Екатерина Шульман   /  Виктор Ерофеев   /  Владислав Иноземцев   /  Александр Баунов   /  Александр Невзоров   /  Андрей Курпатов   /  Михаил Зыгарь   /  Дмитрий Глуховский   /  Ксения Собчак   /  Станислав Белковский   /  Константин Зарубин   /  Валерий Панюшкин   /  Николай Усков   /  Ксения Туркова   /  Артем Рондарев   /  Алексей Байер   /  Леонид Бершидский   /  Михаил Блинкин   /  Дмитрий Бутрин   /  Карен Газарян   /  Василий Гатов   /  Мария Голованивская   /  Линор Горалик   /  Дмитрий Губин   /  Иван Давыдов   /  Орхан Джемаль   /  Елена Егерева   /  Михаил Елизаров   /  Владимир Есипов   /  Михаил Идов   /  Олег Кашин   /  Николай Клименюк   /  Алексей Ковалев   /  Максим Котин   /  Антон Красовский   /  Павел Лемберский   /  Татьяна Малкина   /  Андрей Мовчан   /  Александр Морозов   /  Андрей Наврозов   /  Антон Носик   /  Иван Охлобыстин   /  Владимир Паперный   /  Вера Полозкова   /  Игорь Порошин   /  Григорий Ревзин   /  Екатерина Романовская   /  Вадим Рутковский   /  Саша Рязанцев   /  Ксения Семенова   /  Ольга Серебряная   /  Денис Симачев   /  Ксения Соколова   /  Владимир Сорокин   /  Алексей Тарханов   /  Анатолий Ульянов   /  Аля Харченко   /  Арина Холина   /  Cергей Шаргунов   /  Все

Наши колумнисты

Антон Носик

Антон Носик /

29033просмотра

DDoS в России: история вопроса

30 марта 2011 года на серверы «Живого журнала» осуществлена DDoS-атака, которая вывела сервис из строя на семь часов. Это был хоть и не первый, зато самый массированный удар по площадке ЖЖ за 12 лет ее существования. Администрация сервиса не торопится сообщать данные о том, какие конкретно журналы были исходной мишенью хакерской атаки, обвалившей в итоге весь сервис. Но предупреждает о неизбежности продолжения атак в ближайшем будущем. Пришла пора сказать вслух, кто стоит за всеми этими актами кибертерроризма, кто и зачем за них платит

Иллюстрация: Сноб.Ру; материалы: Cagle Cartoons
Иллюстрация: Сноб.Ру; материалы: Cagle Cartoons
+T -
Поделиться:

Домыслы и гадания, посвященные крупнейшей DDoS-атаке в истории «Живого журнала», не прекратятся, вероятно, еще долго. Пресса почему-то задается все время одним и тем же вопросом: кому на самом деле пытались заткнуть рот анонимные кибертеррористы? И с каждым часом находятся все новые ответы, от которых вопрошающие чем дальше, тем сильней запутываются в собственных версиях. То ли неизвестные «валили» Навального, то ли пытались сорвать голосование в «Новой газете» по сетевому парламенту, то ли атака на ЖЖ и «Твиттер» призвана была помешать координации действий участников протестных акций, намеченных на 31 марта…

Конечно, вопрос о конкретных целях атаки имеет право на существование. Просто нужно отдавать себе отчет, что правильный ответ знают лишь те, кто организовывал атаку. Все остальные собеседники радиостанций, печатных изданий и сайтов интернет-СМИ могут по этому поводу выступать лишь в роли слепой прорицательницы Ванги, делясь с журналистами своими видениями и прозрениями.

Меж тем по поводу истории DDoS-атак и политического киберкриминала в Рунете за последнее пятилетие накоплена вполне обширная фактология, к которой тут в первую очередь и стоило бы обратиться. История вопроса не оставляет слишком много загадок вокруг случившейся в минувшую среду кибератаки, обрушившей ЖЖ.

Достаточно просто взглянуть, кого за эти годы атаковала наша неуловимая и вездесущая киберпреступность, и понять принцип формирования этого пестрого списка. Мы увидим в нем сайты госслужб Грузии и Эстонии, серверы «Коммерсанта» и «Газеты.ру», сообщества НБП, блоги известных оппозиционеров (в последние месяцы чаще других «под раздачу» предсказуемо попадает Алексей Навальный — но в иные годы ломали журналы Владимира Прибыловского, Андрея Мальгина, Марии Арбатовой и Олега Панфилова, а из-за грузинского блогера cyxymu положили в один день ЖЖ, Facebook и Twitter. В предвыборный сезон «ломали» почту и блоги известных людей, так или иначе связанных со «Справедливой Россией»…

На первый взгляд, затруднительно представить себе «дирекцию единого заказчика» для всех этих актов кибервандализма. Но он меж тем перед глазами и на поверхности. Достаточно вспомнить историю возникновения в России организации с труднопроизносимым названием Межрегиональная общественная организация содействия развитию суверенной демократии (МООСРСД) молодежное движение «Наши». Изначально задача этой конторы состояла в том, чтобы выискивать в обществе «врагов народа» и беспощадно с ними расправляться средствами черного пиара. Проект, созданный под личным покровительством влиятельного кремлевского кукловода Владислава Суркова, сразу же получил серьезное финансирование, столь же обильное, сколь непрозрачное — и вот уже шесть лет употребляет его на организацию нескончаемых кампаний черного пиара и персональной травли известных лиц, от писателя Владимира Сорокина до музыканта Юрия Шевчука и адвоката Алексея Навального. В арсенале — заказные публикации в блогах и прессе, «бригадные» кампании в ЖЖ силами тысяч виртуалов и рядовых членов движения, спам «Яндекс.Поиска» по блогам, сливы компромата, съемки скрытой камерой, и далее везде.

Если внимательно присмотреться к списку лиц и структур, против которых вели борьбу черные пиарщики «Наших» через свои блоги и медиаканалы за последнее пятилетие, то мы легко заметим пересечение, вплоть до полного совпадения по целям и срокам, между PR-активностью сурковских протеже и налетами киберпреступного синдиката. DDoS-атаки на серверы и сообщества НБП происходили одновременно с кампанией травли лимоновцев, развернутой нашистами. О причастности этой организации к атакам на серверы «Коммерсанта» и «Газеты.ру» прямым текстом высказывались в открытой печати и тогдашний главред газеты Андрей Васильев, и нынешний ее гендиректор Демьян Кудрявцев. А в организации атаки на эстонские правительственные серверы публично признался в интервью Financial Times комиссар «Наших» Константин Голоскоков. Там он прямым текстом обосновал связь движения с киберкриминалом:

«Если они [эстонские власти – А.Н.] действуют незаконно, то мы будем реагировать на это соответствующим образом».

«Соответствующей реакцией» в данном случае названа именно DDoS-атака. По меньшей мере с 2007 года отечественная киберпреступность отвечает за «активные мероприятия» против любых целей, которые нашистам пришло в голову объявить «вражескими». Криминалу, в общем-то, без разницы, кого «ломать»: они одинаково охотно готовы DDoSить ЖЖ, Twitter и Facebook, или взломать «живой журнал» доктора Лизы Глинки, заподозренной заказчиками в порочащих связях со «Справедливой Россией». Комиссары от черного пиара платят налом и помогают с крышей. Ни по одной из DDoS-атак, ни по какому взлому ЖЖ или почтовых ящиков нет ни дел, ни обвиняемых, ни даже подозреваемых. Киберполиция пристально глядит в другую сторону.

В предвыборный год бизнес черных сурковских пиарщиков по выдумыванию и подавлению внутренних и внешних врагов сулит особенно большие барыши. Неудивительно поэтому, что мы наблюдаем оживление и грязных PR-технологий в отношении вымышленных носителей «оранжевой угрозы», и хакерских атак против этих же самых целей. Именно поэтому мне совершенно не важно знать, под каким именно предлогом была заказана и оплачена последняя DDoS-атака на ЖЖ — в рамках борьбы с Навальным, «Стратегией-31» или в порядке противодействия публикации нового доклада Немцова. Как они там в своих внутренних документах обосновывают необходимость в тех или иных активных мероприятиях, под какого очередного «врага народа» получают финансирование — вопрос их внутренней бухгалтерии. А нам важно понимать, что мы тут имеем дело с устоявшимся бизнесом, с внушительными оборотами, солидной крышей и финансовой господдержкой. DDoS-атаки, взлом блогов и электронной почты — это их давний, привычный бизнес. Который в ближайшее время будет лишь наращивать обороты. А значит ждем новых атак, о чем предупредил в четверг технический директор ЖЖ. С ним соглашается и Алексей Навальный:

«По моему мнению, атаки на жж, твиттер, стэндэлонблоги и другие прочие независимые ресурсы будут продолжаться и случаться гораздо чаще.

Вовсе не потому, что это эффективно, а потому что совершенно соответствует логике власти, для которой и борьба с оппозициейэто лишь повод украсть денег».

Читайте также

Комментировать Всего 36 комментариев
«борьба с коррупцией — это лишь повод украсть денег» - шикарнистее ))

Эту реплику поддерживают: Степан Пачиков, Юлий Либ

Как всегда у Антона - чётко и ясно.

Интересно, почему до сих пор не выработано никаких средств противоядия против  DDoS атак? Неужели нет никакого приемлемого решения?

Средства борьбы есть и действуют, беда со средствами профилактики.

Полным аналогом DDoS-атаки можно считать, например, банковскую или биржевую панику. Решат, к примеру, 20% пользователей банка забрать вклады в один день - и все, коллапс, дефолт, кризис ликвидности. Решат 10% держателей ценной бумаги ее продать - и курс летит вниз камнем, вплоть до остановки торгов по активу, т.е. опять-таки потери ликвидности.

Дальше банк может перекрутиться с наличностью, на бирже эмитент может сделать интервенцию, и курс выправится. Но резервировать впрок наличность банк все равно не будет. Вылезет из кризиса - и по-прежнему не больше 10% от вкладов держит в близкой готовности к выдаче.

Так и сайт с привычной пропускной способностью 50.000 одновременных запросов не может "про запас" увеличить мощность в 25 раз, на случай, если кому-то захочется его DDoS-ить.

Мы ведь и антибиотики пьем после того, как инфекция ударила, а не каждый день профилактически.

Все-таки с антибиотиком сравнение хромает, по-моему. Это скорее вопрос принципиального подхода к покупке страхового полиса. За несколько сотен долларов в месяц любой нормальный датацентр тебе предоставит ddos-резервирование нужного объема. Да, в год набегает пара тысяч, а для фиговины размера ЖЖ - наверно, единицы десятков. И тут площадка сама решает, позволить себе полежать пару дней забесплатно - или потратиться на случай аварии.

Эту реплику поддерживают: Борис Беренфельд

У фейсбука несколько десятков тысяч серверов. Интересно, как им подстраховаться на случай DDoS атаки и какой датацентр способен это сделать? И если можно при желании положить даже их - то что нужно делать другим, чтобы от этого защититься?

никогда не слышал про лежащий хоть солько-нибудь заметное время Фейсбук. Или Гугл. Или Амазон, ибэй и пр., которые при проектировании закладывают нормальный SLA. У большнства из них, кстати,собственные датацентры. В том числе и для таких ситуаций.

Вы сами-то прочитали? То, что FB был объектои атак - очевидно.  Где там написано, что падал хоть раз?

Я задал непонятный вопрос? Там написано, что падал ФБ? И где, кроме одного случая 2 года назад, есть еще упоминания о каких бы то ни было сложностях с ddos?

<<Rival Facebook faced a similar attack (likely related), but for the most part managed to remain online. Some users couldn’t access the site or post content, but the site remained online for most users.>>

Т.е. частичный отказ сервиса все же был. Понятно, что фейсбук положить сложно, с таким количеством ресурсов. Да и потом, гугл, фейсбук - они итак обслуживают в день столько запросов, что в принципе расчитаны на обслуживание всего мира. 

Я лишь говорил о том, что если даже фейсбук положили частично, что говорить о других и какой датацентр сможет обеспечить защиту?

ЖЖ тоже должен быть рассчитан на соотв нагрузку.  Датацентр с SLA 99,995% - обычное дело. Любая трейдинговая площадка, телеком и т.п. закладываются на это.

Начиная с уровня Tier-3 датацентры имеют должный уровень redundancy, за что и берут деньги.

По моему ЖЖ по сравнению с фейсбуком, это теплоходик и океанский лайнер (у первого 2 млн. уников в день, у второго 300 млн). 

Да и я, если честно, не вижу в этом смысла. О чем здесь уже высказались другие участники дискуссии (и про антибиотики, и про бронежилет). ЖЖ - это не биржевая площадка. Твиттер периодически лежит, и ничего. А уж популярность и значимость у него куда больше, чем ЖЖ.

Эту реплику поддерживают: Катерина Инноченте

К слову сказать, недавно положили и амазон, и пэйпэл, и визу с мастеркардом: http://www.computerworld.com/s/article/9200639/Anonymous_attack_on_Amazon.com_appears_to_fail

Я полагал что должна быть возможность отличить много запросов одновременно от сознательной DDoS атаки

Между ними должна быть разница

Тут такая сиутация: предотвращать такую атаку это как ходить по улице в бронежилете, боясь быть застреленным. Защита в принципе есть, но она обычно не нужна и не эффективна на 100%.

речь не идет (никогда не идет) о стопроцентной защите

речь идет о том, что Вы с большой вероятность, идя навстречу большой толпе на улице, можете понять: это очень людный день или это - демонстрация :)

Можно отличить, если с одного адреса идет череда запросов (например, обычный пользователь не будет жать page-refresh 30 раз в секунду). Но атаку можно производить с большего количества рабочих станций, и тогда отличить будет сложнее. И любой алгоритм защиты будет порождать новые алгоритмы атаки.

Если человек с большой  вероятностью может предположить, что это атака, а не "много запросов", то и машину можно научить. 

В том, чтобы понять, что производится атака - не проблема. Проблема в том, чтобы понять, какие запросы атакующие, какие нет. И это далеко не так просто, как вы полагаете. Иначе бы такой проблемы просто не существовало. 

Я не в одном месте не писал, что "это просто"

<<Если человек с большой  вероятностью может предположить, что это атака, а не "много запросов", то и машину можно научить. >>

если человек легко отличает кошку от собаки, это не значит, что и машину можно этому научить.

Эту реплику поддерживают: Степан Пачиков

Евгений, человек с большой вероятностью понимает слитный рукописный текст и различает слитную речь. Этому можно научить машину, но это очень трудная задача. Как и задача отличить кошку от собаки, а фразу 

<<Если человек с большой  вероятностью может предположить, что это атака, а не "много запросов", то и машину можно научить. >>

от фразы

"это очень простая задача" :)

Еще раз, если бы задача была простой, то никто бы ее и не обсуждал. Очевидно даже мне, что это сложная задача :)

Я не знаю, можно ли научить машину отличать кошку от собаки, но пока не научили распознавать даже элементарные capcha - это когда просят ввести буквы и/или цифры показанные на картинке. Распознавание речи тоже хромает - посмотрите любой ролик с автосубтитрами на ютюбе.

Поэтому утверждение "и машину можно научить" - довольно спорно. Особенно чтобы отличить среди запросов атакующие от обычных. Гугл не научился надежно распознавать роботизированные клики от настоящих (по рекламным баннерам), ютюб довольно легко обмануть с накруткой просмотров.

P.S. и я не говорил, что вы написали "это очень простая задача". Я сказал что вы полагаете, что это проще, чем это является на самом деле.

И на мой взгляд, следует из ваших постов "... то и машину можно научить" и "неужели до сих пор нет приемлемого решения".

Машину можно научить - не значит, что можно научить легко и что можно научить в ближайшее время. 

Еще раз, я лишь утверждал, что задача должна быть в принципе решаема и интересовался у "знатоков", если ли прогресс в этой области и пытаются ли ее решить на современном уровне знаний. 

То, что многие задачи сегодня не плечу ни одному компьютеру (искусственно созданному) мне известно. 

должна быть возможность отличить много запросов одновременно от сознательной DDoS атаки

Просто DoS, идущую с одного адреса различить и блокировать (скажем через добавление IP адреса в black list) не так сложно.. С DDoS хуже из-за Distributed- характера атаки (как написал Антон - трояны исполняющие команды сидят на компьютерах ничего не подозревающих заражённых пользователей).. Ведущие компании в сегменте сетевой безопасности как например Barracuda Networks и ряд местных стартапов, тем не менее, постоянно оптимизируют алгоритмы защиты и rule-based функционирование своих firewalls..

Мой друг по компании 3Com только что стартовал компанию решающую именно эту задачу.. венчурные капиталисты финансируют подобные проекты с большой охотой, ввиду очевидности проблемы и высокой вероятности востребованности новых решений.. Другими словами, они пытаются устранить саму дилемму - вложить гигантские средства в защиту своих серверов up front или только по факту атаки..  

Вообще это большая тема, в индустрии много чего происходит и есть принципальные методы исключения подозрительного трафика не только на уровня владельца дата-центра, но и на уровне Broadband-провайдеров..

Российская же проблема, где DDoS атаки прямо коррелируют с оппозиционностью объектов нападения, вообще должна решаться другими методами, - достаточно одного реального парламентского расследования чтобы прекратить это грязное использование денег налогоплательщиков околокремлёвскими гопниками.. 

Эту реплику поддерживают: Степан Пачиков, Максим Гулевич

Юлий Либ Комментарий удален автором

Действительно, хорошее наблюдение. The Economist в инфографиках про революции на Ближнем Востоке (http://www.economist.com/blogs/dailychart/2011/03/unrest_middle_east) выделяют "процент населения моложе 25 лет" в отдельную категорию. 

Антон, спасибо! Очень хорошая статья на очень злободневную тему. Очень интересует примерная стоимость таких DDoS атак. 

Эту реплику поддерживают: Наташа Вольпина

Фокус в том, что у них нет себестоимости, доступной калькуляции. Работа по созданию ботнета состоит в спаммерской рассылке троянов. Себестоимость спам-рассылки невысока, а код троянов вообще опенсорс.

После того, как трояны разосланы, и какая-то часть адресатов ими заразилась, нужно просто отправить на зараженные компьютеры инструкцию, какие серверы им атаковать. Отправка инструкции тоже, в общем-то, не стоит денег.

Поэтому цена, которую держатель ботнета выставляет за услуги по его использованию для атак, отвязана от себестоимости - и, следовательно, произвольна. В случае, когда атака заказывается не для коммерческих целей, а для распила бюджетного бабла, сам заказчик заинтересован в том, чтобы списать под нее побольше денег. Но какую часть из них он отстегнет исполнителю - вопрос их договоренностей между собой. 

Эту реплику поддерживают: Максим Гулевич

Монетизация ботнетов

Существует несколько моделей монетизации ботнетов, от продажи спам-рассылки и заказных DDoS атак до использования бот-сети для кражи банковского доступа у заражённых пользователей..

Классическую историю ликвидации подобной сети - BredoLab Net (созданной неким злодеем из Армении) силами голландской службы борьбы с киберпреступностью можно прочитать на ComputerWorldUK.. Голландцы сразились с Бредонетом их собственным оружием - перехватив контроль за сервером контроля и запустив в эту же сеть "хороший" бот, который проинформировал жертв о заражении и сообщил им как начать уголовное преследование киберпреступников.. 

Цена Ddos –атаки падает

В последнее время цена Ddos–атаки падает (250 долларов/день), а убытки компаний растут. Основных целей Ddos четыре: Вымогательство, “Устранение” конкурента, Ущерб репутации, Прикрытие воровства. Первое и последнее характерно для финансовых институтов. Второе и третье - для  коммуникационных ресурсов.

Активные методы противодействия таковы. Первое – это управление каналом связи, а именно, приобретение сервисов для защиты от DDoS. Второе -наращивание ресурсов: дополнительных каналов и  дополнительных серверов. В третьих, устранение уязвимостей и своевременное определение типа атак. В четвертых, активные ответные меры и сбор доказательной базы для обращения в соответствующие органы ((статья 272 и 273 УК РФ). Ну и. наконец, внедрение оборудования для обнаружения и отражения DDoS-атак или защита своего ресурса на уровне оператора.

Я так понимаю, что сегодня - следующая серия?

Ура! Наконец-то можно и побездельничать...

а вот как думаете, если в Уголовный кодекс все-таки введут, как планировали, новую статью для спамеров, фишеров, и организаторов DDоS-атак, что-нибудь изменится?

 

Новости наших партнеров