Какая страна, такие у нее и DOS-атаки

11 Березня 2009
11643
11 Березня 2009
16:28

Какая страна, такие у нее и DOS-атаки

11643
Каждую неделю по крайней мере, хотя бы один общественно-политичский интернет-ресурс заявляет о DOS-атаке, которую он пережил. Проблему DDOS различные сайты решают по-разному. Одни «отбиваются» своими усилиями, другие – привлекают провайдеров, третьи – «ложатся» и ждут, «когда же это все закончится».
Какая страна, такие у нее и DOS-атаки
Но всех обьединяет одно жгучее желание: найти злопыхателя. А также - как не допустить DDOS в следующий раз? И даже если первое желание впоследствии теряет актуальность, то задача «как защититься от атаки» - перманентна.
 
Мы обратились обратился за ответом к заместителю председателя правления ИнАУ Александру Ольшанскому. Тем более, что эту проблему он может рассмотреть c разных сторон — как президент крупнейшего в Украине хостинг-провайдера MiroHost.net и как член правления ИнАУ — самой авторитетной организации, которая занимается разрешением острых проблем в Уанет
Начали нелукаво:
 
- Александр, извините за примитивный первый вопрос, но все же: можно ли с минимальными потерями «отбиться» от DOS-атаки?
 
- Можно
 
- Только не у всех в Украине это получается...
 
- Почему? Некоторые наши клиенты «отбивались», и не один раз. В Украине ведь не бывает атак мощностью больше миллиона пакетов в секунду. Такого DDOS в Украине я не видел. Для нашей страны скорее характерны цифры порядка десятков тысяч пакетов в секунду.
 
- Миллион - это какие-то запредельные вещи.
 
- Нет, не запредельные. Для России, например, характерная величина может составлять порядка одного мегапакета в секунду (если это серьезная атака). Если говорить о мире, то мощность атак может быть еще больше. Поэтому в мире и существуют компании, которые защищают от DOS-атак. У нас была идея предоставлять такую услугу в Украине. Но проблема в том, что здесь пока нет платежеспособного спроса. Большинство атак, с которыми мы сталкиваемся, направлены на сайты, оплачивающие виртуальный хостинг за $8-10 в месяц. И на наше предложение в связи с DDOS перейти хотя бы на выделенный сервер за $50-70 в месяц отвечают категорическим отказом. Соответственно, и на защиту от DOS-атак такие сайты не готовы тратить хоть какие-либо деньги.
 
- А если бы вы предоставляли услугу защиты от DDOS – надо было бы у вас хоститься?
 
- В общем случае - нет. Это зависит от технологий. Но в это желательное, но необязательное условие.
 
- А сколько должно быть заказчиков, чтобы подобная услуга “заработала”? 10-100-1000?
 
- Больше 100 при цене услуги $200-300 в месяц. То есть, на содержание инфраструктуры борьбы с DDOS нужно $20-30 тыс. в месяц.
 
- В России такие компании работают?
 
- Такие компании работают везде. Можно купить за границей такую услугу прямо сейчас. Только стоить она будет не $300, а $3-5 тысяч в месяц. Но зато тебя от DDOS закроют так, что сайту будет страшна только атомная война.
 
- А как устроена логика такой защиты? Она понятна?
 
- Совершенно понятна. Это известный способ. Допустим, есть некий провайдер услуг. У него - набор IP-адресов. Этот провайдер ставит, к примеру, в 100 узловых точках по миру свои маршрутизаторы и сервера с файерволом. Соответственно, он тоннелирует свой трафик закрытыми шифрованными тоннелями до этих точек. И анонсируется из них во внешний мир (речь идет об анонсах BGP). То есть, с технической точки зрения это выглядит так, как будто этот провайдер включен проводами в эти 100 точек напрямую. Допустим, каждое включение может обработать 10 гигабит трафика, в том числе и «паразитного».
 
Соответственно суммарная мощность - один террабит. Значит, атакующему для того, чтобы «забить» такую систему, нужно развить один террабит потока (или около 100 мегапакетов). Далее файерволы на каждой точке включения фильтруют трафик, выбрасывая «мусор». И очищенный от DDOS трафик по шифрованному каналу доставляется к защищаемому серверу. Я описываю достаточно упрощенно, но принцип понятен. Подобным образом, в несколько модифицированном виде защищают, например, корневые DNS-ы. Их регулярно пытаются атаковать, условно говоря, в целях «тренировки». Не помню точных данных, но на 2007 год самая крупная DOS-атака составила около 40 мегапакетов в секунду. Думаю, что сейчас эти величины колеблются в районе 100 мегапакетов.
 
DOS-атаки – это ведь большой криминальный бизнес. Фактически в большинстве случаев он сопряжен с вымогательством. У нас на хостинге есть сайты, с которых, я точно знаю, вымогали деньги. Обычно в качестве «мишеней» выбирают интернет-магазины, интернет-казино, крупные информационные ресурсы — проекты, для которых разрыв контакта с пользователями в Интернет грозит быстрыми и большими убытками. Так, накануне 8 марта, большинство украинских сайтов, торгующих цветами, «лежали». (К чести нашей компании замечу, что в то же время нам удалось поддерживать в работоспособном состоянии аналогичный ресурс, хостящийся у MiroHost.net).
 
- Для Украины, впрочем, хватает и маленькой атаки.
 
- Смотря для кого. Но, понятно, что это вопрос денег. Атакующему надо потратить значительную сумму денег. Организация маленькой атаки осуществляется легко и дешево, например, через какой-то форум. Но создание по-настоящему большой и крупной атаки – дело очень рискованное. В мире ведь существует немало платных сыскных агентств, которые специализируются на Интернете.
 
- Они ищут атакующего? Каким образом?
 
- Да, ищут, но, как правило, не техническими способами, а через агентуру или, например, предлагая деньги за информацию об организаторе атаки. И завтра организатора сдают свои же. Потому что в одиночку это организовать нельзя.
 
- Ну, почему же: запустил троянов, наплодил «роботов» и атакуешь...
 
- Но ведь кто-то этот троян написал? А кто-то написал библиотеки, а кто-то написал компилятор, а кто-то содержит форум, через который общались заказчик с организатором.
Рассказы о том, что атакующий – невыявляем - неправда. Да, это дорого, но возможно. Если речь идет о серьезных мировых интернет-ресурсах, то последствия бывают тоже очень серьезные. Например, обвинение в данном преступлении заказчику могут предъявить в стране, где за это преступление предусмотрено 25 лет тюремного заключения.
 
- Когда на нас начинается очередная DOS-атака, то первая мысль: найти того, кто заказал... ну и дальше по списку...
 
- Если речь идет о небольших DOS-атаках, то здесь, как свидетельствует опыт, зачастую в качестве организатора оказывается ребенок 15 лет, который решил «побаловаться». Хотя от этого явление не становится менее опасным.
 
- Поставим вопрос по-другому. Если смоделировать такую ситуацию: напряглась госмашина, к зараженным компьютерам приходит технический специалист и милиционер. Они узнают, откуда компьютер заразился, дальше по цепочке....
 
- Не поможет
 
- В связи с тупостью госмашины или от того, что это в принципе невозможно?
 
- Нужен очень специализированный инструмент. Именно потому в мире существуют компании, которые на этом специализируются. Ходить с милиционером – это ведь тоже стоит денег. А за эту атаку заплатили $50.
 
- Ну, $500 все-таки чаще встречается.
 
- $500 – это уже недешевая атака. И если идти стандартными методами, то может оказаться, что на поиски надо будет потратить $500 тыс. Есть два способа, как найти заказчика: можно за $500 тыс. устроить все это расследование. А можно на том же форуме, где эти DDOS продают, пообещать $5 тыс. за информацию об организаторе.
На самом деле – это один из самых эффективных методов. Люди, которые продали или сдали в аренду заказчику бот-нет (сеть компьютеров, зараженных вирусом – ред.), сами же заказчика и «сдадут». Поскольку кроме денег, их ничего не интересует. Ничего личного.
 
- В том же контексте, но несколько другое. Как себя чувствует при атаке хостинг-провайдер?
 
- Плохо себя чувствует. У хостинг-провайдера следующие альтернативы. А – выключать сайт, который досят. В – защищать сайт, который досят бесплатно. И С – защищать его за деньги. В большинстве случаев принимается вариант А, поскольку В убыточно, а за С заказчик платить не готов. В свою очередь, MiroHost.net старается минимизировать воздействие DDOS на своих клиентов, настолько насколько это позволяет наша инфраструктура. И во многих случаях нам это удается. Однако для защиты от крупных DOS-атак необходим специализированный сервис по цене, значительно превышающей цену, которую готовы платить сегодня клиенты.
 
- А хостинг-провайдер может включиться в схему защиты за $5000 и защитить все свои сайты?
 
- За $5 тыс. не может, но за $50 тыс. или за $500 тыс.— это возможно. Я уже говорил, что содержание минимальной инфраструктуры защиты от DDOS обходится в десятки тысяч долларов в месяц. А если покупать эту услугу у стороннего провайдера – то это обойдется еще дороже. Например, для хостинг-компании нашего уровня по западным коммерческим расценкам такая услуга будет стоить больше $200 тысяч в месяц. И опять же, смысла в этом нет никого, поскольку большинство клиентов за это платить не готовы. Ну, скажем, зачем DDOS-защита сайту «О моей любимой кошке»? Если кому-то захочется потратить $50 и «выключить» его на 2 часа, то препятствовать этому нет никакого смысла.
 
- То есть обычно сайты отключают?
 
- Еще раз повторюсь: все зависит от самого ресурса. На Западе хостеры относятся к этому так: если у тебя интернет-бизнес — плати за анти-DOS защиту. Фактически - это страховка. Ведь нет компании, которая может защитить тебя от того, что на голову упадет кирпич. Но существует компания, предлагающая тебе страховку. Здесь та же схема. Если у тебя есть сайт, и ты считаешь для себя важным защититься от атак, то ты платишь специализированным компаниям, точно также, как платишь за антивирус.
 
Хостинг-провайдеры, как правило, к этому отношения не имеют. Некоторые хостеры, правда, предоставляют такую услугу в пакете хостинга. Но фактически это две разные услуги. А поскольку цена анти-DOS защиты, как правило, существенно выше, то можно считать, что в рамках этой услуги хостинг предоставляется бесплатно. Так что создание защищенных сетей – это большой быстроразвивающийся бизнес в мире. Мы тоже исследовали в Украине возможность предоставления такой услуги, но, как я уже говорил, - рынок пока отсутствует.
 
- Потому что в Украине не было суператак?
 
- Скорее, потому что в Уанете мало денег. Затраты на безопасность пропорциональны количеству денег, которые оборачиваются в Интернете. Как только твой сайт начнет зарабатывать $300 тыс. в месяц, я уверен, что желающие тебя «подоить» найдутся. Я считаю, что в Украине по настоящему прибыльных интернет-проектов (навскидку) не больше 50, но возможно, их еще меньше. А вот когда таких проектов станет 500 или 5000 - тогда появится рынок. Но это будет не завтра. Может, года через три или даже через пять.
 
- Может высокопарно... но все-таки об информационной безопасности. Ведь за небольшие деньги можно положить все госорганы. А может и всю страну.
 
- Да, в современном мире, это оружие. Вот, например, если вспомнить войну в Грузии.. Фактически какой-то период времени грузинские сайты были недоступны. Если говорить об Украине, то «завалить» ее так, как «завалили» Грузию или в свое время Эстонию, нельзя. Украина существенно лучше включена в мировой Интернет, у нас больше каналов, и они более разнообразны. А Грузия была подключена всего двумя каналами. И то один их них был не очень хороший.
 
Хотя поводов, чтобы расслабиться, я не вижу. Учитывая наши размеры, такая атака обойдется существенно дороже, и организовать ее сложнее. Но здесь все зависит от того, кто «на той стороне». Если это аматоры-любители, то, скорее всего, с Украиной им не справиться. Но если рассматривать эту проблему с точки зрения безопасности государства, то есть, сделать предположение, что атака будет организована вероятным внешним противником, то Украина сегодня – «голая». На самом деле «неголых» стран» очень мало.
 
Понятно, что американцы что-то умеют, и англичане что-то умеют, и европейцы, и, возможно, россияне. Но это стоит денег, и больших. У нас почему-то безопасность в Интернете люди воспринимают как что-то само собой разумеющееся. А это не так. Никто ведь не удивляется, что на машину надо поставить сигнализацию, и купить страховку. А страховка стоит 5% от стоимости машины. И сигнализация – 1-2 %. Здесь то же самое. С течением времени люди осознают, что в Интернете они должны нести такие же затраты на безопасность, как и в реальной жизни.
 
Я думаю, что в Украине такое время наступит лет через пять. Кстати, этот рынок свободен. Любая компания может попытать счастья в данном деле. Можно даже сильно не спешить. Но я думаю, что через пять лет это будет большим рынком. Сегодня оборот Уанета оценивается в $10-20 млн. в год, то есть 1-2% составит $100-200 тыс. - и это все, на что может претендовать рынок безопасности. Это практически ничего. И на эти деньги построить компанию невозможно. Но вот если взять, например Россию, где обороты рынка оценивают в $1 млрд., то 1-2% - это уже $10-20 млн . Так что следует ждать, пока Уанет вырастет как минимум раз в 20.
 
Фото: proUA.com

Виктор  Найдан, proUA.com

Команда «Детектора медіа» понад 20 років виконує роль watchdog'a українських медіа. Ми аналізуємо якість контенту і спонукаємо медіагравців дотримуватися професійних та етичних стандартів. Щоб інформація, яку отримуєте ви, була правдивою та повною.

До 22-річчя з дня народження видання ми відновлюємо нашу Спільноту! Це коло активних людей, які хочуть та можуть фінансово підтримати наше видання, долучитися до генерування спільних ідей та отримувати більше ексклюзивної інформації про стан справ в українських медіа.

Мабуть, ще ніколи якісна журналістика не була такою важливою, як сьогодні.
У зв'язку зі зміною назви громадської організації «Телекритика» на «Детектор медіа» в 2016 році, в архівних матеріалах сайтів, видавцем яких є організація, назва також змінена
Виктор Найдан, proUA.com
* Знайшовши помилку, виділіть її та натисніть Ctrl+Enter.
11643
Читайте також
14.04.2009 17:27
Сергей Сухобок, proUA.com
20 463
07.04.2009 17:27
Ирина Миронова, Олег Гавриш, «Коммерсантъ»
6 672
02.03.2009 06:56
Ігор Радзієвський, Богдан Червак, для «Детектор медіа»
71 391
26.02.2009 10:45
Анастасия Голицына, «Ведомости»
42 100
12.02.2009 06:49
Георгій Почепцов
, для «Детектор медіа»
22 408
Коментарі
1
оновити
Код:
Ім'я:
Текст:
чытаДтч
5495 дн. тому
Нормально объяснил. Спсб.
Долучайтеся до Спільноти «Детектора медіа»!
Ми прагнемо об’єднати тих, хто вміє критично мислити та прагне змінювати український медіапростір на краще. Разом ми сильніші!
Спільнота ДМ
Використовуючи наш сайт ви даєте нам згоду на використання файлів cookie на вашому пристрої.
Даю згоду