DDoS: катаклизм на заказ

Сергей Иванов: Здравствуйте, уважаемые телезрители! В эфире программа «Точка зрения», и меня зовут Сергей Иванов. DDoS-атаки — один из наиболее старых и до сих пор наиболее действенных способов осложнить жизнь владельцу интернет-бизнеса или компании, связанной с Сетью. Кто и зачем устраивает кибератаки? Сколько стоит их исполнить и сколько стоит от них защититься? Об этом мы поговорим с руководителем «Лаборатории высоких нагрузок» Александром Ляминым и заместителем генерального директора компании Rusonyx Юрием Устиновым. Александр, Юрий, привет!
Александр Лямин: День добрый!
Юрий Устинов: Здравствуйте!
С. И.: DDoS-атаки — тема животрепещущая, много обсуждаемая, а таких экспертов, как вы, нечасто можно встретить на больших экранах, тем более что мы вас впервые приглашаем в нашу студию. Первый вопрос хочу вам задать обоим: насколько опасна угроза DDoS-атак для владельцев бизнеса? Кто попадает в группу риска, а для кого эта проблема неактуальна?
Ю. У.: Мы общаемся с большим количеством клиентов как раз из малого и среднего бизнеса, у нас большое количество клиентов на хостинге, и можно сказать, что в группу риска попадают они все.
С. И.: Практически все, да?
А. Л.: Да. Причем бизнес-сайты — поголовно, информационные — в зависимости от содержания и т. д. Чаще всего, конечно, интернет-магазины. На обычный информационный сайт, если это компания о себе рассказывает, там указан ее телефон, еще что-то, атаки совершаются, конечно, гораздо реже.
С. И.: Александр? Взгляд изнутри будет другой?
А. Л.: Я соглашусь с предыдущим оратором. Да, любая компания, которая зарабатывает деньги в интернете, находится в зоне риска просто потому, что, выведя ее из игры, можно получить ощутимый финансовый выигрыш. Однако я бы выделил СМИ, поскольку, по Ленину, политика есть концентрированное выражение экономики, особенно в периоды бурных политических событий в стране и не только в России. Банковские, кредитные организации тоже в особой зоне риска.
С. И.: Говорят, в значительной степени ущерб от DDoS-атаки сводится к тому, что она заставляет бизнес тратить деньги: на защиту от нее, на подготовку каких-то превентивных мер. Есть ли какой-то простенький алгоритм для расчета тех убытков, которые несет бизнес от DDoS-атаки: трат на работу специалистов по защите, на адаптацию мощностей, программного обеспечения? Или такого алгоритма нет, каждый случай индивидуален?
А. Л.: Объем и состав работ, необходимых для успешного противодействия атакам, будет сильно варьироваться от бизнеса к бизнесу, потому что ваши риски будут напрямую связаны с оборотами вашего онлайн-бизнеса, его онлайн-составляющей.

Для себя как компании мы формулируем нашу миссию следующей фразой: «Мы должны сделать стоимость успешной атаки на порядок выше, чем стоимость ее защиты».

С. И.: Для того чтобы как минимум не всякий мог покушаться на сайт, так? Для того чтобы атака была дорогой.
А. Л.: Совершенно верно. Просто сделать DDoS экономически необоснованным, и из него невозможно будет извлечь экономическую выгоду.
С. И.: Вот мы говорим о расходах, связанных с защитой от DDoS-атаки, которые ложатся на плечи владельцев сайта. А какие расходы несут хостинг-провайдеры, чтобы обеспечить превентивную защиту? Для них DDoS-атаки тоже источник расходов, причина головной боли.
Ю. У.: Да, для хостинг-провайдеров, безусловно, DDoS-атаки — большая головная боль. В частности, мы наблюдаем атаки на наших клиентов фактически ежедневно. Единственное, не все атаки мы замечаем. Потому что мы как хостинг-провайдер достаточно крупная структура, а на клиентов, как правило, совершаются атаки микроскопические. Но даже таких микроскопических атак, как правило, достаточно для того, чтобы у клиента, скажем, закончились ресурсы на его виртуальном сервере либо на обычном хостинге, чтобы у него сайт не функционировал. У нас есть ряд мер, которыми мы помогаем клиенту эти микроскопические атаки прикрыть. И если обращение от клиента поступает и мы понимаем, что имеет место действительно DDoS-атака, а не «хабраэффект», мы эти меры принимаем.
С. И.: А насколько часто случаются так называемые тестовые атаки, когда злоумышленники отрабатывают свои новые технологии или демонстрируют перед заказчиком свои возможности на подходящем по параметрам сайте? Это миф или реальность?
А. Л.: Это реальность.

В числе наших заказчиков один очень популярный веб-сайт, про который даже есть мем: «Гони „Дом-2”, спаси Россию». И какое-то время, в самом начале сотрудничества с нами, «Дом-2» был эдаким бенчмарком для дидосеров: верификация эффективности ботнета у потенциального заказчика происходила путем обрушения работоспособности этого сайта. Ну, полгода у нас заняло, чтобы отучить их от этой привычки.

Тестовые атаки, конечно, случаются регулярно.
С. И.: Хочу обратиться к вам как к экспертам на предмет циркулирующих в отрасли слухов о том, что DDoS-атаки зачастую организуют те же люди, которые занимаются защитой от них. По аналогии с вирусами. Это справедливо или нет?
Ю. У.: Мне сложно сказать, я сам задаюсь этим вопросом!
А. Л.: Мы это предположение слышим достаточно часто, иногда в шутливой форме — так, с подмигиванием, — иногда не совсем в шутливой форме. Отвечу следующим образом: для того чтобы располагать приличных размеров ботнетом, нужно, конечно же, иметь компетенцию в этой области. У нас такой компетенции нет. Мы занимаемся исключительно средствами противодействия, хотя, может быть, и жаль: нам хотелось бы, конечно, заняться вскрытием самого тела ботнета и анализом того функционала, который туда заложен, но пока мы себе не можем позволить инженеров нужной квалификации в этой области, мы предпочитаем фокусироваться именно на средствах противодействия. Но подобного рода слухи я слышу регулярно. Они возникают, но, скорее всего, нет дыма без огня.
С. И.: Такое, возможно, случается?
А. Л.: Скорее всего, такие нечистоплотные игроки на рынке этих услуг есть.
С. И.: Допустим, владелец сайта решил, что он является потенциальной жертвой DDoS-атаки, получил какие-то сигналы. С чего ему начать, чтобы защитить свой сайт?
А. Л.: Первое: привлечь адекватного инженера, технических специалистов, провести с веб-сайтом работы по оптимизации его производительности. Веб-сайт должен иметь как минимум двукратный запас производительности от его маршевой нагрузки. Второе: есть в свободном доступе OpenSource, с открытым исходным кодом, программное обеспечение, позволяющее противодействовать атакам начального уровня. Но запас производительности, еще раз повторюсь, лучше иметь двукратный. Любая система фильтрации трафика — любительская, профессиональная — делает из вашего приложения кота Шредингера, который жив для нормальных пользователей и не жив для роботов, атакующих его. Соответственно, задача любого фильтра, во-первых, обнаружить факт начала атаки, во-вторых, отличить роботов от нормальных пользователей, в-третьих, отсечь роботов на как можно более ранних подступах к приложению. Желательно в таблице RAW netfilter.
С. И.: Юрий, а у хостинг-провайдеров есть какие-то рекомендации к владельцам сайтов?
Ю. У.: Здесь, я так понимаю, речь об OpenSource, который позволяет устранить HTTP-атаки, да?
А. Л.: HTTP?
Ю. У.: Именно НТТР-запросы.
А. Л.: Ну можно и не НТТР.
Ю. У.: Это самые простые.
А. Л.: В принципе, ничего не мешает добавить соответствующие правила в RAW-таблицу, которая будет отрезать весь тот трафик, который вам изначально не нужен. Например, что делать UDP на вашем сервере? Нечего ему там делать. Рубите его прямо в самом начале на receive от сетевой карточки.
Ю. У.: Есть еще атаки TCP SYN и т. д.
А. Л.: Атаки класса SYNFlood.

Кстати, очень интересная тенденция наблюдается в 2012 году, я бы сказал, знаковая: из всех наблюдаемых нашей системой атак, коих в 2012 году набралось 2628 за истекший период, атак скоростью больше 1 Гбит было всего 58 зарегистрировано.

Много это или мало? 2,21%, то есть в процентном соотношении немного. А в раскладке по нашей клиентской базе это каждый пятый клиент. Весьма велика вероятность получить атаку больше 1 Гбит. Откуда взята скорость 1 Гбит? Это стандартная скорость подключения сервера у хостинг-провайдера. Очень небольшое количество ресурсов обладает подключением выше 1 Гбит. И из тех 58 атак, было 50% превышающих 10 Гбит. Каждый десятый клиент получал атаку скоростью больше 10 Гбит.
С. И.: Мощный удар.
А. Л.: И дальше это рассматривается в комплексе с двумя другими цифрами: атак, использующих полностью открытое соединение, было 54%, а атак, использующих Spoofed Source, направленных на третий, четвертый, пятый уровни, то есть ниже уровня приложения, — 45%. Цифра фактически удвоилась за 2012 год, и именно потому, что стал доступен инструментарий, которым эти атаки можно реализовывать. Например, такая библиотека, как NetMap. Для примера: средний хорошо настроенный выделенный сервер может выдержать packet rate порядка 600 тыс. пакетов в секунду. Если вы возьмете чуть более специализированное оборудование, например сетевые карты, обладающие большим количеством очередей, и развесите обработку этих очередей на разные ядра процессора, то можно достичь цифр порядка мегапакета. Тот же самый сервер с использованием, например, NetMap сможет сгенерировать два мегапакета. Плечо таки ощущаете?
С. И.: Да, плечо производит впечатление.
А. Л.: А почему это вообще возможно? Потому что опорные сети, такие как «Ростелеком», «Транстелеком», «Билайн», хостинги — в России с этим получше, в Германии все очень плохо, — и точки обмена трафиком класса MSK-IX позволяют пропускать через себя трафик с фальсифицированными заголовками, с поддельными source-адресами.
Ю. У.: У нас самая большая атака была тоже меньше 10 Гбит, около 3 Гбит, но нам пришлось заводить вот эту нашу большую шарманку Arbor, она завелась, полчаса подумала и каким-то образом помогла разрешить эту проблему. Естественно, без нее мы бы не справились, и на самом деле, если бы было больше 10 Гбит, не факт, что она тоже помогла бы. В данном случае, насколько я понимаю, коллеги способны такие проблемы решить. Но если мы говорим о гораздо меньших объемах, то, естественно, любой крупный хостинг-провайдер, у которого достаточно канальной емкости, чтобы вообще пропустить этот поток на себя, может противодействовать [атаке] какими-то своими способами на роутерах, с помощью настройки клиентского оборудования и т. д., но тоже до определенного момента. Потому что, как правильно сказал коллега, очень много атак производится с поддельных IP-адресов. Мы это тоже наблюдаем, и с такими атаками достаточно тяжело бороться, потому что если IP-адрес поддельный, то можно «нарисовать» любой. Если мы какие-то фильтры по отношению к такому трафику применяем, то просто «рисуются» другие IP-адреса и, в общем-то, все наши фильтры сходят на нет.
С. И.: А какая-то специальная программа, специальный сервис по защите от DDoS-атак у вас существует или это все осуществляется в ручном режиме, что называется, по ситуации?
Ю. У.: По ситуации.
С. И.: Александр, а можно ли узнать стоимость ваших услуг по спасению от DDoS-атаки, по защите от нее: по превентивной защите, по ликвидации в самом разгаре событий?
А. Л.: Мы предпочитаем продавать наш сервис именно как превентивный. Почему? Потому что, имея на руках некоторые приложения с идущей атакой, невозможно качественно это отработать в полностью автоматическом режиме. Нам нужна выборка чистого трафика, для того чтобы обучиться, которой, в случае когда мы принимаем у себя заказчика с уже идущей DDoS-атакой, у нас просто нет. У нас есть тариф «Социальный» — 5 тыс. руб. в месяц. Это минимальная базовая ставка, которая подходит для любого небольшого интернет-магазина, у которого легитимный трафик умещается в 1 Мбит в секунду. Это большая часть малого бизнеса. Верхний предел, я думаю, недостижим. У нас есть клиенты с суммой ежемесячного чека и 20$ тыс., и 30$ тыс.
С. И.: Часто злоумышленники занимаются тем, что просто шантажируют своих жертв: вот вы заплатите, и мы прекратим DDoS-атаку. Может быть, в каких-то случаях дешевле откупиться?
А. Л.: Ни в коем случае на сотрудничество со злоумышленником идти нельзя!
С. И.: Почему? Чем это грозит?
А. Л.: Потому что человек заведомо нечистоплотный. Он совершенно точно не собирается соблюдать своих договоренностей, и судя по тому, что мы наблюдаем достаточно часто, следом за первой полученной суммой денег идет атака и вымогательство следующей, куда более серьезной суммы. Ни в коем случае нельзя идти на подобного рода коллаборацию. На мой взгляд, единственный хороший повод — это если речь идет о небольшой сумме денег…
С. И.: Чтобы выиграть время, подготовиться к следующей?
А. Л.: Возможность получить номер кошелька «Яндекс.Денег» или WebMoney, чтобы потом использовать это для расследования.
С. И.: DDoS-злоумышленники — кто эти люди? Сколько стоит организовать ботнет? Кто этим занимается? Есть какие-то предположения, данные или, может быть, некие устоявшиеся мнения?
А. Л.: Есть.
С. И.: Вот очень интересно узнать было бы.
А. Л.: Контингент людей, занимающихся DDoS-атаками, серьезно меняется последние два года. Вот хорошая цифра, например: максимальный ботнет, зафиксированный нами в 2011 году, включал практически 250 тыс. уникальных компьютеров. В 2012 году мы зарегистрировали максимальный размер в 143 тыс. Средний размер ботнета, зафиксированный нашей сетью, уже который год колеблется в районе 2 тыс. Чем это вызвано? Огромное количество доступного инструментария, конструкторов по созданию собственных ботнетов в исходных кодах — более чем десяток можно назвать.

Организовать ботнет можно, вложив 100$, отсюда большая конкуренция за инфицированные компьютеры. Максимальный размер ботнета сокращается, потому что есть эта конкуренция, общее количество ботнетов растет. Предложение на рынке людей, организующих атаки, тоже увеличивается, падают цены.

С. И.: Конкуренция растет. В общем, процветающий рынок получается?
А. Л.: Да, процветающий рынок на данный момент, и нижняя планка — то, что мы видели на форумах: всем известном «Античате» и т. д. Там люди готовы чуть ли не за 50$ в сутки провести успешную атаку. Верхняя же планка может составлять десятки и сотни тысяч долларов, когда речь идет о серьезном выигрыше.
С. И.: Юрий и Александр, я как раз вас хотел спросить: какие случаи были на вашей памяти — самые тяжелые, самые «трудноотразимые» атаки DDoS? Какие-нибудь интересные были у вас?
Ю. У.: Самая, наверное, интересная была та, что, по-моему, правильно называется «зеркальная атака на Name Server».
А. Л.: DNS Amplification, известная.
Ю. У.: Когда идет UDP-трафик с поддельных IP-адресов на Name Server с запросом доменных зон определенных и Name Server дает ответ. Этот запрос, который приходит на Name Server, достаточно маленький, то есть для злоумышленника он стоит дешево, для хостинг-провайдера он стоит дороже. Не хочется, конечно, какие-то успешные практики рассказывать.
С. И.: Давно вы столкнулись с этим?
Ю. У.: В этом году стало очень популярно. Смотря за тем, что делают наши коллеги, другие крупные хостинг-провайдеры, какие меры они принимают, как они реорганизовывают свое адресное пространство и прочее, мы видим, что, скорее всего, не мы одни с этим столкнулись. Есть такая небольшая проблема. В данном случае забивается обратный канал — от хостинг-провайдера наружу.
С. И.: Что-то вспомнилось, судя по всему, Александру?
А. Л.: Вы в данном случае вовсе не являетесь жертвой, вы являетесь соучастником.
Ю. У.: Да, да.
С. И.: «Соучастником» — звучит серьезно.
А. Л.: Да, и первый момент: конечно, такие атаки есть, но пик их пришелся на 2011 год. Все-таки, на наш взгляд, сейчас они идут на спад. Читаете документы RIPE, читайте Best Common Practices. Как вообще производится такая атака? Берется Name Server resolver, который доступен в паблик, на котором открыта рекурсия. Создается некоторое виртуальное «левое» доменное имя, зона с очень большой длины именами хостов. Дальше такой Name Server аккуратно «откармливается» этой зоной, и атакующая сторона потом использует этот Name Server в качестве плацдарма для атаки на третью сторону. Это реально ужасно может быть, с точки зрения принимающей стороны, потому что можно получить десятки гигабит. Мы наблюдали в 2011 году, как раз когда это было на самом пике, 57 Гбит. Кстати, на достаточно небольшой e-commerce-ресурс.
С. И.: Это вообще пик за все времена — 57 Гбит? Или за 2011 год?
Ю. У.: В данном случае это все-таки немножко другая история. Рекурсия и прочие вещи.
А. Л.: Если у вас забивают канал на output, поверьте, кому-то он забился на input после этого.
Ю. У.: Да, безусловно, это все понятно.
А. Л.: И вы являетесь соучастником. Пожалуйста, не делайте этого! Конфигурируйте свои Name Servers правильно.
Ю. У.: В данном случае именно запрос информации о доменах, которые находятся на Name Server, то есть он действительно там есть, и наш Name Server действительно отдает эту информацию, потому что у него ее спрашивают.
А. Л.: Конечно, отдает он предварительно, до атаки, заботливо разместив, чтобы получить как можно больше плечо.
Ю. У.: Естественно, мы в связи с этим нормальные меры принимаем и понимаем, что это действительно очень интересная атака. Есть еще, кстати, интересный вид атаки, когда стоят как раз обратные адреса куратора — там, где разные платежные системы у вас размещены и т. д., — и идет флуд с обратными адресами вашими, и мы понимаем прекрасно, что это не вы.
А. Л.: Это атакуют одного из наших клиентов, используя их DNS-сервера.
С. И.: Да, это действительно существенно.
Ю. У.: Это уже не про DNS-сервер, это идет на обычный хостинговый сервер. Мы сделали вывод, что, скорее всего, злоумышленники добиваются следующего: допустим, если бы мы более топорно мыслили, то определенную сетку IP-адресов просто закрыли бы, и таким образом, как я понимаю, связь, установка соединения с рядом ваших клиентов была бы невозможна…
А. Л.: Никакой выгоды реально атакующим это бы не принесло. Вообще, у меня предложение, и не только к вам, но и к аудитории: если кто-то располагает дополнительной информацией, которой он может поделиться с нами, потому что не вся она открыта, пожалуйста, обращайтесь, мы с удовольствием посмотрим на то, что это, расскажем, как это работает. Если у вас есть TCP-dump дампа этой атаки, вообще отлично. Нам это все очень интересно, мы готовы потратить свое время, но, правда, в режиме best effort, потому что не всегда оно есть в необходимых количествах вот прямо сейчас.
С. И.: Ну что ж, на этой оптимистичной ноте я бы хотел сказать, что время нашей передачи подходит к концу. Я думаю, что мы получили в этот раз гораздо больше вопросов, чем дали на них ответов, но я думаю, что эти вопросы, правильно поставленные, будут очень полезны нашей аудитории. Большое вам спасибо, что пришли к нам, на этом мы прощаемся. Спасибо, пока!
А. Л.: Спасибо.
Ю. У.: Спасибо.
С. И.: Ну а вам, уважаемые телезрители, я желаю внимательно озаботиться вопросом DDoS-атак, никогда не попадать под них, а если попасть, то быть во всеоружии. Всего вам доброго, пока!