This page has been robot translated, sorry for typos if any. Original content here.

Яка країна, такі в неї і DOS-атаки

Какая страна, такие у нее и DOS-атаки
Щотижня по крайней мере, хоча б один суспільно-політічскій інтернет-ресурс заявляє про DOS-атаки, яку він пережив. Проблему DDOS різні сайти вирішують по-різному. Одні «відбиваються» своїми зусиллями, інші - залучають провайдерів, треті - «лягають» і чекають, «коли ж це все закінчиться».
Але всіх об'єднує одне пекуче бажання: знайти злостивці. А також - як не допустити DDOS в наступний раз? І навіть якщо перше бажання згодом втрачає актуальність, то завдання «як захиститися від атаки» - перманентна.

«ProIT» звернувся за відповіддю до заступника голови правління ІнАУ (Інтернет Асоціація України) Олександру Ольшанському. Тим більше, що цю проблему він може розглянути c різних сторін - як президент найбільшого в Україні хостинг-провайдера MiroHost.net і як член правління ІнАУ - найавторитетнішої організації, яка займається вирішенням гострих проблем в Уанет.

Почали нелукаво:

- Пане Олександре, вибачте за примітивний перше питання, але все ж: чи можна з мінімальними втратами «відбитися» від DOS-атаки?

- Можна, можливо

- Тільки не у всіх в Україні це виходить ...

- Чому? Деякі наші клієнти "відбивалися", і не один раз. В Україні ж не буває атак потужністю більше мільйона пакетів в секунду. Такого DDOS в Україні я не бачив. Для нашої країни скоріше характерні цифри порядку десятків тисяч пакетів в секунду.

- Мільйон - це якісь позамежні речі.

- Ні, не позамежні. Для Росії, наприклад, характерна величина може складати близько одного мегапакета в секунду (якщо це серйозна атака). Якщо говорити про світ, то потужність атак може бути ще більше. Тому в світі і існують компанії, які захищають від DOS-атак. У нас була ідея надавати таку послугу в Україні. Але проблема в тому, що тут поки немає платоспроможного попиту. Більшість атак, з якими ми стикаємося, спрямовані на сайти, які оплачують віртуальний хостинг за $ 8-10 на місяць. І на наші пропозиції в зв'язку з DDOS перейти хоча б на виділений сервер за $ 50-70 на місяць отвчают категоричною відмовою. Відповідно, і на захист від DOS-атак такі сайти не готові витрачати хоч які-небудь гроші.

- А якби ви надавали послугу захисту від DDOS - треба було б у вас хоститься (компанія Mirohost.net- ред)?

-  Ні. Це залежить від технологій. Але в загальному випадку, це бажане, але не обов'язкова умова.

- А скільки має бути замовників, щоб подібна послуга "заробила"? 10-100-1000?

- Більше 100 при ціні послуги $ 200-300 на місяць. Тобто, на утримання інфраструктури боротьби з DDOS потрібно $ 20-30 тис. На місяць.

- У Росії такі компанії працюють?

- Такі компані працюю всюди. Можна купити за кордоном таку послугу прямо зараз. Тільки коштувати вона буде не $ 300, а $ 3-5 тисяч в місяць. Але зате тебе від DDOS закриють так, що сайту буде страшна тільки атомна війна.

- А як влаштована логіка такого захисту? Вона зрозуміла?

- Абсолютно зрозуміла. Це відомий спосіб. Припустимо, є якийсь провайдер послуг. У нього - набір IP-адрес. Цей провайдер ставить, наприклад, в 100 вузлових точках по світу свої маршрутизатори та сервера з файерволом. Відповідно, він тоннелірует свій трафік закритими шифрування тунелями до цих точок. І анонсується з них до зовнішнього світу (мова йде про анонсах BGP). Тобто, з технічної точки зору це виглядає так, як ніби цей провайдер включений проводами в ці 100 точок безпосередньо. Припустимо, кожне включення може обробити 10 гігабіт трафіку, в тому числі і "паразитного". Відповідно сумарна потужність - один террабіт. Значить, атакуючому для того, щоб "забити" таку систему, потрібно розвинути один террабіт потоку (або близько 100 мегапакетов). Далі фаєрволи на кожній точці включення фільтрують трафік, викидаючи "сміття". І очищений від DDOS трафік по шифрованому каналу доставляється до захищається сервера. Я описую досить спрощено, але принцип зрозумілий. Подібним чином, в кілька модіфіціровнаном вигляді захищають, наприклад, кореневі DNS-и. Їх регулярно намагаються атакувати, умовно кажучи, з метою «тренування». Не пам'ятаю точних даних, але на 2007 рік найбільша DOS-атака склала близько 40 мегапакетов в секунду. Думаю, що зараз ці величини коливаються в районі 100 мегапакетов.

DOS-атаки - це ж великий кримінальний бізнес. Фактично в більшості випадків він пов'язаний з вимаганням. У нас на хостингу є сайти, з яких, я точно знаю, вимагали гроші. Зазвичай в якості «мішеней» вибирають інтернет-магазини, інтернет-казино, великі інформаційні ресурси - проекти, для яких розрив контакту з користувачами в Інтернет загрожує швидкими і великими збитками. Так, напередодні 8 березня, більшість українських сайтів, що торгують квітами, «лежали». (До честі нашої компанії зауважу, що в той же час нам вдалося підтримувати в працездатному стані аналогічний ресурс, хостящійся у MiroHost.net).

- Для України втім вистачає і маленької атаки.

-Дивлячись для кого. Але, зрозуміло, що це питання грошей. Атакуючому треба витратити значну суму грошей. Організація маленької атаки здійснюється легко і дешево, наприклад, через якийсь форум. Але створення по-справжньому великий і великої атаки - справа дуже ризикована. У світі ж існує чимало платних розшукових агентств, які спеціалізуються на Інтернеті.

-Вони шукають атакуючого? Яким чином?

- Так, шукають, але як правило не технічними способами, а через агентуру або, наприклад, пропонуючи гроші за інформацію про організатора атаки. І завтра організатора здають свої ж. Тому що поодинці це організувати не можна.

- Ну, чому ж: запустив троянів, наплодив «роботів» і атакуєш ...

- Але ж хтось цей троян написав? А хтось написав бібліотеки, а хтось написав компілятор, а хтось містить форум, через який спілкувалися замовник з організатором.

Розповіді про те, що атакуючий - не виявлявся - неправда. Так, це дорого, але можливо. Якщо мова йде про серйозні світових інтернет-ресурсах, то наслідки бувають теж дуже серйозні. Наприклад, звинувачення в цьому злочині замовнику можуть пред'явити в країні, де за цей злочин передбачено 25 років тюремного ув'язнення.

- Коли на нас починається чергова DOS-атака, то перша думка: знайти того, хто замовив ... ну і далі по списку ...

- Якщо мова йде про невеликі DOS-атаки, то тут, як свідчить досвід, найчастіше в якості організатора виявляється дитина 15 років, який вирішив «побалуватися». Хоча від цього являения не стає менш небезпечним.

- Поставимо питання по-іншому. Якщо змоделювати таку ситуацію: напружилася держмашину, до заражених комп'ютерів приходить технічний фахівець і міліціонер. Вони дізнаються, звідки комп'ютер заразився, далі по ланцюжку ....

- Не допоможе

- У зв'язку з тупістю держмашини або від того, що це в принципі неможливо?

- Потрібен дуже спеціалізований інструмент. Саме тому в світі існують компанії, які на цьому спеціалізуються. Ходити з міліціонером - це ж теж коштує грошей. А за цю атаку заплатили $ 50.

- Ну, $ 500 все-таки частіше зустрічається.

- $ 500 - це вже недешева атака. І якщо йти стандартними методами, то може виявитися, що на пошуки треба буде витратити $ 500 тис. Є два способи, як знайти замовника: можна за $ 500 тис влаштувати все це розслідування. А можна на тому ж форумі, де ці DDOS продають, пообіцяти $ 5 тис за інформацію про організатора.

Насправді - це один з найефективніших методів. Люди, які продали або здали в оренду замовнику бот-ні (мережа комп'ютерів, заражених вірусом- прим ред), самі ж замовника і «здадуть». Оскільки крім грошей, їх нічого не цікавить. Нічого особистого.

- У тому ж контексті, але дещо інше. Як себе почуває при атаці хостинг-провайдер?

- Погано себе почуває. У хостинг-провайдера наступні альтернативи. А - вимикати сайт, який досят. В - захищати сайт, який досят безкоштовно. І С - захищати його за гроші. У більшості випадків приймається варіант А, оскільки В збитково, а за С замовник платити не готовий. У свою чергу, MiroHost.net намагається мінімізувати вплив DDOS на своїх клієнтів, настільки наскільки це дозволяє наша інфраструктура. І в багатьох випадках нам це вдається. Однак для захисту від великих DOS-атак необхідний спеціалізований сервіс по ціні, значно перевищує ціну, яку готові платити сьогодні клієнти.

- А хостинг-провайдер може включитися в схему захисту за $ 5000 і захистити всі свої сайти?

- За $ 5 тис не може, але за $ 50 тис. Або за $ 500 тис.- це можливо. Я вже говорив, що зміст мінімальної інфраструктури захисту від DDOS обходиться в десятки тисяч доларів на місяць. А якщо купувати цю послугу у стороннього провайдера - то це обійдеться ще дорожче. Наприклад, для хостинг-компанії нашого рівня за західними комерційними розцінками така послуга буде коштувати більше $ 200 тисяч в місяць. І знову ж таки, сенсу в цьому немає нікого, оскільки більшість клієнтів за це платити не готові. Ну, скажімо, навіщо DDOS-захист сайту "Про мою улюблену кішку"? Якщо комусь захочеться витратити $ 50 і "вимкнути" його на 2 години, то перешкоджати цьому немає ніякого сенсу.

- Тобто зазвичай сайти відключають?

- Ще раз повторюся: все залежить від самого ресурсу. На Заході хостери ставляться до цього так: якщо у тебе інтернет-бізнес - плати за анти-DOS захист. Фактично - це страховка. Адже немає компанії, яка може захистити тебе від того, що на голову впаде цеглина. Але існує компанія, яка пропонує тобі страховку. Тут та ж схема. Якщо у тебе є сайт, і ти вважаєш для себе важливим захиститися від атак, то ти платиш спеціалізованим компаніям, так само, як платиш за антивірус.

Хостинг-провайдери, як правило, до цього відношення не мають. Деякі хостери, правда, надають таку послугу в пакеті хостингу. Але фактично це дві різні послуги. А оскільки ціна анти-DOS захисту, як правило, істотно вище, то можна вважати, що в рамках цієї послуги хостинг надається безкоштовно. Так що створення захищених мереж - це великий швидко розвивається бізнес в світі. Ми теж досліджували в Україні можливість надання такої послуги, але, як я вже говорив, - ринок поки відсутня.

- Тому що в Україні не було суператак?

-Скороее, тому що в Уанеті мало грошей. Витрати на безпеку пропорційні кількості грошей, які обертаються в Інтернеті. Як тільки твій сайт почне заробляти $ 300 тис на місяць, я впевнений, що бажаючі тебе «подоїти» знайдуться. Я вважаю, що в Україні справді прибуткових інтернет-проектів (навскидку) не більш 50, але можливо, їх ще менше. А ось коли таких проектів стане 500 або 5000 - тоді з'явиться ринок. Але це буде не завтра. Може, років через три або навіть через п'ять.

- Може пишномовно ..., але все-таки про інформаційну безпеку. Адже за невеликі гроші можна покласти все держоргани. А може і всю країну.

- Так, в сучасному світі, це зброя. Ось, наприклад, якщо згадати війну в Грузії .. Фактично якийсь період часу грузинські сайти були недоступні. Якщо говорити про Україну, то «завалити» її так, як «завалили» Грузію або свого часу Естонію, не можна. Україна істотно краще включена в світовий Інтернет, у нас більше каналів, і вони більш різноманітні. А Грузія була підключена всього двома каналами. І то один з них був не дуже хороший.

Хоча приводів, щоб розслабитися, я не бачу. З огляду на наші розміри, така атака обійдеться значно дорожче, і організувати її складніше. Але тут все залежить від того, хто «на тій стороні». Якщо це аматори-любителі, то, швидше за все, з Україною їм не впоратися. Але якщо розглядати цю проблему з точки зору безпеки держави, тобто, зробити припущення, що атака буде організована вірогідним зовнішнім ворогом, то Україна сьогодні - «гола». Насправді «неголих» країн »дуже мало. Зрозуміло, що американці щось вміють, і англійці щось вміють, і європейці, і, можливо, росіяни. Але це коштує грошей, і великих. У нас чомусь безпеку в Інтернеті люди сприймають як щось само собою зрозуміле. А це не так. Адже ніхто не дивується, що на машину треба поставити сигналізацію, і купити страховку. А страховка коштує 5% від вартості машини. І сигналізація - 1-2%. Тут те ж саме. З плином часу люди усвідомлюють, що в Інтернеті вони повинні нести такі ж витрати на безпеку, як і в реальному житті. Я думаю, що в Україні такий час настане років через п'ять. До речі, цей ринок вільний. Будь-яка компанія може спробувати щастя в цій справі. Можна навіть сильно не поспішати. Але я думаю, що через п'ять років це буде великим ринком. Сьогодні оборот Уанету оцінюється в $ 10-20 млн на рік, тобто 1-2% складе $ 100-200 тис - і це все, на що може претендувати ринок безпеки. Це практично нічого. І на ці гроші побудувати компанію неможливо. Але от якщо взяти, наприклад Росію, де обороти ринку оцінюють в $ 1 млрд, то 1-2% - це вже $ 10-20 млн. Так що слід чекати, поки Уанет виросте як мінімум раз в 20.