В последние годы атаки DDoS-на сайты перестали быть технической экзотикой, понятной лишь узкому кругу специалистов, и превратились в фактор ведения бизнеса. Сообщения оатаках DDoS проникают на страницы бизнес-изданий, от атак DDoS страдают крупные компании, политические партии, популярные сервисы Интернета.

Означает ли все это, что проблему атак DDoS невозможно решить только техническими средствами и нам предстоит приспособиться ко всем связанным с ней неудобствам, — ведь привыкли же мы к антитеррористическим проверкам пассажиров в аэропортах? Как это ни печально, но, по всей видимости, ответом на этот вопрос будет «да» — во всяком случае, в ближайшие несколько лет.

 

МЕТОДЫ И МОТИВЫ

Для специалистов технология организации атак DDoS не представляет секрета, но во избежание непонимания остановимся на нескольких деталях. Distributed Denial of Service (DDoS) — это специальный вид атаки на удаленную компьютерную систему, в процессе которой этой компьютерной системе направляются запросы на обслуживание с целью вызвать ее перегрузку. Такие запросы могут поступать как на прикладном уровне (например, обращение к какому-то конкретному url сервера Web по стандартному протоколу http), так и на различных уровнях сетевых протоколов. В частности, это могут быть пакеты UDP, забитые «мусором» и просто занимающие часть доступной интернет-серверу полосы пропускания; syn-пакеты, открывающие «бесконечное» количество сеансов TCP; и многое другое.

Технически атаки DDoS реализуются тремя различными способами:

  • Наименее опасный и кратковременный — «слэшдот-эффект», или публикация ссылки на «атакуемый» сайт на популярном сетевом ресурсе. По сути, это не атака, и мы включаем ее в общий список просто по причине сходства последствий (а также технических средств, предназначаемых для защиты от вредоносных действий).
  • Редкий, но достаточно мощный по своим последствиям, — организация атак DDoS при помощи специального ПО, добровольно запускаемого пользователями-волонтерами на своих компьютерах по всему миру. Наиболее известный пример — атака DDoS анонимных активистов, которые мстили международным платежным системам за отказ в обслуживании WikiLeaks.
  • Самый распространенный и неприятный — управляемые злоумышленниками атаки DDoS, организуемые через компьютеры, которые заражены компьютерными вирусами/червями. В современной терминологии такие дистанционно управляемые компьютерные вирусы называются ботами, а их сети — ботнетами.

Насколько можно судить, свыше 95% современных атак DDoS осуществляются именно при помощи ботнетов.

При всем многообразии атак DDoS причины их организации сводятся в конечном итоге к конкурентной борьбе между теми или иными структурами — коммерческими, политическими или общественными, — желающими в буквальном смысле «заткнуть рот» конкуренту или оппоненту. Впрочем, в ряде случаев такие атаки используются для прямого вымогательства денег или компрометации тех, кому приписывается их авторство, — мотивы могут быть самыми разными. Более того, в настоящее время атаки DDoS предлагаются как любой другой рыночный продукт: мощности ботнетов сдаются в аренду (причем не только для реализации подобных действий — но это, скорее, тема отдельной статьи). Таким образом, побудительной причиной организации атаки является извлечение выгоды от «оказания сервиса», в то время как мотивы заказчика оказываются скрыты.

В контексте статьи наиболее важно то, что в большинстве случаев центр координации атаки DDoS, то есть конкретные физические лица, ее организующие, почти всегда остаются неизвестными для ее жертв, и добраться до них, как правило, не представляется возможным.

 

СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ

Какие же существуют стратегии борьбы с атакой DDoS — теоретические и практические? Их не так много и сводятся они к следующим вариантам действий:

  • интеллектуальная обработка входящих запросов (фильтрация входящего потока с целью выявления «мусорных» запросов — задача нетривиальная; например, для так называемой атаки SYN flood используются SYN cookie);
  • стратегия «большой трубы» (наращивание мощностей для обработки входящих запросов в надежде, что рост производительности оборудования и ПО превысит увеличивающееся количество запросов, спровоцированных атакующей стороной);
  • стратегия защиты на ближних подступах (оповещение своего интернет-провайдера об IP-адресах, подлежащих фильтрации) и контратаки на дальних (интернет-провайдера атакующей стороны извещают о ведущейся атаке и просят помочь осуществить санацию атакующих компьютеров от вредоносного ПО).

Антикриминальная стратегия — действия по поимке и уголовному наказанию организаторов и исполнителей атаки DDoS — не рассматривается, поскольку в нынешних условиях представляется утопичной. Примеры успешной реализации этой стратегии крайне редки.

Что можно сказать по поводу эффективности каждой из перечисленных стратегий? Их действенность определяется доступными ресурсами, а также уровнем заинтересованности третьих лиц, которых атакуемая сторона стремится вовлечь в процесс.

Интеллектуальная обработка входящих запросов сама по себе достаточно полезна, но полной защиты от атак DDoS не дает и в принципе дать не может. Это вызвано тем, что в настоящее время практически исчез перекос между пропускной способностью каналов интернет-серверов и компьютеров конечных пользователей, которые в подавляющем большинстве случаев используются для организации атак DDoS.

В конце 1990-х – начале 2000-х годов, в период повсеместного распространения коммутируемого доступа, отдельный Web-сервер мог иметь интерфейс, пропускная способность которого в тысячи раз превышала скорость подключения конечного пользователя, и попытки «волонтерской» организации атак DDoS неизменно проваливались.

Теперь владельцы ботнетов зачастую оперируют пропускной способностью, которая на порядок или несколько порядков превышает возможности атакуемой стороны. Они способны завалить «мусором» входной канал атакуемого сервера Web, перекрыв к нему доступ для штатных пользователей.

Эффективность стратегии контратаки на дальних подступах можно оценить, исходя из практики борьбы со спамом. Если еще в начале 2000-х годов эта стратегия была хоть сколько-то эффективна и интернет-сообщество в лице его профессиональных участников предпринимало попытки самоорганизации с целью наведения порядка, то сейчас можно констатировать, что эти усилия оказались тщетными. Интернет-провайдеры не заинтересованы в очистке компьютеров своих клиентов от вирусов, так как это требует вложения дополнительных средств. Да и сама задача избавления от вредоносной программной фауны скорее относится к сфере вечной борьбы добра и зла — надежды на окончательное решение вопроса остаются призрачными. В конце концов, если на рынке имеется широкий выбор коммерческих антивирусов, а вирусные эпидемии происходят вновь и вновь, то на каком основании можно ожидать, что от вирусов будут избавлены именно те компьютеры, которые являются составной частью ботнетов?

Таким образом, атакуемой стороне остается применять две стратегии — фильтрацию на ближних подступах и «большую трубу». При этом часть мощностей по обработке повышенной нагрузки придется, по-видимому, передать на внешнее обслуживание, даже если увеличить собственные мощности.

Таким образом, внешние сервисы, защищающие от атак DDoS, могут гипотетически представлять из себя, в зависимости от задумки разработчиков, либо «мегафайерволл» с неограниченной пропускной способностью входных каналов со специальной настройкой на выявление «мусорных» пакетов DDoS, либо «мега-прокси-кэш» для радикального повышения скорости отдачи статического контента, либо, в предельном случае, — разновидность облачной системы, берущей на себя часть интеллектуальной обработки данных специфического ресурса Web. Впрочем, последний случай сводится, по сути, к «облачному хостингу», такому как Amazon.

Учитывая все вышеперечисленное, можно подвести промежуточные итоги. Задача построения Web-сервиса, устойчивого к атакам DDoS, безусловно, решаема, но она требует:

  • значительных ресурсов (необходимо построить систему, которая выдерживает почти любую нагрузку);
  • эффективной работы ИТ-менеджера по проектам (такую систему всегда приходится выстраивать максимально быстро и буквально «под огнем превосходящих сил противника»);
  • принятия мер, сходных со страхованием различных рисков в промышленности и быту (превентивное построение системы, полностью устойчивой к атакам DDoS, как правило, оказывается слишком дорогостоящим, но если неприятное событие случается, то убытки перекрывают расходы на поддержание такой системы; при этом надо учитывать, что события такого рода случаются далеко не всегда).

 

ЧТО ДАЛЬШЕ?

Можно ли надеяться, что описанная ситуация изменится? Да. И, возможно, относительно скоро. Число широкополосных подключений к Интернету растет, но у этого процесса, как и у пропускной способности каналов конечных пользователей, есть границы.

В то же время мощности операторов облачных хостингов растут опережающими темпами — как в части пропускной способности входящих каналов, так и совокупной производительности установленного серверного оборудования. Единственная нетривиальная задача по переносу Web-приложений в такие облака — отсутствие стандартизированных API, с помощью которых приложения можно было бы масштабировать на типичную для облачных вычислений среду со множеством отдельных виртуальных машин. Конечно же, это временная проблема: API будут сформулированы, стандартные библиотеки для них написаны, а Web-приложения переведены на использование данных библиотек.

Конечным итогом такой миграции станет ситуация, когда атакующая сторона будет вынуждена бороться не с конкретным сайтом/сервисом, который просто «не потянет» дорогостоящую модернизацию оборудования и канала, а с «облаком», где резервирование каналов и серверных мощностей распределяется между множеством клиентов. Учитывая, что стоимость процессорного времени и пропускной способности постоянно снижается (отрасль выпускает все более и более мощное оборудование, только попроси), соревнование между атакующей и атакуемой стороной из области «затыкания рта» очень быстро перейдет в значительно менее зрелищную — «поставить на деньги».

Момент этого перехода и будет знаменовать собой исчезновение атак DDoS как массового явления. Заткнуть рот оппоненту — это зрелищно, привлекательно и доставляет моральное удовлетворение. А сколько денег он потратит на организацию противодействия атаке DDoS, со стороны не видно, и потому удовлетворения не приносит.

Опираясь на текущий уровень и темпы развития технологий, можно прогнозировать, что описанную выше благостную картину мы увидим лет через пять – семь. Пройдут годы, и DDoS отправится в пыльную копилку древних технологических страшилок, где будет соседствовать с загрузочными вирусами и прочим неактуальным для современных систем старьем.

А пока владельцам сайтов остается только вертеться, подобно ужу на сковородке, подключая к ним те или иные внешние сервисы для фильтрации хотя бы каких-то видов атак DDoS. Чтобы статья не казалась голословным теоретическим умствованием, сошлюсь на несколько таких ресурсов:

  • Prolexic (http://www.prolexic.com/) — специализированная компания, осуществляющая очистку клиентского трафика от DDoS-мусора;
  • Armoraid (http://www.armoraid.com) — еще одна специализированная компания;
  • лаборатория Tison (http://www.tison.ru/index16.html) предоставляет защиту бесплатно, в исследовательских целях;
  • антиDDoS-решение от «Лаборатории Касперского» (http://www.kaspersky.ru/ddos-prevention).

В принципе, читателю проще воспользоваться Google и самостоятельно найти подобные сервисы — почти все они похожи, как близнецы, и опираются на одни и те же технологические подходы, что неудивительно. Описывать в 2011 году сервисы антиDDoS — это как несколькими годами ранее обозревать антивирусы для Windows. Несмотря на разный дизайн коробок, концептуально предлагаются одни и те же решения. Враг понятен, более-менее изучен, методы борьбы стандартны, и продукты различаются только качеством реализации, что в условиях нынешнего открытого рынка труда оказывается, скорее, вопросом эффективности разработок, а не результатом особых озарений отдельного гения в очках и свитере...

 

Сергей Нестерович — независимый эксперт в области ИТ-технологий.