При поддержке
Тарио

Вся правда о DDoS-атаках

С каждым годом в словарный обиход тех, кто ведёт активный образ жизни в интернете, добавляется несколько новых слов и понятий. Некоторое время назад к их перечню добавился термин DoS-атака. Если сначала лишь немногие понимали, что это такое, сегодня об этом может не знать только действительно очень далекий от интернета человек.

По статистике каждые 5 минут в мире происходит 2 атаки, направленные на выведение из строя сетевых ресурсов. Генерация большого количества трафика снижает способность атакуемых узлов обслуживать остальных пользователей. От атаки типа DoS не может быть застрахован даже крупный оператор, у которого мощные каналы связи. Ведь атака «отказ в обслуживании» может вестись несколькими злоумыщленниками. И здесь не важно, какой тип соединения используется: модемный или широкополосный.

Если злоумышленников очень много, они могут обрушить оператора через диалап-доступ. Очевидно, что при использовании широкополосных каналов для проведения DoS-атаки необходимо меньше точек, чем при использовании диалап-соединения.

Когда речь идёт о DoS-атаке, осуществляемой из нескольких точек, специалисты говорят о DDoS (Distributed Denial of Service) — т.е. распределённой DoS-атаке. Этот тип особенно плох тем, что при большом количестве запросов, хакер (пусть даже один) может обрушить и парализовать на долгое время работу целых сетей. Распределённые атаки в разное время ощутили на себе практически все заметные компании в США — Microsoft, CNN, Amazon, WorlPay, eBay, PayPal и другие. Почему именно они?

Дело в том, что эти компании находятся на острие информационных технологий, за ними постоянно наблюдают и не только СМИ и обычные пользователи, но и хакеры. Только последние проявляют своё внимание своеобразными способами — вторжениями, взломами и опустошениями. Подобное внимание обходится компаниям в «копеечку».

Стоимость одной минуты простоя в различных сетях

Приложение

Стоимость минуты простоя, долл. США

Управление производством

13 000

Управление поставками

11 000

Электронная коммерция

10 000

Электронный банк

7 000

Сервисный центр

3 700

Переводы денег

3 500

Обмен сообщениями

1 000

Источник: Cisco, 2004

Все помнят вирус MyDoom и его семейство. Одной из целей создания данного вируса было проведение DDoS-атак, в частности, на Microsoft и еще на одну компанию. Обе атаки были успешно осуществлены. Служащим Microsoft удалось предотвратить обрушение своих серверов, а вот второй компании не повезло — её сервера были недоступны в течение некоторого времени.

Добавление «начинки» в вирусы — это новое ноу-хау вирусописателей. В случае MyDoom можно говорить об использовании оружия против интернет-сообщества. Случай Novarg не единичен, судя по всему, вирусы, несущие в себе дополнительный заряд для осуществления DDoS-атаки, будут распространяться и в будущем.

Кроме того, за счёт относительной «лёгкости» осуществления распределённой атаки, данный тип атаки может использоваться как оружие в конкурентной борьбе. Например, один оператор хочет на время блокировать другого оператора. Что им движет в данном случае — не важно. Важно другое — что он будет делать. Больше не нужно осаждать компанию или направлять к ней в «гости» налоговую проверку. Достаточно провести распределённую DoS-атаку, которая парализует деятельность компании-противника на несколько часов (или дней — всё зависит от агрессивности нападающего).

Сложность традиционных методов защиты

Создать эффективный механизм защиты от DoS и DDoS-атак непросто. Как полагают некоторые специалисты в сфере информационной безопасности, традиционные методы защиты безнадёжно устарели.

Межсетевые экраны, если обнаруживают атаку, блокируют доступ с адреса, с которого эта атака исходит. При этом запрещается передача любого трафика и плохого, и хорошего. Учитывая, что DoS-атаки совершаются с подменой адреса, то применение межсетевых экранов только усугубляет ситуацию, и может заблокировать даже легитимных пользователей.

Маршрутизаторы с функциями защиты часто используют те же подходы, что и обычные межсетевые экраны. Следовательно, этот инструмент защиты также недостаточно эффективен. Более того, выделение ресурсов под задачу обнаружения распределённых атак приводит к снижению производительности маршрутизатора.

Системы обнаружения вторжения способны только обнаруживать атаки — функции отражения в них ограничены. Развитие этой технологии — системы предотвращения, могут блокировать DoS-атаки, но только ограниченное их количество. Это связано с тем, что большинство современных защитных систем данного класса построено по сигратурному принципу, и не способны обнаруживать действия, для которых не созданы шаблоны-сигнатуры. Кроме того, далеко не каждая DoS-атака состоит только из вредоносных пакетов, которые легко отследить. Очень часто в рамках атак типа «отказ в обслуживании» реализуются нормальные действия (обращение к сайту, например). Только этих действий очень много.

Ещё один класс средств, которые используются для защиты от DoS-атак — это балансировщики нагрузки, которые отслеживают большое количество соединений, и в случае превышения порогового значения перенаправляют избыточный трафик на резервные узлы. Однако данный подход, как правило, позволяет обнаруживать только один тип DoS-атак — SYN Flood.

Роман Боровко / CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS