special

Какая страна, такие у нее и DOS-атаки

Какая страна, такие у нее и DOS-атаки
Каждую неделю по крайней мере, хотя бы один общественно-политичский интернет-ресурс заявляет о DOS-атаке, которую он пережил. Проблему DDOS различные сайты решают  по-разному. Одни «отбиваются» своими усилиями, другие – привлекают провайдеров, третьи – «ложатся» и ждут, «когда же это все закончится».
Но всех обьединяет одно жгучее желание: найти злопыхателя. А также - как не допустить DDOS в следующий раз? И даже если первое желание впоследствии теряет актуальность, то задача «как защититься от атаки» - перманентна.

«proIT» обратился за ответом к заместителю председателя правления ИнАУ (Интернет Ассоциациа Украины) Александру Ольшанскому. Тем более, что  эту проблему он может рассмотреть c разных сторон — как президент крупнейшего в Украине хостинг-провайдера MiroHost.net и как член правления ИнАУ — самой авторитетной организации, которая занимается разрешением острых проблем в Уанет.

Начали нелукаво:

- Александр, извините за примитивный первый вопрос, но все же: можно ли с минимальными потерями «отбиться» от DOS-атаки?

- Можно

- Только не у всех в Украине это получается…

- Почему? Некоторые наши клиенты “отбивались”, и не один раз. В Украине ведь не бывает  атак мощностью больше  миллиона пакетов в секунду. Такого DDOS в Украине я не видел. Для нашей страны скорее характерны цифры порядка десятков тысяч пакетов в секунду.

-     Миллион - это  какие-то запредельные вещи.

- Нет, не запредельные. Для России, например, характерная величина может составлять порядка одного мегапакета в секунду (если это серьезная атака). Если говорить о мире, то мощность атак может быть еще больше. Поэтому в мире и существуют компании, которые защищают от DOS-атак. У нас была идея  предоставлять такую услугу  в Украине.  Но проблема в том, что здесь пока нет платежеспособного спроса. Большинство атак, с которыми мы сталкиваемся, направлены на сайты, оплачивающие виртуальный хостинг за  $8-10  в месяц. И на наше предложение в связи с DDOS перейти хотя бы на выделенный сервер за $50-70 в месяц отвчают категорическим отказом. Соответственно, и на защиту от  DOS-атак  такие сайты не готовы тратить хоть какие-либо деньги.

- А если бы вы предоставляли услугу защиты от DDOS – надо было бы у вас хостится (компания Mirohost.net- ред)?

-  Нет. Это зависит от технологий. Но в общем случае, это желательное, но необязательное условие.

-     А сколько должно быть заказчиков, чтобы подобная услуга “заработала”? 10-100-1000?

-  Больше 100 при цене услуги $200-300  в месяц. То есть, на содержание  инфраструктуры борьбы с DDOS нужно $20-30 тыс. в месяц.

- В России такие компании работают?

-  Такие компани работаю везде. Можно купить за границей такую услугу прямо сейчас. Только стоить она будет не $300, а  $3-5 тысяч  в месяц. Но зато тебя от DDOS закроют так, что сайту будет страшна только атомная война.

- А как устроена логика такой защиты? Она понятна?

- Совершенно понятна. Это известный способ. Допустим, есть некий провайдер услуг. У него - набор IP-адресов. Этот провайдер ставит, к примеру, в 100 узловых точках по миру свои маршрутизаторы и сервера с файерволом. Соответственно, он тоннелирует свой трафик закрытыми шифроваными тоннелями до этих точек. И анонсируется из них во внешний мир (речь идет об анонсах BGP).  То есть, с технической точки зрения это выглядит так, как будто этот провайдер включен проводами в эти 100 точек напрямую. Допустим,  каждое включение может обработать 10 гигабит трафика, в том числе и “паразитного” . Соответственно суммарная мощность - один террабит. Значит, атакующему для того, чтобы “забить” такую систему, нужно развить один террабит потока (или около 100 мегапакетов). Далее файерволы на каждой точке включения фильтруют трафик, выбрасывая “мусор”.  И очищенный от DDOS трафик по шифрованному каналу доставляется  к защищаемому серверу. Я описываю достаточно упрощенно, но принцип понятен. Подобным образом, в несколько модифицировнаном виде защищают, например, корневые DNS-ы. Их регулярно пытаются атаковать, условно говоря, в целях «тренировки». Не помню точных даных, но на 2007 год самая крупная DOS-атака составила около 40 мегапакетов в секунду. Думаю, что сейчас эти величины колеблются в районе 100 мегапакетов.

DOS-атаки – это ведь большой криминальный бизнес. Фактически в большинстве случаев он сопряжен с вымогательством. У нас на хостинге есть сайты, с которых, я точно знаю, вымогали деньги. Обычно в качестве «мишеней» выбирают интернет-магазины, интернет-казино, крупные информационные ресурсы — проекты, для которых разрыв контакта с пользователями в Интернет грозит быстрыми и большими убытками.  Так, накануне  8 марта,  большинство украинских сайтов, торгующих цветами, «лежали». (К чести нашей компании замечу, что в то же время нам удалось поддерживать в работоспособном состоянии аналогичный ресурс, хостящийся у MiroHost.net).

- Для Украины впрочем хватает и маленькой атаки.

-Смотря для кого.   Но, понятно, что это вопрос денег. Атакующему надо потратить значительную сумму денег. Организация маленькой атаки осуществляется легко и дешево, например,  через какой-то форум. Но создание по-настоящему большой и крупной атаки – дело очень рискованное.  В мире ведь существует немало  платных сыскных агентств, которые специализируются на Интернете.

-Они ищут атакующего? Каким образом?

- Да, ищут, но как правило не техническими способами, а через агентуру или, например, предлагая деньги за информацию об организаторе атаки. И завтра организатора сдают свои же.  Потому что в одиночку это организовать нельзя.

- Ну, почему же: запустил троянов, наплодил «роботов» и атакуешь…

- Но ведь кто-то этот троян написал? А кто-то написал библиотеки, а кто-то написал компилятор, а кто-то содержит форум, через который общались заказчик с организатором.

Рассказы о том, что атакующий – невыявляем -  неправда. Да, это дорого, но возможно. Если речь идет о серьезных мировых интернет-ресурсах, то последствия бывают тоже очень серьезные. Например, обвинение в данном преступлении заказчику могут предъявить в стране, где за это преступление предусмотрено 25 лет тюремного заключения.

- Когда на нас начинается очередная DOS-атака, то первая мысль: найти того, кто заказал… ну и дальше по списку…

- Если речь идет о небольших DOS -атаках, то здесь, как свидетельствует опыт, зачастую в качестве организатора оказывается ребенок 15 лет, который решил «побаловаться». Хотя от этого являение не становится менее опасным.

- Поставим вопрос по-другому. Если смоделировать такую ситуацию: напряглась госмашина, к зараженным компьютерам приходит технический специалист и милиционер. Они узнают, откуда компьютер заразился, дальше по цепочке….

- Не поможет

- В связи с тупостью госмашины или от того, что это в принципе невозможно?

- Нужен очень специализированный инструмент. Именно потому в мире существуют компании, которые на этом специализируются. Ходить с милиционером – это ведь тоже стоит денег. А за эту атаку заплатили $50.

- Ну, $500 все-таки  чаще встречается.

- $500 – это уже недешевая атака. И если идти стандартными методами, то может оказаться, что на поиски надо будет потратить $500 тыс. Есть  два способа, как  найти заказчика:  можно за $500 тыс  устроить все это расследование. А можно на том же форуме, где эти DDOS продают, пообещать $5 тыс за информацию об организаторе.

На самом деле – это один из самых эффективных методов. Люди, которые продали  или сдали в аренду заказчику бот-нет (сеть компьютеров, зараженных вирусом- прим ред), сами же заказчика и «сдадут». Поскольку кроме денег, их ничего не интересует. Ничего личного.

- В том же контексте, но несколько другое. Как себя чувствует при атаке хостинг-провайдер?

- Плохо себя чувствует. У хостинг-провайдера следующие альтернативы. А – выключать сайт, который досят. В – защищать сайт, который досят бесплатно. И С – защищать его за деньги.  В большинстве случаев принимается вариант А, поскольку В убыточно, а за С заказчик платить не готов. В свою очередь, MiroHost.net старается минимизировать воздействие DDOS на своих клиентов, настолько насколько  это позволяет наша инфраструктура. И во многих случаях нам это удается. Однако для защиты от крупных DOS-атак необходим специализированный сервис по цене,  значительно превышающей цену, которую готовы платить сегодня клиенты.

- А хостинг-провайдер может включиться в схему защиты за $5000 и защитить все свои сайты?

- За $5 тыс не может, но за $50 тыс. или за $500 тыс.— это возможно. Я уже говорил, что содержание минимальной инфраструктуры защиты от DDOS  обходится в десятки тысяч долларов в месяц. А если покупать эту услугу у стороннего провайдера – то это обойдется еще дороже. Например, для хостинг-компании нашего уровня по западным коммерческим расценкам такая услуга будет стоить больше $200 тысяч в месяц. И опять же, смысла в этом нет никого, поскольку большинство клиентов за это платить не готовы. Ну, скажем, зачем  DDOS-защита сайту  “О моей любимой кошке”? Если кому-то захочется потратить $50 и “выключить” его на 2 часа, то препятствовать этому нет никакого смысла.

- То есть обычно сайты отключают?

- Еще раз повторюсь: все зависит от самого ресурса. На Западе хостеры относятся к этому так: если у тебя интернет-бизнес — плати за анти-DOS защиту. Фактически - это страховка. Ведь нет компании, которая может защитить тебя от того, что на голову упадет кирпич. Но существует компания, предлагающая тебе страховку. Здесь та же схема. Если у тебя есть сайт, и ты считаешь для себя важным защититься от атак, то ты платишь специализированным компаниям,  точно также, как платишь за антивирус.

Хостинг-провайдеры, как правило, к этому отношения не имеют. Некоторые хостеры, правда, предоставляют такую услугу в пакете хостинга. Но фактически это две разные услуги. А поскольку цена анти-DOS защиты, как правило, существенно выше, то можно считать, что в рамках этой услуги хостинг предоставляется бесплатно. Так что создание  защищенных сетей – это большой быстроразвивающийся  бизнес в мире. Мы тоже исследовали в Украине возможность предоставления такой услуги, но, как я уже говорил, - рынок пока отсутствует.

- Потому что в Украине не было суператак?

-Скороее, потому что в Уанете мало денег. Затраты на безопасность пропорциональны количеству денег, которые оборачиваются в Интернете. Как только твой сайт начнет зарабатывать $300 тыс в месяц, я  уверен, что желающие тебя «подоить» найдутся. Я считаю, что в Украине  по настоящему прибыльных интернет-проектов (навскидку) не больше 50, но возможно, их еще меньше. А вот когда таких проектов станет 500 или 5000 -  тогда  появится рынок. Но это будет не завтра. Может, года через три или даже через пять.

- Может высокопарно…, но все-таки об информационной безопасности. Ведь за небольшие деньги можно положить все госорганы. А может и всю страну.

- Да, в современном мире, это оружие. Вот, например, если вспомнить войну в Грузии.. Фактически какой-то период времени грузинские сайты были недоступны. Если говорить об Украине, то «завалить» ее так, как «завалили» Грузию или в свое время Эстонию, нельзя.  Украина существенно лучше включена в мировой Интернет, у нас больше каналов, и они более разнообразны. А  Грузия была  подключена всего  двумя каналами. И то один их них был не очень хороший.

Хотя поводов, чтобы расслабиться, я не вижу. Учитывая наши размеры, такая атака обойдется существенно дороже, и организовать ее сложнее. Но здесь все зависит от того,  кто «на той стороне». Если это аматоры-любители, то, скорее всего, с Украиной им не справиться. Но если рассматривать эту проблему с точки зрения безопасности государства, то есть, сделать предположение, что атака будет организована вероятным внешним противником, то Украина сегодня – «голая». На самом деле «неголых» стран» очень мало. Понятно, что американцы что-то умеют, и англичане что-то умеют, и европейцы, и, возможно, россияне. Но это стоит денег, и больших.  У нас почему-то безопасность в Интернете люди воспринимают как что-то само собой разумеющееся. А это не так. Никто ведь не удивляется, что на машину надо поставить сигнализацию, и купить страховку. А страховка стоит 5% от стоимости машины. И сигнализация – 1-2 %. Здесь то же самое. С течением времени люди осознают, что в Интернете они должны нести такие же затраты на безопасность, как и в реальной жизни. Я думаю, что в Украине такое время наступит лет через пять. Кстати, этот рынок свободен. Любая компания  может попытать счастья в данном деле. Можно даже  сильно не спешить. Но  я думаю, что через пять лет это будет  большим рынком. Сегодня оборот Уанета оценивается в $10-20 млн в год, то есть 1-2% составит $100-200 тыс - и это все, на что может претендовать рынок безопасности. Это практически ничего. И на эти деньги построить компанию невозможно. Но вот если взять, например Россию, где обороты рынка оценивают в $1 млрд, то 1-2% - это уже $10-20 млн .  Так что следует ждать, пока Уанет вырастет как минимум раз в 20.

Дата створення/оновлення: 25.05.2018

';