| При поддержке |
 |
Вся правда о DDoS-атаках
 С каждым годом в словарный обиход тех, кто ведёт активный образ жизни в интернете, добавляется несколько новых слов и понятий. Некоторое время назад к их перечню добавился термин DoS-атака. Если сначала лишь немногие понимали, что это такое, сегодня об этом может не знать только действительно очень далекий от интернета человек.
По статистике каждые 5 минут в мире происходит 2 атаки, направленные на выведение из строя сетевых ресурсов. Генерация большого количества трафика снижает способность атакуемых узлов обслуживать остальных пользователей. От атаки типа DoS не может быть застрахован даже крупный оператор, у которого мощные каналы связи. Ведь атака «отказ в обслуживании» может вестись несколькими злоумыщленниками. И здесь не важно, какой тип соединения используется: модемный или широкополосный.
Если злоумышленников очень много, они могут обрушить оператора через диалап-доступ. Очевидно, что при использовании широкополосных каналов для проведения DoS-атаки необходимо меньше точек, чем при использовании диалап-соединения.
Когда речь идёт о DoS-атаке, осуществляемой из нескольких точек, специалисты говорят о DDoS (Distributed Denial of Service) — т.е. распределённой DoS-атаке. Этот тип особенно плох тем, что при большом количестве запросов, хакер (пусть даже один) может обрушить и парализовать на долгое время работу целых сетей. Распределённые атаки в разное время ощутили на себе практически все заметные компании в США — Microsoft, CNN, Amazon, WorlPay, eBay, PayPal и другие. Почему именно они?
Дело в том, что эти компании находятся на острие информационных технологий, за ними постоянно наблюдают и не только СМИ и обычные пользователи, но и хакеры. Только последние проявляют своё внимание своеобразными способами — вторжениями, взломами и опустошениями. Подобное внимание обходится компаниям в «копеечку».
Стоимость одной минуты простоя в различных сетях
|
Приложение |
Стоимость минуты простоя, долл. США |
|
Управление производством |
13 000 |
|
Управление поставками |
11 000 |
|
Электронная коммерция |
10 000 |
|
Электронный банк |
7 000 |
|
Сервисный центр |
3 700 |
|
Переводы денег |
3 500 |
|
Обмен сообщениями |
1 000 |
Источник: Cisco, 2004
Все помнят вирус MyDoom и его семейство. Одной из целей создания данного вируса было проведение DDoS-атак, в частности, на Microsoft и еще на одну компанию. Обе атаки были успешно осуществлены. Служащим Microsoft удалось предотвратить обрушение своих серверов, а вот второй компании не повезло — её сервера были недоступны в течение некоторого времени.
Добавление «начинки» в вирусы — это новое ноу-хау вирусописателей. В случае MyDoom можно говорить об использовании оружия против интернет-сообщества. Случай Novarg не единичен, судя по всему, вирусы, несущие в себе дополнительный заряд для осуществления DDoS-атаки, будут распространяться и в будущем.
Кроме того, за счёт относительной «лёгкости» осуществления распределённой атаки, данный тип атаки может использоваться как оружие в конкурентной борьбе. Например, один оператор хочет на время блокировать другого оператора. Что им движет в данном случае — не важно. Важно другое — что он будет делать. Больше не нужно осаждать компанию или направлять к ней в «гости» налоговую проверку. Достаточно провести распределённую DoS-атаку, которая парализует деятельность компании-противника на несколько часов (или дней — всё зависит от агрессивности нападающего).
Сложность традиционных методов защиты
Создать эффективный механизм защиты от DoS и DDoS-атак непросто. Как полагают некоторые специалисты в сфере информационной безопасности, традиционные методы защиты безнадёжно устарели.
Межсетевые экраны, если обнаруживают атаку, блокируют доступ с адреса, с которого эта атака исходит. При этом запрещается передача любого трафика и плохого, и хорошего. Учитывая, что DoS-атаки совершаются с подменой адреса, то применение межсетевых экранов только усугубляет ситуацию, и может заблокировать даже легитимных пользователей.
Маршрутизаторы с функциями защиты часто используют те же подходы, что и обычные межсетевые экраны. Следовательно, этот инструмент защиты также недостаточно эффективен. Более того, выделение ресурсов под задачу обнаружения распределённых атак приводит к снижению производительности маршрутизатора.
Системы обнаружения вторжения способны только обнаруживать атаки — функции отражения в них ограничены. Развитие этой технологии — системы предотвращения, могут блокировать DoS-атаки, но только ограниченное их количество. Это связано с тем, что большинство современных защитных систем данного класса построено по сигратурному принципу, и не способны обнаруживать действия, для которых не созданы шаблоны-сигнатуры. Кроме того, далеко не каждая DoS-атака состоит только из вредоносных пакетов, которые легко отследить. Очень часто в рамках атак типа «отказ в обслуживании» реализуются нормальные действия (обращение к сайту, например). Только этих действий очень много.
Ещё один класс средств, которые используются для защиты от DoS-атак — это балансировщики нагрузки, которые отслеживают большое количество соединений, и в случае превышения порогового значения перенаправляют избыточный трафик на резервные узлы. Однако данный подход, как правило, позволяет обнаруживать только один тип DoS-атак — SYN Flood.
Роман Боровко / CNews Analytics
|
