Как уберечься от DDoS-атак?

В один не самый прекрасный день любой из деловых сайтов может подвергнуться хакерской атаке, предпринятой с далеко не благими намерениями. Так например, 19 ноября ОАО "Центр развития экономики”, имеющее семилетий опыт ведения электронных торгов и более известное под именем B2B-Center, довело до сведения пользователей своей системы электронной торговли B2B-Center информацию о том, что на серверы этой системы производится мощная DDoS-атака, вследствие чего возможно увеличение времени отклика данной системы на действия пользователей.

В ОАО предполагают, что цель хакеров — дезорганизовать работу системы электронной торговли B2B-Center и нанести компании экономический ущерб. "В течение последних нескольких дней наша система презентуется в государственных органах и на специализированной выставке, поэтому есть основания полагать, что заказчиками данной атаки могут выступать конкуренты компании, которые не брезгуют незаконными способами борьбы за долю соответствующего рынка, — утверждает пресс-служба "Центра развития экономики”. — Данная ситуация не представляет угрозы для функциональности системы и проведения торговых процедур. Тем не менее, специалисты B2B-Center проводят оперативные мероприятия по установке лиц, причастных к организации хакерской атаки, а также предпринимают действия необходимые для стабилизации работы системы”.

На кого нацелены кибер-атаки?

Такого рода подозрения не лишены оснований, ведь против случайно выбранных Web-ресурсов DDoS-атаки не организуются. Более того, в последнее время много разговоров ведется о так называемых кибервойнах, к которым якобы уже сейчас готовятся 120 стран мира. Так может, на торговой системе B2B-Center спецслужбы испытывают новое кибероружие?

"Безусловно DDoS-атака, как метод, входит в арсенал кибервойны, — говорит ведущий специалист McAfee Алексей Чередниченко. — Не секрет, что данные атаки используются не только в конкурентной борьбе. Порой они заставляют замолчать политический голос или принимают формы ответных мер против правительственных мнений или правил. И такие акции стоят ближе к военным действиям, чем вывод из строя торговой системы, во всяком случае, до тех пор, пока на ней не базируется критическая масса экономически важных для страны процессов. В качестве примеров можно привести политически мотивированную атаку, чтобы заставить замолчать грузинский activist6 и угрозы против австралийского правительства. Но в данном случае совершенно очевидно, что это никакое не испытание, DDoS-атаки — метод давно испытанный и довольно совершенный. Он широко применяется киберпреступниками по всему миру”.

"Да, DDoS-атаки уже давно стали неотъемлемой частью нашей жизни, — соглашается с ним руководитель группы технических специалистов Symantec в России и СНГ Кирилл Керценбаум. — Для владельцев критически важных приложений, особенно Web-сервисов и Web-приложений, на сегодняшний день это фактически самая большая головная боль, Сегодня, при условии огромного парка ПК, а также с развитием технологий бот-сетей, организация DDoS-атаки является очень простой и достаточно дешевой задачей”.

На дешевизну и распространенность DDoS-атак указывает и аналитик компании "Доктор Веб” Валерий Ледовской: "В конкурентных войнах для получения прямой экономической выгоды DDoS-атаки в последние годы применяются очень часто. Многие крупные интернет-порталы в своей "жизни” хотя бы раз сталкивались с подобной проблемой. Эти атаки не требуют существенных вложений, методы их реализации уже отработаны злоумышленниками, а их относительная эффективность является определяющим фактором для дальнейшего распространения. В то же время далеко не всегда организаторами таких атак преследуются экономические цели. В частности, достаточно обратиться к примеру грузино-российского конфликта, когда DDoS-атаки использовались для блокировки сайтов крупнейших информационных агентств, чтобы ограничить поток той или иной информации”. Впрочем, с дешевизной хорошо спланированных распределенных DDoS-атак согласны не все. Но об этом чуть ниже.

Методы защиты от кибер-атак

Когда происходит какой-либо инцидент, то ищется ответ не столько на вопрос "Кто виноват?”, сколько на вопрос "Что делать, дабы такого рода ситуация больше не повторилась?” А в самом деле, что?

"DDoS-атака заключается в том, что на сервер идет очень много запросов и он попросту не справляется с их обработкой, — говорит генеральный директор компании S.Builder Дмитрий Новиков. — Противостоять такого рода атаке можно, но многое зависит от того, насколько грамотно она организована и с каким масштабом. Например, если сервер атакует небольшое количество серверов, то можно просто заблокировать их IP-адреса или пул этих адресов. Можно написать скрипт (или воспользоваться готовым программным обеспечением), который будет это делать автоматически. Но если атака идет, например, с сотен тысяч компьютеров по всему миру, которые просто заражены определенным вирусом, которым управляют злоумышленники, то такой атаке противостоять практически невозможно. Ведь это обычные компьютеры и их владельцы (хакеры поневоле) скорее всего понятия не имеют, что участвуют в атаке. Владельцы данных компьютеров ничем не отличаются от реальных посетителей сайта. Соответственно, здесь нужно только ждать и/или наращивать серверные мощности, чтобы они в единицу времени "переваривали” большее количество запросов. В идеале — все поступающие запросы, включая и запросы хакеров. Безусловно, если сайту для работы нужно много серверных ресурсов, то "положить” его DDoS-атакой гораздо проще. С другой стороны, "положить” можно даже статичный маленький сайт, просто для этого понадобится больше запросов”.

По мнению Валерия Ледовского, "наиболее эффективными средством против DDoS-атак является введение ограничений на создание множества одновременно посылаемых запросов к серверам, которые необходимо обрабатывать. Например, с помощью технологии CAPTCHA, т. е. автоматически генерируемых изображений, содержащих какой-либо набор символов, которые пользователь должен ввести для того, чтобы обработка его запроса началась. Но сама по себе генерация таких изображений может создать большую нагрузку на сервер, если запросов будет слишком много. На уровне хостера можно использовать различную фильтрацию запросов, т. е. автоматически определять запросы, которые являются частью атаки и блокировать их, не запрещая обращение к ресурсам сервера легальным пользователям”.

Однако не все так просто. "Чтобы эффективно противостоять DDoS-атаке, требуется, как правило, очень сложное и дорогостоящее оборудование и ПО, которое по причине отсутствия достаточного количества средств может быть просто недоступно компании, — отмечает Кирилл Керценбаум. — Поэтому, с учетом того, что DDoS-атаки в последнее время набирают популярность, особенно в области недобросовестной конкуренции, то борьба с ними в основной части ложится на плечи провайдеров, так как лишь единицы крупных компаний, в основном телекоммуникационной сферы, могут себе позволить делать это самостоятельно. Что касается данного случая, то пока рано говорить о том, в чем его причины и на ком лежит ответственность. Хотя, судя по всему, сервис остался доступен при определенных ограничениях или замедлениях в скорости обработки запросов. Это говорит о том, что либо DDoS-атака была не очень сильной, либо B2B-Center изначально с абсолютной серьезностью отнесся к построению отказоустойчивой и защищенной среды”.

А вот мнение Алексея Чередниченко: "Если говорить об уязвимостях, позволяющих злоумышленникам проводить успешные атаки, то опыт доказывает, что, в первую очередь, следует укреплять систему безопасности на уровне инфраструктуры хостинга. Существуют специализированные средства предотвращения DDoS-атак, их применение позволяет не только резко снизить последствия таких атак, но и успешно противостоять им. Другой подход, основанный на комплексной очистке интернет-трафика на стороне провайдеров, также позволит активно противодействовать DDoS атакам, распознавая и уничтожая "на лету” разнообразный вредоносный код, подрывая тем самым основы их проведения — формирование элементов ботнет сетей. К сожалению, применение данных подходов и средств, является пока не таким дешёвым решением. Особенно в условиях кризиса. К тому же информационная безопасность находится в постоянной гонке со злым умыслом, DDoS-атаки становятся все более изощрёнными, массовыми и результативными, и полностью исключить успех такой атаки порой бывает очень сложно”.

"На сегодняшний день проблема DDoS-атак во всем мире стоит очень остро, — говорит технический менеджер Kerio Technologies в России и СНГ Роман Павлов. — Есть большое количество рекомендованных мероприятий по защите сервисов компании от такого типа атак. Защита выстраивается на уровне фильтрации нежелательных потоков запросов на межсетевом экране, смене портов, тонкой настройкой самого Web -сервера, грамотной организацией методов доступа к отдельным сервисам Web-сайта при его разработке, созданием зеркал сайта и т. д. Однако, даже совокупность всех предлагаемых методов по отражению DDoS-атаки, является довольно слабым профилактическим средством и не может гарантировать защиту от мощных атак сетей "ботнетов-миллионников”. Такие меры могут оказать защиту только в случае распределённых DDoS-атак, выполняемых с небольшого числа "зомби-компьютеров”. Поэтому, если у пострадавшей организации достаточно денег, наиболее эффективным средством борьбы с атакой будут совсем не технические меры по поиску организаторов и заказчиков подобного нападения. Большинству же жертв остается только пережидать атаку, уповая на то, что у заказчика атаки денежный ресурс тоже ограничен. Проведение мощных, хорошо спланированных распределенных атак — дело довольно затратное”.

Итак, DDoS-атака, как и любая несмертельная болезнь, с течением времени проходит вне зависимости от качества лечения и потраченных на него денег. Мы будем с интересом ждать, смогут ли специалисты B2B-Center выявить заказчика DDoS-атаки, предпринятой против их торговой системы.