4% трафика - в мусорный бак?

Чистота эксперимента

В течение полутора лет компания исследовала трафик более чем 68 интернет-сервис провайдеров, которые использовали решение Arbor Networks Peakflow SP. Полтора года назад Arbor заключила с ними соглашение о том, что они примут участие в исследовании, целью которого было выяснить, какая часть этой информации рассылается со злонамеренными целями. В параметры исследования входили характеристики протокола, размер передаваемых пакетов, направление атаки, частота и мощность, источник и частота передачи, и т.д. Определенная информация была доступна в режиме реального времени на портале ATLAS portal и некоторых других.

Исследование основывалось на таких базах сигнатур атак, как NetFlow, JFlow, IPFIX (компаний Cisco, Juniper Networks и IETF). Эти базы применялись к информации о трафике на уровне сетей и транспорта.

Было исследовано, как уже говорилось, 68 интернет-сервис-провайдеров, пропускавших около 100 Кб через 1300 маршрутизаторов, и периоды пиковой загрузки трафика, составившие примерно 1,5 терабайта в секунду, что с точки зрения статистики является довольно-таки существенной цифрой.

Что есть мусор?

Проанализировав полученные данные, в Arbor Networks пришли к выводу, что от 1% до 3% общего трафика занимает передача пакетов бессмысленной информации, используемые злоумышленниками для организации распределенных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDоS) с целью "взломать" Web-сайты. В периоды пиковой загрузки "приливные" волны пакетов SYN или ICMP (Internet Control Message Protocol) могут достигать 6%.

Денни Макферсон, директор по исследованиям Arbor Networks, в своем блоге отмечает, что это довольно-таки значительная цифра для вредоносного трафика такого рода. До этого момента исследовательские компании говорили о том, что процент вредоносного трафика намного меньше.

По данным Arbor Networks, для того, чтобы передавать такое количество трафика, пользователю пришлось бы платить сотни долларов в месяц. Однако злоумышленники не платят ничего: они используют сетевые ресурсы одних своих жертв для атаки на других.

В процессе исследования Макферсон обнаружил несколько других интересных тенденций. Так, чаще всего объектом атак становятся серверы Internet Relay Chat (IRC), которые злоумышленники и технические специалисты используют для общения. Кроме того, во время празднования Рождества и Нового года уровень атак снижается, возможно, потому, что, как отмечает Макферсон, «хакеры мучаются похмельем или тратят награбленное».

Большинство атак – результат работы бот-сетей. Кроме пакетов для DDoS-атак, «мусорный» трафик содержит также вирусы, спам, фишинговые утилиты, программы-шпионы и другой вредоносный и просто ненужный трафик. О

тдельно стоит сказать о спаме. Трафик протокола SMTP, т.е. трафик электронной почты, составляет около 1-1,5% от общего Интернет-трафика. Как минимум, 66% всех сообщений, приходящих по e-mail, является спамом. В итоге получается, что более 4% общего Интернет-трафика является ненужной, бесполезной и даже зловредной информацией.

Участники дискуссии в блоге Денни Макферсона, в том числе некий Петр Рузика из IronPort, считают, что данные Arbor Networks о том, что спам составляет 66% электронных почтовых сообщений, являются сильно заниженными. По его сведениям, 80-90% всех сообщений – спам, иногда же эта цифра достигает 97%. В стандартной компании «чистая почта» составляет всего 1 – 5%, если защита усилена, то 12%. Если это так, то доля «мусора» еще выше. Согласитесь, данные неутешительны.

Как «очистить» Интернет?

Малком Сигрэйв, эксперт по безопасности компании Energis, отмечает, что данные, опубликованные Макферсоном, отражают общую тенденцию. «За последние 12 месяцев мы зафиксировали значительный рост криминала в сети. Атаки становятся все более сложными и распределенными», — сообщил он. Кроме того, эффективному обмену информацией об атаках часто мешают требования конфиденциальности и коммерческая тайна.

Роб Поллард, коммерческий директор Arbor Networks, сообщил, что для того, чтобы помочь всем участникам справиться с проблемой, при обнаружении атаки ее сигнатура сразу будет передаваться каждому звену системы. Arbor Networks не будет взимать плату за эту услугу и готова передать сигнатуры всем желающим.

Компания Arbor Network разрабатывает решения, позволяющие создавать детализированную хронологию трафика в сети. Благодаря этому становится возможным определить, какие компьютеры или группы пользователей постоянно обмениваются данными друг с другом и какого типа трафик передается между компьютерами или рабочими группами. Подозрительные отклонения от нормального рабочего процесса регистрируются и отправляются сетевым администраторам для того, чтобы определить, является ли это атакой на сеть. Такой тип анализа очень полезен, поскольку, когда атаки проводятся с использованием сотен или тысяч компьютеров, практически невозможно определить их источник, просто просматривая сетевой трафик.

В ближайшее время представители Arbor Networks обещают опубликовать официальный подробный отчет о проведенном исследовании.