Читать «Цифровой журнал «Компьютерра» № 167» онлайн - страница 61
Коллектив авторов
Как валили Spamhaus и почему крупнейшая DDoS-атака осталась незамеченной сетянами?
Царь-колокол, который не звонит, Царь-пушка, которая не стреляет… Помните эту шутку про российскую гигантоманию в ущерб функционалу? Сегодня у нас есть возможность добавить к списку ещё один пункт: Царь-DDoS. Огромная, фантастическая по размаху интернет-атака, способная, как считают некоторые, остановить всю глобальную компьютерную сеть, но по факту вреда почти не причинившая. Она длилась больше недели, стартовав 18 марта, только к 23-му набрав полную силу и обрушив на головы жертв беспрецедентные объёмы трафика. Так почему половина экспертов, анализирующих сейчас случившееся, предлагают, образно выражаясь, причислить атаку к «царской» категории: устрашающая, но безвредная?
Сокращения DoS и DDoS, если вы вдруг подзабыли, расшифровываются как denial of service и distributed denial of service — простая и распределённая атаки типа «отказ в обслуживании». Смысл их всегда в том, чтобы вынудить атакуемую систему временно прекратить обслуживание клиентов. Для DoS-атаки любые средства хороши, и по возможности злоумышленники стараются проникнуть внутрь, «вырубить» жертву через уязвимости в программах. Но DDoS всегда предполагает давление извне: обычно цель грубо заливают бессмысленной информацией, чрезмерно нагружая или компьютеры, или интернет-магистрали. Генератором трафика тут, как правило, выступают бот-сети: тысячи персоналок, превращённых в «зомби» без ведома их владельцев. DDoS-тактика эффективна (мало какой компьютер или корпоративная сеть способны выдержать дружный натиск даже нескольких сотен атакующих), надёжна (все узлы атакующей бот-сети разом не отключишь), анонимна (автор атаки за толпой зомби не виден). Ничего удивительного, что именно её чаще всего выбирают для нападения на «серьёзные» цели: банки, корпорации, госучреждения.
Сравнительная диаграмма, демонстрирующая интенсивность трафика недавних рядовых DDoS-атак и атаки против Spamhaus (графика: Arbor Networks). Впрочем, утверждая, что в середине марта было зафиксировано крупнейшее кибернападение, важно понимать, что далеко не каждый удар по корпоративным ИТ-системам попадает в прессу. Большинство крупных компаний не горят желанием обнародовать такие происшествия. Со Spamhaus нам просто повезло
Атака, начавшаяся 18 марта, была и обычной, и новаторской одновременно. Серверы Spamhaus (а днями позже и компаний, ей помогавших) стали заливать избыточными объёмами трафика — однако трафик порождали оригинальным способом, известным как DNS-отражение или DNS-усиление. Идея проста, как всё гениальное: открытому для запросов со стороны DNS-серверу (активисты, ратующие за уничтожение таких серверов, насчитывают их свыше 20 миллионов по всему миру, см. ) направляется кратенькая просьба, предполагающая сравнительно длинный ответ (в 60-100 раз длиннее). Но обратный IP-адрес в заявке подделывается: вместо него вписывается IP жертвы. В результате DNS-сервер отправляет ответ по указанному адресу — и жертве, хоть она ничего и не запрашивала, волей-неволей приходится полученные данные обрабатывать.
