Аббревиатура DDoS сегодня обозначает один из способов злоумышленного нарушения работы ресурсов IP-сети. Появление этого оружия электронной войны является типичным примером того, как некогда полезная и безобидная технология проверки пропускной способности сети стала использоваться ей во вред. Злоумышленники довольно быстро осознали потенциал этой технологии для организации разрушительных атак, в результате которых доступ легитимных (правомерных) пользователей к запрашиваемым ресурсам Интернета серьезно затрудняется или становится полностью невозможным.

Сначала появились атаки вида DoS (Denial of Service, буквально с английского - отказ в обслуживании). Они осуществляются путем направления на атакуемую цель (Интернет-ресурс) потока бесполезной информации, которая затрудняет или блокирует нормальное функционирование данного Интернет-ресурса. Чуть позже «оружие» было усовершенствованно до DDoS (Distributed Denial of Service – букв. распределенный отказ в обслуживании), т.е. его начали применять одновременно из многих точек. При этом самое неприятное состоит в том, что путем подделки исходных адресов агрессор делает невозможным свое обнаружение и «уничтожение» (блокировку его IP-адреса).

Цель DDoS атаки - полная блокировка либо существенное затруднение работы атакуемого сетевого ресурса. Технически она заключается в скоординированной посылке огромного количества ложных запросов на атакуемый ресурс от множества компьютеров, расположенных в разных концах света. В результате атакуемый сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Для атакуемого сервера это даже не «ковровая» бомбардировка и не расстрел из сотни крупнокалиберных пулеметов. Это что-то вроде направленного ядерного взрыва. Ситуация усугубляется тем, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их ПК используется злоумышленниками, тайно внедрившими на их компьютеры специальные троянские программы, которые принято называть «зомби».

Чаще всего злоумышленники при проведении DDoS-атак используют трехуровневую архитектуру, которую называют «кластер DDoS». Общая схема DDoS атаки представлена на рис. 1.



Рис.1 Общая схема DDoS атаки

Во главе иерархии находится управляющая консоль (их может быть несколько), т.е. компьютер, с которого злоумышленник подает сигнал о начале атаки. Далее следуют главные компьютеры (их на одну консоль в зависимости от масштабов атаки может приходиться до нескольких сотен) – машины, которые получают сигнал об атаке и передают его агентам-«зомби». Последние и атакуют жертву. Распределенная группа контролируемых злоумышленником зараженных компьютеров (ботов) называется бот-сеть.

Проследить такую структуру в обратном направлении и выявить адрес узла, организовавшего атаку, практически невозможно. Максимум того, что может атакуемый, это определить адреса агентов. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но в данной ситуации и компьютеры-агенты, и главные компьютеры сами являются пострадавшими (скомпрометированными).

В настоящее время объектами DDoS-атак становятся не только отдельные популярные сетевые ресурсы и корпоративные серверы, но и даже группы информационных ресурсов Интернет-провайдеров. В этой связи памятна продолжительная DDoS-атака на серверы Южной телекоммуникационной компании (ЮТК) летом 2007 года. Тогда ее жертвами оказались все адреса ЮТК и ее клиентов.

Результатом проведения DDoS-атак может быть выход из строя не только отдельных узлов и сервисов, но и частичное или полное прекращение функционирования сети атакуемого. Как минимум падает быстродействие сайтов, что, несомненно, вызывает недовольство клиентов и других пользователей. Нарушаются обязательства по договорам обслуживания, и провайдерам приходится возвращать значительные финансовые средства за неоказанные услуги. Урон репутации компании, уменьшение прибыли, рост расходов на IT, судебные издержки – вот лишь некоторый перечень возможных последствий. Так, по оценкам Forrester, IDC и Yankee Group убытки от 24-часового перерыва в работе для крупной компании в сфере электронной коммерции могут достигать $30 млн. Серия атак DDoS на Amazon, Yahoo, eBay и другие крупные сайты в феврале 2000 года, по оценкам Yankee Group, принесла совокупные убытки в размере $1,2 млрд. А в январе 2001 года Microsoft из-за атаки DDoS на ее сайт потеряла около $500 млн всего за несколько дней.

По статистике Департамента ИБ компании ТТК в 2005 году было зафиксировано 26, в 2006 году – 53, в 2007 – 114 DDoS-атак, т.е. наблюдается более чем двукратный ежегодный рост DDoS-нападений. Причем, растет как частота, так и длительность атак. Очевидно, что необходимо совершенствовать средства и методы отражения этих разрушительных атак, выявлять уязвимые точки и повышать их уровень защиты.

Вместе с тем, приходится констатировать, что способы борьбы с DDoS-атаками, которые применяются сегодня, не позволяют полностью устранить данные угрозы и не могут обеспечить 100-процентную надежность и непрерывность работы информационных систем.

Так, современные системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS) позволяют выявлять DDoS-атаки, однако эти системы не защищают соединение с оператором связи более высокого уровня, которое может быть перенасыщено или даже полностью заблокировано мусорным трафиком. Более того, зачастую этим системам просто не хватает производительности, чтобы справиться с атакой.

Важную роль в системе ИБ играют межсетевые экраны, в которых содержатся механизмы детектирования и противодействия DDoS-атакам по заранее заданным правилам. Но они не способны справиться с массированным DDoS-нападением с большого количества подделанных IP-адресов.

Для противодействия DDoS нападению операторами используется технология BlackHole («черная дыра»), когда трафик для атакуемых адресов из адресного пространства клиента полностью блокируется в сети оператора. Данный метод также нельзя назвать удачным, поскольку вместе с враждебным трафиком отбраковываются и благонадежные пакеты. Фактически злоумышленник с помощью оператора прекращает доступ к атакуемому ресурсу, то есть добивается своей основной цели. Кроме того, маршрутизация в «черные дыры» не оптимизирована для борьбы с современными видами атак, которые становятся все более и более изощренными.

Применение избыточных ресурсов – закупка дополнительной полосы пропускания или резервных сетевых устройств, которые помогут справиться с любым пиковым ростом нагрузки – экономически не всегда оправдано. И, независимо от первоначального эффекта, для того чтобы истощить эти дополнительные мощности злоумышленникам понадобится лишь увеличить масштабы атаки.

Jordano писал(а):интересно, во сколько можно оценить затраты заказчика в твоем случае ? такие вещи далеко не бесплатные.

irakly писал(а):Миром правит секс и irakly.info

monitorpop.gif

Ell писал(а):я не спец, но мне кажется мотивы атаки не политические.
на наших ресурсах пишут об этой напасти так.
http://www.rosinterline.ru/methods_of_p ... tacks.html

Jordano писал(а):интересно, во сколько можно оценить затраты заказчика в твоем случае ? такие вещи далеко не бесплатные.