DDoS-атаки в последние несколько лет стали одним из самых распространенных преступлений в киберпространстве. Чаще всего хакеры организуют подобные нападения на серверы государственных органов и крупных бизнес-структур. Более того, в 2004 году появился такой вид преступлений, как шантаж возможностью проведения DDoS-атаки.
DDoS-атака – распределенная атака типа отказ в обслуживании (DDoS – Distributed Denial of Service). Сегодня она является одной из самых распространенных и опасных сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы. По существу, атака DoS нарушает или полностью блокирует обслуживание законных пользователей, сетей, систем и иных ресурсов. Результат таких атак – длительные простои системы, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер.
По данным Computer Emergency Response Team (CERT) – авторитетной международной организации в области безопасности Интернета, количество DDoS-атак резко возросло именно в последние годы, хотя сама технология известна уже достаточно давно. Новейшие информационные технологии теперь активно используются организованными преступными группировками. Впрочем, мотивация атакующих может быть самой различной: мелкая месть, чрезмерно рьяная конкуренция или вымогательство. Независимо от конкретных причин, цель атакующих – поставить систему-мишень на колени, задействовав множество атак в диапазоне от локального прекращения сервиса до массивного DDoS-"наводнения".
Большинство DDoS-атак базируется на использовании уязвимостей в основном протоколе Internet (TCP/IP), в частности, на способе обработки системами запроса SYN. Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить свою анонимность, используют ложные исходные адреса. Таким образом, значительно затрудняется выявление реальных злоумышленников. Кроме того, широкое распространение DDoS-атак показало несостоятельность традиционно применявшихся в глобальной Сети технологий обеспечения безопасности. Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows NT/XP и роста Интернета. Операционная система Windows – мишень для абсолютного большинства взломщиков. Кроме того, многие средства DDoS очень легкодоступны, и для их использования не требуется высокая квалификация.
Существует два основных типа атак, вызывающих отказ в обслуживании. Первый тип приводит к остановке всей работы системы или сети. Если взломщик посылает жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке, значит, взломщик проводит атаку DDoS, поскольку никто не сможет получить доступ к ресурсам. С точки зрения взломщика, эти атаки хороши тем, что с помощью нескольких пакетов можно сделать систему неработоспособной. В большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима перезагрузка системы администратором. Таким образом, первый тип атак является наиболее разрушительным, поскольку осуществить атаку легко, а для устранения ее последствий требуется вмешательство оператора.
Второй (более распространенный) тип атак приводит к переполнению системы или локальной сети с помощью такого большого количества информации, которое невозможно обработать. Например, если система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет 20 пакетов в секунду, то когда законные пользователи пытаются подключиться к системе, они получают отказ в обслуживании, поскольку все ресурсы заняты. При такой атаке злоумышленник должен постоянно переполнять систему пакетами. После того как он перестает заполнять систему пакетами, проведение атаки прекращается, и система возобновляет нормальную работу. Этот тип атаки требует больше усилий со стороны взломщика, поскольку ему необходимо постоянно активно воздействовать на систему. Иногда этот тип атаки приводит к остановке системы, однако в большинстве случаев восстановление после проведения этой атаки требует минимального вмешательства человека.
При проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего это сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем. Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов, становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений. Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействовано 1000 машин, то блокировать их становится чрезвычайно трудно.
Причем, как правило, атака против единственной жертвы проводится с множества компьютеров, разбросанных по всему миру. Если даже проводимые с одного источника атаки DDoS бывает сложно предотвращать, то можно себе представить, насколько сложнее защищаться от таких атак, которые проводятся с множества машин, расположенных в разных местах. К тому же от атак DDoS защититься довольно сложно еще и потому, что жертва никогда не может исключить полностью возможность ее проведения. Если компьютерная система подключается к Интернету, то всегда есть вероятность того, что взломщик может отправить в нее такое количество данных, которое она будет не в состоянии обрабатывать.
Вот конкретный пример того, как организовываются DDoS-атаки в наши дни – посредством комбинирования компьютерных технологий и приемов социальной инженерии. В Интернете в начале января 2005 года компьютерной компанией Sophos была зафиксирована рассылка почтового вируса, маскирующегося под просьбу помочь жертвам цунами в Юго-Восточной Азии. Вирус приходил в виде письма с заголовком "Tsunami dotation! Please help!" ("Пожертвования на цунами, пожалуйста, помогите") и приложенным исполняемым файлом "tsunami.exe". Собственно, этот файл и содержал вирус. При активации он заражал компьютер пользователя, рассылал свои копии по всем найденным в компьютере адресам и готовился совершить DDoS-атаку на один из немецких хакерских сайтов.
Естественно, принципиально важный вопрос для специалистов в области компьютерной безопасности – способы защиты от DDoS-атак. Универсального "рецепта" нет до сих пор. Пока основное средство – быстрое обнаружение и способность сосредоточить силы чрезвычайного реагирования интернет-провайдера. Провайдер, получив тревожный сигнал, обязан моментально развернуть входные фильтры, чтобы блокировать "мусорный" трафик в тех точках, где он входит в сеть провайдера. Пока это лучший способ подготовиться к массированной DDoS-атаке и при необходимости быстро ее остановить. Для примера: основной хост-сервер Пентагона подвергается в среднем ста DDoS-атакам в неделю, но благополучно с ними справляется именно благодаря собственной "системе быстрого реагирования".
Следует помнить, что большинство операционных систем (от Windows до многих версий UNIX), маршрутизаторов и компонентов сетей, которые должны обрабатывать пакеты на каком-либо уровне, являются уязвимыми для атак DDoS. Хотя атаки DDoS предотвратить довольно сложно, ограничение доступа к важным учетным записям, ресурсам и файлам, а также защита их от неправомочных пользователей может существенно затруднить проведение многих атак DDoS.
Аналитики уже давно предсказывают, что в будущем DDoS-атаки будут одним из основных видов оружия в кибервойнах. В Интернете уже давно бушуют конфликты – от дилетантских взломов сайтов небольших фирм до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. Но пока DDoS-атаки все же чаще используются организованными преступниками в своих целях.
Спрос порождает предложение. По сообщению ряда СМИ, уже и в Рунете появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за 150 – 250 USD в сутки. Правда, многие эксперты утверждают, что за предложением "убить" веб-страницу по предоплате может скрываться обычное мошенничество.
Типичное рекламное предложение этой "услуги" выглядит примерно так: "Мы рады вам предоставить качественный сервис по устранению сайтов, мы можем положить любой сайт нашей атакой, которая называется DDoS-атака". Согласно прайс-листу, шестичасовой простой веб-сайта обойдется заказчику в 60 USD, а суточный – в 150 USD. По предоплате. Однако, судя по всему, серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют организованные криминальные структуры.
Специалисты хорошо знают: преступления в сфере компьютерных технологий специфичны прежде всего тем, что имеют высокий уровень латентности. Так, по данным Национального отделения ФБР по компьютерным преступлениям, от 85% до 97% компьютерных посягательств не выявляются либо не предаются огласке. По оценкам других экспертов, латентность компьютерных преступлений в США достигает 80%, в Великобритании – до 85%, в ФРГ – 75%, в России – более 90%.
Причина такой ситуации в том, что многие организации, по тем или иным мотивам, разрешают конфликт своими силами, не обращаясь к правоохранительным органам. Чаще всего это боязнь огласки и, как следствие, потери репутации в деловых кругах. Другой распространенный вариант – опасения топ-менеджеров, что начавшееся расследование вскроет и их собственные грязные делишки. В результате пострадавшие от DDoS-атак бизнес-структуры в большинстве случаев решают эту проблему исключительно организационно-техническими методами. И, как следствие, способствуют тому, что организаторы DDoS-атак остаются безнаказанными.