Интернет-конференция «DDoS атаки в России как способ нечестной конкурентной борьбы»

https://patchwork.kernel.org/patch/285762/)

Пользователь Маномим: Хотелось бы узнать, насколько опасен способ ддос атаки по сравнению с другими? Совершенствуется ли со временем качество ддос атак? Ведь в основе лежит довольно примитивный принцип.

Александр Лямин: Категорически не соглашусь со словом "примитивный". Если при построении приложения следовать нашим рекомендациям и здравому смыслу, то с высокой степенью вероятности это приложение даже не заметит "примитивной" атаки.

Если же речь идет об эффективной атаке, нацеленной на результат, то это требует весьма глубоких знаний в целом спектре различных областей: сетевых технологиях, безопасности систем семейства Windows, архитектуре веб-приложений и других сетевых сервисов.

Анонимный пользователь: Есть какие-либо признаки, по которым администратор может определить, что его сервер атакуют? Или это можно понять, когда уже атака в разгаре и сделать ничего уже невозможно?

Александр Лямин: До известной степени это будет очень обобщенным рецептом, но если вы вдруг видите, что идет быстрый рост посещаемости вашего ресурса, причем большая часть посетителей находится в Индии или Юго-Восточной Азии - это абсолютно точно DDoS.

Есть более интересные методы анализа данных, основанные на той же математике, на которой построен анализ сейсмо-данных с целью предсказания землетрясений. Но это очень серьезная математика, которую Яндекс не решился давать даже на профильной конференции для ИТ-специалистов. Нам подход Яндекса очень симпатичен, мы тоже пытаемся применять подобные методы для обнаружения атак.

Анонимный пользователь: Насколько активен хакер во время атаки - он постоянно предпринимает какие-то программные действия, общается с другими атакующими – в общем, занимается только атакой и ничем другим? И, тогда, надолго ли хватает хакера? На 8-12 часов? Или же это все делается параллельно с какой-то другой работой и особой активности не требует?

Александр Лямин: Качество исполнения атаки напрямую зависит от стоимости. Как правило, серьезные атаки исполняются группами, работающими круглосуточно. Перед атакой проводится аудит веб-приложения, вычисляются наиболее уязвимые места, строится определенная стратегия, причем с запасными вариантами на случай, если открывающий атаку прием перестает работать.

Впрочем, если сайт-жертва не оказывает сопротивления, это просто легкие деньги для хакеров. Буквально - "нажал кнопку, заработал 1000 долларов". Добавьте сюда крайне низкие риски быть пойманным, и вот вам хорошая причина того, почему это явление имеет настолько массовый характер.

Анонимный пользователь: Знакомы ли вы с тем, насколько практикуются подобные DDoS-атаки в зарубежных странах - в США и в Европе? Насколько существенны отличия от наших?

Александр Лямин: Да, это явление безусловно интернациональное. Но настолько массовое - только в России. Тут есть целый ряд факторов: проникновение интернета, хорошая школа (скорее по инерции), несовершенство законодательства, ужасное качество кода веб-приложений, бедность, безработница.

Есть еще один интересный факт, который нужно отметить - это "экспорт" исполнителей по СНГ. Обычная практика, когда российские заказчики DDoS-атаки идут к исполнителям на Украине, и vice versa. Почему? Очень просто - это разные страны, а Интерпол работает со скоростью черепахи, и эффективно сводит риски быть пойманными к нулю.

Анонимный пользователь: Как примерно структурируется или выглядит группа атакующих? Это независимые друг от друга программисты, корпоративщики или студенты? Есть какие-то типичные свойства?

Александр Лямин: Как правило, это четко организованная группа, где каждый выполняет свои функции: написание модулей заражения, распространение ботнета, написание и поддержание контрольного центра, написание атакующих модулей, продажи. Обычная преступная группировка, никакой романтики.

Анонимный пользователь: Скажите, каковы основные цели DDoS-атаки? Бывают это просто развлечения хакеров? И как часто это бывают просто развлечения?

Александр Лямин: Ботнет (сеть инфицированных компьютеров-зомби) - это весьма дорогостоящий и ценный ресурс и DDoS-атаки -только один из способов его монетизации. Какой смысл развлекаться не зарабатывая деньги, если можно зарабатывать деньги развлекаясь? Впрочем, МВД России очень серьезно озабоченно данной проблемой, и я думаю в следующем году мы обязательно увидим ряд конкретных действий, направленных на решение проблемы DDoS.

Но для действительно эффективной работы необходимо привести в соответствие и законодательство. Дело в том, что большинство статей, посвященных информационной безопасности, для DDoS "нерабочие". Все известные нам случаи привлечения к ответственности - это исключительно по статье 273 УК РФ. Но создание, использование и распространение вредоносного программного обеспечения, за которое наказывают по этой статье, как вы понимаете, не совсем тот предмет.

Анонимный пользователь: Сколько стоит заказ хорошей DDoS-атаки? Существуют ли примерные расценки на атаку и защиту от нее?

Александр Лямин: От 100 долларов в сутки и до бесконечности. От бесконечности и до 5000 рублей в месяц. На самом деле эти цифры очень важны. Выйдя на рынок услуг по фильрации трафика с нижним тарифным планом в 5000 рублей, мы просто сделали DDoS-атаки экономически нецелесообразными.

Анонимный пользователь: Существуют ли на сегодняшний день какие-либо технические средства исключающие возможность атаки? Каковы перспективы систем безопасности?

Александр Лямин: На данный момент не существует технологий, которые позволяют полностью исключить успешное проведение DDoS атаки. И история с VISA/Mastercard/Paypal недельной давности - отличная тому иллюстрация.

Для полного и безоговорочного решения проблемы потребуется "переизобрести" Интернет - ввести цифровую подпись источника. Подобного рода работы уже ведутся, но они навряд ли покинут стены лабораторий в ближайшие 10 лет.

Анонимный пользователь: Какова технология DDoS? Как происходит атака? Не могли бы вы объяснить это понятным для всех языком?

Александр Лямин: DDoS дословно переводится на русский язык как Распределенная Атака на Отказ в Обслуживании.

Любые атаки на отказ в обслуживании имеют один и тот же механизм: выявить в системе ограниченный разделяемый ресурс и полностью занять его, оттеснив легитимных пользователей. Ресурсом может быть что угодно: канальные емкости, вычислительные ресурсы, системы хранения данных или даже одна таблица в базе данных.

Буква D - добавляет Распределенность, т.е. невозможность выделить и заблокировать источник атаки.

На данный момент самым популярным инструментом для проведения DDoS атак являются сети инфицированных компьютеров - ботнеты. Но сейчас встречаются некоторые виды DDoS-атак которые можно провести и без ботнета.

Пользователь Mikaa: Можно ли заранее защитить сайт от DDoS-атаки?

Александр Лямин: Да, есть вполне понятный комплекс мер и инструментарий, который позволит сделать любое веб-приложение устойчивым к DDoS атакам в разумных пределах.

Поскольку этот вопрос, наверное, слишком техничен для аудитории КЛЕРК.РУ, я просто поставлю ссылку на мою презентацию, посвященную этой теме:

Анонимный пользователь: Есть ли способы защититься от недобросовестных конкурентов, использующих DDoS-атаку? Насколько это доступно небольшим компаниям?

Александр Лямин: Набор инструментов для управления ресурсами на самых дешевых (и самых популярных ) хостинг-площадках ограничен и самостоятельно противостоять даже небольшой DDoS атаке крайне затруднительно.

Именно поэтому мы разработали тарифы, ориентированные на средний и мелкий интернет-бизнес.

Анонимный пользователь: Ради чего обычно устраивают DDos? Какие цели преследуют?

Александр Лямин: Цели могут быть самыми разными: от тривиального вымогательства и устранения конкурентов, до более интересных целей – например, попыток изменить результаты поисковой выдачи Яндекс. DDoS - это технологичный инструмент, а способы его применения зависят исключительно от изобретательности современных Мориарти.

Анонимный пользователь: Скажите, пожалуйста, а можно ли вычислить заказчика DDoS-атаки?

Александр Лямин: Возможно, например в случае, если атака осуществляется хакерами-любителями, но это скорее исключение.


Другие новости по теме:




Популярные новости
ФинОмен в соц.сетях:
Календарь
Архив новостей