html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Как валили Spamhaus и почему крупнейшая DDoS-атака осталась незамеченной сетянами?

Автор: Евгений Золотов 01 апреля 2013

Царь-колокол, который не звонит, Царь-пушка, которая не стреляет… Помните эту шутку про российскую гигантоманию в ущерб функционалу? Сегодня у нас есть возможность добавить к списку ещё один пункт: Царь-DDoS. Огромная, фантастическая по размаху интернет-атака, способная, как считают некоторые, остановить всю глобальную компьютерную сеть, но по факту вреда почти не причинившая. Она длилась больше недели, стартовав 18 марта, только к 23-му набрав полную силу и обрушив на головы жертв беспрецедентные объёмы трафика. Так почему половина экспертов, анализирующих сейчас случившееся, предлагают, образно выражаясь, причислить атаку к «царской» категории: устрашающая, но безвредная?

Сокращения DoS и DDoS, если вы вдруг подзабыли, расшифровываются как denial of service и distributed denial of service — простая и распределённая атаки типа «отказ в обслуживании». Смысл их всегда в том, чтобы вынудить атакуемую систему временно прекратить обслуживание клиентов. Для DoS-атаки любые средства хороши, и по возможности злоумышленники стараются проникнуть внутрь, «вырубить» жертву через уязвимости в программах. Но DDoS всегда предполагает давление извне: обычно цель грубо заливают бессмысленной информацией, чрезмерно нагружая или компьютеры, или интернет-магистрали. Генератором трафика тут, как правило, выступают бот-сети: тысячи персоналок, превращённых в «зомби» без ведома их владельцев. DDoS-тактика эффективна (мало какой компьютер или корпоративная сеть способны выдержать дружный натиск даже нескольких сотен атакующих), надёжна (все узлы атакующей бот-сети разом не отключишь), анонимна (автор атаки за толпой зомби не виден). Ничего удивительного, что именно её чаще всего выбирают для нападения на «серьёзные» цели: банки, корпорации, госучреждения.

В нашей истории объект атаки и задачи тоже были вполне серьёзными. Считается, что повод для крупнейшей DDoS всех времён и народов подала годовалая склока между некоммерческой организацией Spamhaus и голландским провайдером-либералистом Cyberbunker. Первая занимается составлением «чёрных списков» спамерских IP-адресов: фильтруя, к примеру, почту, приходящую от узлов из такого списка, можно уменьшить количество спама в своём ящике — и списки Spamhaus защищают сегодня свыше 1,7 млрд. почтовых ящиков по всему миру. Напротив, Cyberbunker, квартирующая в подземном убежище, выстроенном пятьдесят лет назад на случай атомной войны, предоставляет хостинг под любые проекты, за исключением детской порнографии и терроризма (именно там одно время размещались The Pirate Bay и WikiLeaks). И, конечно, не брезгует спамерами. Вот уже полтора года тянется вялотекущая война между сторонами, но нынче весной она переросла в активные боевые действия. В ответ на очередную «дерзость» Spamhaus (она методично блокирует IP-адреса оппонента) представитель Cyberbunker прозрачно намекнул, что их терпение иссякло («не вам решать, что можно делать в Сети, а чего нельзя!»). После чего, якобы, компания заручилась поддержкой чёрных хакеров из Восточной Европы и нанесла удар.

Сравнительная диаграмма, демонстрирующая интенсивность трафика недавних рядовых DDoS-атак и атаки против Spamhaus (графика: Arbor Networks). Впрочем, утверждая, что в середине марта было зафиксировано крупнейшее кибернападение, важно понимать, что далеко не каждый удар по корпоративным ИТ-системам попадает в прессу. Большинство крупных компаний не горят желанием обнародовать такие происшествия. Со Spamhaus нам просто повезло

Сравнительная диаграмма, демонстрирующая интенсивность трафика недавних рядовых DDoS-атак и атаки против Spamhaus (графика: Arbor Networks). Впрочем, утверждая, что в середине марта было зафиксировано крупнейшее кибернападение, важно понимать, что далеко не каждый удар по корпоративным ИТ-системам попадает в прессу. Большинство крупных компаний не горят желанием обнародовать такие происшествия. Со Spamhaus нам просто повезло

Атака, начавшаяся 18 марта, была и обычной, и новаторской одновременно. Серверы Spamhaus (а днями позже и компаний, ей помогавших) стали заливать избыточными объёмами трафика — однако трафик порождали оригинальным способом, известным как DNS-отражение или DNS-усиление. Идея проста, как всё гениальное: открытому для запросов со стороны DNS-серверу (активисты, ратующие за уничтожение таких серверов, насчитывают их свыше 20 миллионов по всему миру, см. The Open DNS Resolver Project) направляется кратенькая просьба, предполагающая сравнительно длинный ответ (в 60-100 раз длиннее). Но обратный IP-адрес в заявке подделывается: вместо него вписывается IP жертвы. В результате DNS-сервер отправляет ответ по указанному адресу — и жертве, хоть она ничего и не запрашивала, волей-неволей приходится полученные данные обрабатывать.

А теперь представьте, что запрос отправляется не одному DNS-серверу, а сотне, тысяче одновременно. В руках атакующего оказывается невероятно длинный рычаг, которым он и прижимает жертву. Лаборатория Касперского сравнила происходящее с попыткой завалить почтой одного получателя, когда отправленные ему тонны корреспонденции выводят из строя целое почтовое отделение. А в компании CloudFlare, которую Spamhaus наняла для отражения атаки, происходившее сравнили со взрывом атомной бомбы: маленькое по габаритам устройство легко причиняет гигантский ущерб. И «цепную реакцию» DNS-усиления точно так же трудно остановить, если она запущена: DNS-серверы нельзя отключить, потому что они нужны миллионам рядовых сетян, а отыскать организаторов атаки сложно, потому что DNS-запросы отправляются не ими лично, а нанятой бот-сетью.

В пике поток данных, обрушивающихся на Spamhaus, достигал 300 гигабит в секунду. Чтобы оценить эту цифру, вспомните, например, что крупнейшая атака на американские банки в конце прошлого года едва превышала 60 Гбит/сек, а взятая наугад рядовая DDoS в 2012-м измерялась всего единицами гигабит. Давление со стороны атакующих было так велико, что хоть расследованием по горячим следам занялись пять киберполицейских подразделений из разных стран, их имена не разглашались — из опасения, что ударят и по ним. Госучреждения вообще, как правило, обладают слабенькой ИТ-инфраструктурой, которая валится после первого тычка: это впервые показали ещё теракты 11 сентября 2001 года и с тех пор регулярно подтверждается в периоды стихийных бедствий (см. «ИТ и ураган Ирина»).

Кстати, отдельное удовольствие — наблюдать, как эксперты и пресса путаются в показаниях. CloudFlare называет пиковой цифру в 300 гигабит в секунду, а вот Александр Лямин из отечественной Highload Labs в интервью западным изданиям говорит уже о 300 гигабайтах. На графике, построенном CloudFlare в первые часы после начала атаки, видно, что правильный вариант — гигабиты

Кстати, отдельное удовольствие — наблюдать, как эксперты и пресса путаются в показаниях. CloudFlare называет пиковой цифру в 300 гигабит в секунду, а вот Александр Лямин из отечественной Highload Labs в интервью западным изданиям говорит уже о 300 гигабайтах. На графике, построенном CloudFlare в первые часы после начала атаки, видно, что правильный вариант — гигабиты

Что ж, после такого естественно было ожидать страшных историй о трагических последствиях не только для Spamhaus, но и для всей Сети. Тем интересней, что ничего особенного не случилось. Сайт Spamhaus.org какое-то время был недоступен, но чёрные списки спамеров — растиражированные десятками серверов на разных континентах — оставались доступными даже во время атаки. Говорят, в некоторые моменты «тормозила» вся глобальная сеть: Akamai Technologies (постоянно наблюдающая за состоянием интернета) зафиксировала «пробки» на интернет-магистралях России и Англии; кто-то сообщал о перебоях в работе потокового медиасервиса Netflix. Но мнения экспертов относительно причин этого расходятся. Как раз в эти дни был оборван крупный подводный интернет-кабель у берегов Египта, часть магистралей находилась в ремонте, велась трансляция важного матча по футболу и т.д. Так что некоторое замедление работы Сети было чем объяснить помимо атаки. Кроме того, Renesys и Keynote Systems, также занятые мониторингом здоровья Сети, вообще никаких отклонений не заметили.

Так почему же беспрецедентная по размаху атака оказала стремящееся к нулю влияние? Благодарить нужно децентрализацию и диверсификацию интернет-архитектуры. Если бы всё вышеописанное происходило на одном интернет-канале, с парой серверов по разные стороны (злоумышленник — жертва), то последствия, конечно же, были бы очевидны. Однако серверы Spamhaus разнесены по континентам, атакующие машины тоже находились в разных точках планеты — и в результате DDoS-трафик оказался «размазан» по десяткам и сотням интернет-каналов.

Суточный трафик глобальной Сети сегодня превышает одну тысячу петабайт, или восемь миллиардов гигабит, если я посчитал правильно. DNS-рычаг, задействованный Cyberbunker, обеспечил всего лишь 25 миллионов гигабит в свои лучшие сутки: впечатляющая, но совершенно недостаточная для какого-либо заметного воздействия на Сеть цифра.

Лучше того, случившееся со Spamhaus позволяет сделать прелюбопытный вывод. Эволюция глобальной Сети, кажется, привела интернет к состоянию, когда её недостатки компенсируются её же достоинствами. Если угодно, Сеть выработала метаиммунитет — защитный механизм, заставляющий её динамически, самостоятельно перераспределять свои ресурсы в стремлении обеспечить бесперебойную работу. Ведь все эти дни никто не лечил интернет специально, он сам переварил крупнейшую в своей истории атаку. Похоже, из неуклюжего зародыша Сеть, наконец, превратилась в логичный, самодостаточный организм, который, по крайней мере, не может навредить себе сам. Это пока ещё не абсолютная неуязвимость (люди-люди, человеки!), но уже кое-что, согласитесь.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с computerra.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • computerra.ru
          • домен computerra.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции