ИТ-портал компании «Инфосистемы Джет»

DDoS or not DDoS. Так есть ли услуга?

DDoS or not DDoS. Так есть ли услуга?

В последние полтора года мы всё чаще слышим: «вы можете предложить эффективную защиту от DDoS?». Очевидно, что компании, работающие на самых разных вертикальных рынках, готовы платить за эту услугу, а провайдеры идут к тому, чтобы предлагать ее на рынке. Эта статья – разговор о DDoS без использования специализированных терминов. Мы обсуждаем, почему DDoS-атаки так опасны, кто от них страдает, оцениваем необходимость в защите от DDoS и, наконец, описываем особенности ее эффективной организации.

Что такое DDoS, и кому он не нужен

Распределенный отказ в обслуживании, или DDoS-атака – одна из наиболее распространенных угроз для бизнеса, который не может успешно функционировать без своего присутствия в интернет-пространстве. Объектом атаки чаще всего выступают электронные торговые площадки, предвыборные кампании в интернете, ресурсы публичных людей или интернет-СМИ. DDoS-нападение напрямую не приводит к краже данных или денег, его цель – повлиять на доступность ключевых для бизнеса web-сервисов и систем, что опосредованно наносит финансовый ущерб и влечет за собой репутационные риски.

Угроза в действии, или «Тогда мы идем к вам»

Сервер, работающий в Интернете, – это комплекс, состоящий из большого числа компонентов: аппаратной платформы, операционной системы, бизнес-приложений, вспомогательных программ, сетевой инфраструктуры, средств защиты, каналов в Интернет и т. д. Чтобы сделать приложение недоступным из Интернета, не обязательно выводить из строя именно его – удар может быть направлен на любой из перечисленных элементов. Один из вариантов проведения DDoS-атаки – вывести из строя канал в Интернет, передавая по нему так много «мусорных» данных, чтобы пользователи не могли дождаться ответа приложения.

Грамотное проектирование инфраструктуры и приложений, которые используются для предоставления интернет-сервисов, позволяет противостоять небольшим нападениям или масштабным атакам в их начале. Идея в том, чтобы «продержаться» до тех пор, пока DDoS-атака не будет идентифицирована и не заработают механизмы защиты.

Но большое число компонентов в комплексе не позволяет учесть все нюансы: при усилении «давления» узкое место с большой вероятностью будет обнаружено. И цель атаки будет достигнута быстрее, чем было запланировано при разработке решения по защите. Усилить «давление» можно, увеличив число пакетов, соединений или запросов, которые должен обработать сервис. Эта задача, как правило, недостижима при использовании одного компьютера, и здесь «на помощь» атакующим приходят ботнеты.

DDoS-атаки безнаказанны…

Периодически информация о масштабных нападениях DDoS попадает на первые полосы газет. Достаточно вспомнить события декабря – сообщения об атаках на ряд интернет-ресурсов во время проведения выборов в Государственную Думу.
Газета.ру, 5 декабря 2011 г.:

В воскресенье из-за масштабной DDoS-атаки был выведен из строя ряд сайтов информационных ресурсов. В итоге в день выборов перестали работать сайты радиостанции «Эхо Москвы», журналов «Большой город» и The New Times, интернет-порталов Slon.ru и Public Post, «Каспаров.Ru» и петербургского «Закс.Ru».

Если говорить о сфере бизнеса, в прессе в этом году активно обсуждали DDoS-атаку серверов эквайринговой компании «Ассист».
Lenta.ru, 24 июня 2011 г.:

Лефортовский суд Москвы постановил арестовать Павла Врублевского, подозреваемого в хакерской атаке на сайт компании «Ассист» – участника проекта интернет-эквайринга для «Аэрофлота», сообщает «Интерфакс». По мнению следствия, в октябре 2008 года он организовал на серверы «Ассиста» DDoS-атаку, вследствие чего клиенты авиакомпании не могли приобрести электронные билеты.

Приходится констатировать, что в России на данный момент нет прецедентов раскрытия дел, связанных с DDoS-атаками. Законодательство, юридическая практика и квалификация правоохранительных органов в этой сфере настолько не развиты, что сложности возникают даже на этапе подачи заявления в органы полиции. В качестве примера можно привести историю с LiveJournal Russia.
Газета.ру, 22 августа 2011 г.:

…Оперуполномоченный отдела уголовного розыска ОВД «Дорогомилово» установил, что вовремя нападения хакеров подключения к LiveJournal осуществлялись из регионо вРоссии, стран Азии, Африки, Европы и Южной Америки. Но «идентифицировать неправомерные запросы» в полиции не смогли «в связи с большим объемом пользователей». На этом основании в ОВД «Дорогомилово» приняли решение об отказе в возбуждении уголовного дела «за отсутствием события преступления».

Существующее законодательство позволяет привлечь к ответственности лишь за заражение компьютера, но не за сам DDoS. Такая ситуация оставляет компании совершенно незащищенными. Все, что остается, – оценить вероятность атаки именно вашего интернет-сервиса и заняться поиском оптимального с точки зрения уровня защищенности и необходимых финансовых вложений решения. Как говорится, «спасение DDoS-атакуемых – дело рук самих DDoS-атакуемых».

Ряд российских интернет-компаний в первой половине 2011 г. инициировали внесение поправок в Уголовный кодекс РФ. Они предложили дополнить главу 28 УК «Преступления в сфере компьютерной информации» новыми квалифицирующими признаками, в том числе по организации и совершению DDоS-атак. Проект поправок в данный момент находится на согласовании.

И влекут за собой прямые убытки

Остановка web-сервисов ряда компаний ведет к неминуемым финансовым потерям для бизнеса. Можно снова обратиться к истории с «Аэрофлотом» и «Ассист»: по итогам атаки «Аэрофлот» оценил свой ущерб в 194 миллиона рублей, а «Аssist» потерял крупного клиента.

Для наглядной демонстрации масштаба угрозы ниже приведены примеры из финансового сектора.
Anti-Malware, 7 сентября 2009 г.:
...За прошедший август российская «дочка» France Telecom, компания Orange Business Services, предоставляющая телекоммуникационные сервисы для корпоративных заказчиков, зарегистрировала и отразила атаки типа «отказ в обслуживании» (DDoS) на четыре крупнейших российских банка, в том числе и на Альфа-банк. Вице-президент Альфа-банка и заместитель руководителя блока «Информационные технологии» Альфа-банка Андрей Соколов подтвердил наличие проблемы. По его словам, активность в сфере DDoS-атак значительно выросла за последние два года.

«Вебпланета», 23 июня 2011 г.:
Сайт «ЮниКредитБанка» сегодня весь день недоступен. Как сообщили «Вебпланете» специалисты по безопасности, сайт находится под DDoS-атакой, которая началась сегодня с утра и продолжается весь день.

Как правило, атаки носят длительный характер и успешно «кладут» web-сервис минимум на один рабочий день. Предположим, что этот день – часть периода, когда компании платят налоги. Умножим среднее число транзакций в день на среднюю сумму платежного поручения. Полученный результат – сумма иска, который могут предъявить клиенты. Думаем, что часть из них на момент подачи иска будет искать другой банк и в красках объяснять своим деловым партнерам причины, которыми этот переход вызван.

Самое неприятное, что стоимость атаки для злоумышленников несопоставимо мала по сравнению с наносимым ущербом: простой запрос в Yandex и Google выдает результаты от $40 за 1 час атаки.

Чему быть, от того не защититься?

Для начала необходимо настроить традиционные сетевые средства защиты таким образом, чтобы не принимать пакеты, не соответствующие стандартам. Они способны противостоять первым, «пробным» атакам. Другой тип DDoS-нападения – атака «кривыми» запросами, на обработку которых сервер тратит слишком много ресурсов. Для защиты от этого используют специализированные аппаратные решения, которые принимают удар на себя.

Более интересно с точки зрения «науки» организации обороны противостояние запросам, которые сложно отличить от корректных по внешним признакам. Их выявление возможно благодаря статистике: атакующие компьютеры отличаются по поведению и расположению от обычных. Если «научить» систему определять, что является стандартным поведением при работе с сервисом, появится возможность обнаруживать отклонения от нормального профиля. Такие системы принимают решение по многим параметрам, что позволяет, например, отличить всплеск активности на сайте, вызванный успешной рекламной кампанией, от атаки. Эти сценарии эффективны в тех случаях, когда атакующими не были обнаружены уязвимости, связанные с ошибками в программном коде сервера и ОС.

Несмотря на кажущуюся простоту построения системы защиты от DDoS-атак, компании остаются уязвимыми даже в том случае, если применяют описанные решения. Основных причин этому две. Первая заключается в особенностях архитектуры организации доступа во внешний мир. Канал в Интернет предоставляет провайдер, и на его стороне находятся активное сетевое оборудование, каналы, DNS-серверы, обеспечивающие пользователю доступ в Интернет. В любой момент исполнитель атаки может проверить провайдера «на прочность» и попробовать «положить» канал.

Вторая причина – наличие профи среди атакующих. Атака может длиться сутками, а используемые способы – варьироваться. Как результат, противодействовать DDoS-нападению с помощью только технических средств невозможно. Компания, находящаяся под ударом, для отражения атаки должна либо уже иметь в штате специалиста должной квалификации, либо уметь быстро его найти.

Услуга от оператора – DDoS не пройдет

Подавляющее большинство компаний после пережитой ими DDoS-атаки готовы целенаправленно решать задачу по организации защиты. И здесь возникает противоречие: организация и проведение закупки, инсталляция необходимого оборудования, содержание штата специалистов требуют капитальных инвестиций в систему, не обеспечивающую ключевые потребности бизнеса компании. При попытке оптимизации расходов возникает вполне разумная идея – передать функцию защиты провайдеру. Это позволяет избежать CAPEX'а, точно прогнозировать OPEX, получать высокий уровень поддержки и опираться на компетенцию оператора при решении возникающих проблем. Учитывая тренд на размещение оборудования не в собственных серверных, а в коммерческих ЦОД, такой подход стимулирует спрос на защиту от DDoS как услугу. Тому, кто «хранит» оборудование, проще его охранять, тем более что провайдер не меньше, а то и больше заинтересован в защите от DDoS-атак. Еще один аргумент: защита от DDoS не является ключевой составляющей бизнеса, поэтому ее можно без опаски отдать «на сторону».

Если говорить об интересах операторов, то ранее нанесенный им финансовый ущерб и возможные репутационные риски заставили или в ближайшем будущем заставят всех крупных провайдеров инвестировать в системы защиты от DDoS. Дело в том, что часть их клиентов стабильно отказываются оплачивать счета за большой трафик, сгенерированный в результате атаки. И претензии такого вида исчисляются десятками. С каждой претензией работают департамент обслуживания абонентов, юридическая служба, службы эксплуатации и технической поддержки. Расходы на обслуживание этого «бизнес-процесса» в сумме с убытками, связанными с отказом абонентов оплачивать фактически чужой трафик, обычно полностью покрывают затраты на проект по развертыванию системы защиты от DDoS. Весомым является и тот факт, что от атаки на интернет-сервис клиента страдает и сам оператор – у него «ложится» канал. Дополнительный стимул исходит от экспертов-аудиторов, указывающих на необходимость запуска оператором дополнительных сервисов для своих абонентов. Как результат, в настоящее время практически все операторы завершили оценку спроса и формирование предложения по защите от DDoS в составе портфеля услуг MSS (Managed Security Services).

DDoS или DOSтуп

Производители специализированных средств способны реализовать разные уровни защиты, начиная от информирования о начале атаки и заканчивая установкой фильтрующих трафик решений. В то же время на рынке зачастую присутствует минимум информации о решениях и масса слухов, и одна из основных задач провайдера – продемонстрировать компаниям, какие возможности по защите от DDoS у них есть. В результате оператор значительно снизит репутационные риски, а компании осознают, от каких видов атак защита обеспечена, а с какими придется справляться самим.

Пристальное внимание стоит обратить на SLA. В свое время мы столкнулись с ситуацией, когда документа, описывающего качество и объем оказания услуги защиты от DDoS, у провайдера не было. Правильно составленный SLA позволяет заказчику выбирать услугу намного более осознанно, а оператору – избежать исков от клиента, которого не удалось защитить на 100%.

Компаниям важнее приобрести не столько «информационное табло», говорящее о факте DDoS-нападения, сколько профессиональную защиту своих интернет-сервисов. При этом защита от идущей DDoS-атаки – прежде всего серьёзная инженерная задача. Эффективной представляется совместная работа технических решений и специалистов, анализирующих ситуацию в течение всей атаки.

В заключение хотелось бы сказать, что рынок оказания услуг по защите от DDoS-атак в нашей стране находится в стадии становления. Компании уже готовы платить за эту услугу, но «меню», содержащее описание вариантов услуги и цены на них, пока «написано от руки». Клиенты ожидают увидеть предложения, содержащие актуальную и полную информацию о возможностях провайдеров. Как только операторы смогут их предоставить, мы увидим внушительный рост рынка защиты от DDoS-атак.  

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su