Простите, но вы бот!

Поэтому жертва такой атаки в большинстве случаев оставалась наедине сама с собой и иногда – с провайдером. Уже больше месяца в Рунете тестируется сервис StopDDoS.ru, который содержит информацию о компьютерах-участниках возможных атак. Информация сгруппирована по провайдерам, и обычный юзер может обнаружить адрес своей машины, которая ведет себя аномальным образом. При некоторой настойчивости можно отследить начало и окончание враждебных действий, а также получить некоторые технические подробности. Пока интерфейс сайта не слишком дружелюбен по отношению к пользователю, но сама попытка такого глобального мониторинга уже обращает на себя внимание.

Дешево, эффективно и почти не страшно

Атака по хорошо известному принципу «все на одного» в Сети еще более эффективна, чем в офлайне. DDoS способен быстро истощить ресурсы жертвы и заставить ее капитулировать, особенно, если Интернет для сайтовладельца не дополнительный, а основной канал продаж. Понятно, что коммерчески мотивированные атаки всегда нацелены на определенный объект, однако история знает случаи, когда с помощью DDoS неизвестные пытались расшатать инфраструктуру Сети в целом. Стоит вспомнить 2002 год, когда по такой же схеме были атакованы 8 из 13 серверов системы DNS.

Механизм DdoS-атаки предполагает отправку огромного числа пакетов на атакуемый узел с единственной целью – перегрузить его, сделать недоступным для «живых» пользователей и выдавить его на некоторое время из Интернета. Основные стратегии предполагают отправку либо огромного количества пакетов (атака с заполнением полосы пропускания), либо умышленно неполных пакетов (атака на приложения). Вариантов технической реализации существует превеликое множество, единый подход сводится к использованию бот-нетов, то есть масштабных сетей из зараженных компьютеров. Владельцы последних, избалованные безлимитным Интернетом, не утруждают себя подсчетом трафика, да и сам компьютер выключают редко.

Раскрыть глаза таким юзерам и призван StopDDoS.ru. Подозрительные IP-адреса выявляются по данным системы защиты веб-сайтов, и ориентирован этот отчет на провайдеров: «для автоматизации оповещения своих клиентов о вредоносной активности их компьютеров». В дальнейшем, как сообщается, информация о «зомби-пользователях» будет предоставляться провайдерам в структурированном виде, видимо, уже на платной основе.

Громкие DDoS-атаки происходят регулярно, просто большинство научилось реагировать на эти сообщения спокойно. Если спасения все равно не существует, есть ли смысл переживать раньше времени? Минувшей осенью атаковали эстонцев, которые решили переместить памятник воину-освободителю. Под ударом, предположительно, политически мотивированных злоумышленников в прошлом году оказались калифорнийские сервера LiveJournal.com, и пришлось призывать на помощь ФБР. В числе тех, кто знаком с DDoS не понаслышке, - социальные сети (например, «В контакте» и «Хабрахабр»), интернет-СМИ (например, «Коммерсант» и SEONews), порталы (например, Life.ru).

Не информировать, а заблокировать

Первые отзывы о StopDDoS.ru получились не самыми лестными. Сомнения вызывала никому не известная компания «Нетвиллдж», достоверность и полнота публикуемых сведений и – главное – интерес провайдеров к такому сервису. По сути, список возможных источников DDoS аналогичен черным спискам, которые практиковались на почтовых серверах во времена спам-эпидемий. Кто-то активно применял, а кто-то полностью игнорировал такой способ защиты из-за его многочисленных недостатков.

«Факт появления сервиса, на котором публикуются списки узлов-источников DDoS-атак, показателен - пользователи и провайдеры заинтересованы в «чистом» трафике, в средствах, позволяющих активно противодействовать сетевым атакам как на уровне провайдера, так и на уровне пользователя, поэтому подобные ресурсы, безусловно, полезны», - считает Григорий Васильев, технический директор ESET.

Интерес к StopDDoS.ru как к реальному инструменту борьбы с атаками будет сильно зависеть от того, смогут ли его создатели обеспечить «автоматизацию» процесса, - полагает Дмитрий Слободенюк, коммерческий директор ГК «Антивирусный центр». Сама по себе информация о том, что та или иная машина посылает большое количество запросов к какому-либо серверу, мало что дает: срок жизни «активных» узлов бот-нета в настоящее время не велик. Пока будут приняты меры, атака уже может быть прекращена. «На мой взгляд, намного полезнее была бы автоматизированная служба блокировки компрометированных компьютеров, аналогичная платным службам почтовой репутации, которые практически в режиме реального времени отслеживают спам-рассылки и предоставляют средства для мгновенной блокировки источников», - добавил он.

Против лома нет приема

Более-менее эффективных способов сопротивления для пострадавшего всего два. Первый, по сути, означает капитуляцию и применяется провайдером, обнаружившим в своей сети объект DDoS-атаки. Спасти ресурсы можно только с помощью блокировки трафика в ранней точке (т.н. маршрутизация в «черные дыры»). Для сайтовладельца это означает, что его ресурс будет невидим как для атакующих, так и для обычных пользователей.

Второй способ позволяет наиболее дальновидным клиентам удержаться на плаву даже в случае «самого пристального внимания». Для этого потребуется резервная полоса пропускания и резервные сетевые устройства, специальные защитные программно-аппаратные комплексы, которые непременно влетят в копеечку. Услуги по дополнительной защите от DDoS предоставляют некоторые провайдеры, в частности, «Караван». На конференции, посвященной итогам 2007 года, называлась и стоимость такой услуги – около $1000 в месяц, причем за такую защиту готовы платить лишь несколько десятков клиентов.

«В России, приобретая услуги хостинга, лишь в единичных случаях заказчик интересуется защитой бизнес-приложений и готов ощутимо увеличить бюджет ради непонятной услуги, - сообщил представитель «Каравана» Дмитрий Канаев. - Обычно к этому вопросу возвращаются постфактум. Когда процесс пошел, а драгоценное время потеряно». В компании используется решение от Cisco Systems с пропускной способностью в 1 миллион пакетов в секунду, по мере увеличения объема трафика оно оперативно подстраивается для применения большего числа фильтров.

По мнению Михаила Кондрашина (Trend Micro), лучшее средство борьбы – это блокировка DDoS на уровне провайдера, от которого исходит паразитный трафик. Григорий Васильев говорит о необходимости защиты рабочей станции комбинацией из файервола и антивируса, чтобы не становиться частью бот-нета. Что же касается тенденций, то вокруг DDoS вырастает целый рынок. Как уже сообщал TelNews, в ноябре прошлого года спамеры предлагали вывести сайт конкурентов из строя всего за $100 в сутки, то есть такие «услуги» становятся весьма доступными. А вероятность наказания пока не слишком велика.