 https://patchwork.kernel.org/patch/285762/) Пользователь Маномим: Хотелось бы узнать, насколько опасен способ ддос атаки по сравнению с другими? Совершенствуется ли со временем качество ддос атак? Ведь в основе лежит довольно примитивный принцип. Александр Лямин: Категорически не соглашусь со словом "примитивный". Если при построении приложения следовать нашим рекомендациям и здравому смыслу, то с высокой степенью вероятности это приложение даже не заметит "примитивной" атаки. Если же речь идет об эффективной атаке, нацеленной на результат, то это требует весьма глубоких знаний в целом спектре различных областей: сетевых технологиях, безопасности систем семейства Windows, архитектуре веб-приложений и других сетевых сервисов. Анонимный пользователь: Есть какие-либо признаки, по которым администратор может определить, что его сервер атакуют? Или это можно понять, когда уже атака в разгаре и сделать ничего уже невозможно? Александр Лямин: До известной степени это будет очень обобщенным рецептом, но если вы вдруг видите, что идет быстрый рост посещаемости вашего ресурса, причем большая часть посетителей находится в Индии или Юго-Восточной Азии - это абсолютно точно DDoS. Есть более интересные методы анализа данных, основанные на той же математике, на которой построен анализ сейсмо-данных с целью предсказания землетрясений. Но это очень серьезная математика, которую Яндекс не решился давать даже на профильной конференции для ИТ-специалистов. Нам подход Яндекса очень симпатичен, мы тоже пытаемся применять подобные методы для обнаружения атак. Анонимный пользователь: Насколько активен хакер во время атаки - он постоянно предпринимает какие-то программные действия, общается с другими атакующими – в общем, занимается только атакой и ничем другим? И, тогда, надолго ли хватает хакера? На 8-12 часов? Или же это все делается параллельно с какой-то другой работой и особой активности не требует? Александр Лямин: Качество исполнения атаки напрямую зависит от стоимости. Как правило, серьезные атаки исполняются группами, работающими круглосуточно. Перед атакой проводится аудит веб-приложения, вычисляются наиболее уязвимые места, строится определенная стратегия, причем с запасными вариантами на случай, если открывающий атаку прием перестает работать. Впрочем, если сайт-жертва не оказывает сопротивления, это просто легкие деньги для хакеров. Буквально - "нажал кнопку, заработал 1000 долларов". Добавьте сюда крайне низкие риски быть пойманным, и вот вам хорошая причина того, почему это явление имеет настолько массовый характер. Анонимный пользователь: Знакомы ли вы с тем, насколько практикуются подобные DDoS-атаки в зарубежных странах - в США и в Европе? Насколько существенны отличия от наших? Александр Лямин: Да, это явление безусловно интернациональное. Но настолько массовое - только в России. Тут есть целый ряд факторов: проникновение интернета, хорошая школа (скорее по инерции), несовершенство законодательства, ужасное качество кода веб-приложений, бедность, безработница. Есть еще один интересный факт, который нужно отметить - это "экспорт" исполнителей по СНГ. Обычная практика, когда российские заказчики DDoS-атаки идут к исполнителям на Украине, и vice versa. Почему? Очень просто - это разные страны, а Интерпол работает со скоростью черепахи, и эффективно сводит риски быть пойманными к нулю. Анонимный пользователь: Как примерно структурируется или выглядит группа атакующих? Это независимые друг от друга программисты, корпоративщики или студенты? Есть какие-то типичные свойства? Александр Лямин: Как правило, это четко организованная группа, где каждый выполняет свои функции: написание модулей заражения, распространение ботнета, написание и поддержание контрольного центра, написание атакующих модулей, продажи. Обычная преступная группировка, никакой романтики. Анонимный пользователь: Скажите, каковы основные цели DDoS-атаки? Бывают это просто развлечения хакеров? И как часто это бывают просто развлечения? Александр Лямин: Ботнет (сеть инфицированных компьютеров-зомби) - это весьма дорогостоящий и ценный ресурс и DDoS-атаки -только один из способов его монетизации. Какой смысл развлекаться не зарабатывая деньги, если можно зарабатывать деньги развлекаясь? Впрочем, МВД России очень серьезно озабоченно данной проблемой, и я думаю в следующем году мы обязательно увидим ряд конкретных действий, направленных на решение проблемы DDoS. Но для действительно эффективной работы необходимо привести в соответствие и законодательство. Дело в том, что большинство статей, посвященных информационной безопасности, для DDoS "нерабочие". Все известные нам случаи привлечения к ответственности - это исключительно по статье 273 УК РФ. Но создание, использование и распространение вредоносного программного обеспечения, за которое наказывают по этой статье, как вы понимаете, не совсем тот предмет. Анонимный пользователь: Сколько стоит заказ хорошей DDoS-атаки? Существуют ли примерные расценки на атаку и защиту от нее? Александр Лямин: От 100 долларов в сутки и до бесконечности. От бесконечности и до 5000 рублей в месяц. На самом деле эти цифры очень важны. Выйдя на рынок услуг по фильрации трафика с нижним тарифным планом в 5000 рублей, мы просто сделали DDoS-атаки экономически нецелесообразными. Анонимный пользователь: Существуют ли на сегодняшний день какие-либо технические средства исключающие возможность атаки? Каковы перспективы систем безопасности? Александр Лямин: На данный момент не существует технологий, которые позволяют полностью исключить успешное проведение DDoS атаки. И история с VISA/Mastercard/Paypal недельной давности - отличная тому иллюстрация. Для полного и безоговорочного решения проблемы потребуется "переизобрести" Интернет - ввести цифровую подпись источника. Подобного рода работы уже ведутся, но они навряд ли покинут стены лабораторий в ближайшие 10 лет. Анонимный пользователь: Какова технология DDoS? Как происходит атака? Не могли бы вы объяснить это понятным для всех языком? Александр Лямин: DDoS дословно переводится на русский язык как Распределенная Атака на Отказ в Обслуживании. Любые атаки на отказ в обслуживании имеют один и тот же механизм: выявить в системе ограниченный разделяемый ресурс и полностью занять его, оттеснив легитимных пользователей. Ресурсом может быть что угодно: канальные емкости, вычислительные ресурсы, системы хранения данных или даже одна таблица в базе данных. Буква D - добавляет Распределенность, т.е. невозможность выделить и заблокировать источник атаки. На данный момент самым популярным инструментом для проведения DDoS атак являются сети инфицированных компьютеров - ботнеты. Но сейчас встречаются некоторые виды DDoS-атак которые можно провести и без ботнета. Пользователь Mikaa: Можно ли заранее защитить сайт от DDoS-атаки? Александр Лямин: Да, есть вполне понятный комплекс мер и инструментарий, который позволит сделать любое веб-приложение устойчивым к DDoS атакам в разумных пределах. Поскольку этот вопрос, наверное, слишком техничен для аудитории КЛЕРК.РУ, я просто поставлю ссылку на мою презентацию, посвященную этой теме: Анонимный пользователь: Есть ли способы защититься от недобросовестных конкурентов, использующих DDoS-атаку? Насколько это доступно небольшим компаниям? Александр Лямин: Набор инструментов для управления ресурсами на самых дешевых (и самых популярных ) хостинг-площадках ограничен и самостоятельно противостоять даже небольшой DDoS атаке крайне затруднительно. Именно поэтому мы разработали тарифы, ориентированные на средний и мелкий интернет-бизнес. Анонимный пользователь: Ради чего обычно устраивают DDos? Какие цели преследуют? Александр Лямин: Цели могут быть самыми разными: от тривиального вымогательства и устранения конкурентов, до более интересных целей – например, попыток изменить результаты поисковой выдачи Яндекс. DDoS - это технологичный инструмент, а способы его применения зависят исключительно от изобретательности современных Мориарти. Анонимный пользователь: Скажите, пожалуйста, а можно ли вычислить заказчика DDoS-атаки? Александр Лямин: Возможно, например в случае, если атака осуществляется хакерами-любителями, но это скорее исключение. |
