Читать «Компьютерра PDA 29.05.2010-04.06.2010» онлайн - страница 22

Помимо "отключения Запада", обычное дело - выставление счетов самим же пострадавшим от атак клиентам за перерасход трафика. "У нас есть знакомые, которым выставляли по 3 тысячи долларов за ночь по итогам атаки DDoS, - рассказывает Павел Варнавский, финансовый директор "Оверсан-Скалакси". - Нет, есть, конечно, способы с этим бороться. Трафик у тебя бесплатный, если ты соблюдаешь соотношения 1:4 (4 доли российского и 1 доля западного трафика). DDoS обычно идет с Запада. То есть, когда он приходит, он кардинально нарушает соотношение, оттуда и цена."

Как рассказал Варнавский, защита их клиентов от DDoS-атак осуществляется с помощью программно-аппаратного комплекса с оборудованием Juniper, Cisco и F5 Networks, которое располагается перед своеобразным суперкомпьютером, и обрабатывает входящий трафик. Внутри стоит ещё одна система - уже их разработки - она дофильтровывает трафик, идущий к конечным клиентам.

Необходимость в собственной разработке связана с тем, что все крупные системы рассчитаны на канальных операторов, которые могут массированно отфильтровать тонны трафика. "А когда, допустим, если у клиента есть ресурсы лишь на обработку 100-200 Мбит, - говорит Варнавский, - и он подвергается немасштабной DDoS-атаке , то оборудование Cisco может просто не заметить этого клиента."

В этом, как утверждает Варнавский, принципиальное отличие от существующих в России услуг "защита от DDoS". При этом клиенты оказываются "закрыты" не только от DDoS, но и от внутрисетевых атак.

В целом, у "облачных" хостинг-провайдеров возможности по обеспечению надёжности хостинга выше, чем у большинства обычных в силу архитектурной специфики. Например, есть возможность заказывать полное резервирование, так что у любого ресурса всегда наготове "зеркало": если один сервер по какой-либо причине "упал", быстро поднимается его полная копия, и восстанавливается состояние "перед смертью".

По словам Вычижанина, самым эффективным способом борьбы с DDoS, является комплекс мер, состоящий из:

• Обучения системы по байесовскому методу (в основе которого лежит теорема Байеса из теории вероятностей), плюс к этому - накапливание максимального количества признаков вектора атаки, по которым будет настраиваться и осуществляться дальнейшая фильтрация.

• Использование централизованной базы данных атак канальных операторов, представленных в определённых линейках оборудования (Arbor).

• Использование готовых и, желательно, многоуровневых решений от вендоров, зарекомендовавших себя на этом рынке. (Arbor, Cisco Guard, Juniper IDP). Лучше всего работает связка нескольких решений в одно с технической поддержкой (особенно это эффективно в момент атаки).

• Фильтрации атаки по принципу - как можно ближе к атакующему ботнету. Используется BGP, black hole определённых сетей и маршрутов, наиболее близко расположенных к очагам атаки. Для реализации таких возможностей должны присутствовать определённые договоренности и пиринговые отношения с участниками-провайдерами.