оказались временно недоступными.

21 февраля 2003 года произошло DDoS-нападение на LiveJournal.com. Сервис два дня был то недоступен вовсе, то работал кое-как, с пятого на десятое.

10 и 14 октября 2003 года атаки DDoS были организованы на сеть Zenon/Internet компании "Зенон Н.С.П.". К техническим средствам сети, участвующим в оказании услуг пользователям, было направлено огромное число запросов на установление соединения (порядка 500 тысяч в секунду), причем запросы формировались в тысячах точек как со стороны внешних, так и со стороны внутрироссийских каналов.

Подобным атакам подвергались и продолжают подвергаться сети сотен компаний. Естественно, они не обходят стороной и компании, оказывающие интернет-услуги, вызывают затруднения или невозможность их использования. Эта беда коснулась и сайта microsoft.com, и ресурсов российских компаний - Valuehost, .masterhost и других. С мощными DDoS-атаками порой возникают проблемы у операторов национального масштаба, например, РТКомм.Ру.

В Интернете уже давно бушуют конфликты - от дилетантских взломов сайтов небольших фирм или "неприятных" интернет-изданий до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. В последние годы преступники используют DDoS-атаки также для вымогания денег у онлайновых казино, банков или для атак на конкурентов. Частота DDoS-атак постепенно увеличивает с 1-2 в месяц до 1-2 в неделю. Все чаще DDoS-атаки используют в своих целях организованные преступные группировки. В Рунете уже появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за сотню-другую баксов в сутки. Однако серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют криминальные структуры.

Преступления в сфере компьютерных технологий отличаются прежде всего своей безнаказанностью. Так, по данным Национального отделения ФБР по компьютерным преступлениям, от 85% до 97% компьютерных посягательств не выявляются либо не предаются огласке. По оценкам других экспертов, латентность компьютерных преступлений в США достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более 90%.

Причина такой ситуации в том, что многие организации по тем или иным мотивам разрешают конфликт своими силами, не обращаясь к правоохранительным органам. Чаще всего сказывается боязнь огласки и, как следствие, потери репутации в деловых кругах. Другой распространенный вариант - опасения топ-менеджеров, что начавшееся расследование вскроет их собственные грязные делишки. В результате пострадавшие от DDoS-атак бизнес-структуры в большинстве случаев решают эту проблему исключительно организационно-техническими методами.