Какая страна, такие у нее и DOS-атаки
Каждую неделю по крайней мере, хотя бы один общественно-политичский интернет-ресурс заявляет о DOS-атаке, которую он пережил. Проблему DDOS различные сайты решают по-разному. Одни «отбиваются» своими усилиями, другие – привлекают провайдеров, третьи – «ложатся» и ждут, «когда же это все закончится».Но всех обьединяет одно жгучее желание: найти злопыхателя. А также - как не допустить DDOS в следующий раз? И даже если первое желание впоследствии теряет актуальность, то задача «как защититься от атаки» - перманентна.
«proIT» обратился за ответом к заместителю председателя правления ИнАУ (Интернет Ассоциациа Украины) Александру Ольшанскому. Тем более, что эту проблему он может рассмотреть c разных сторон — как президент крупнейшего в Украине хостинг-провайдера MiroHost.net и как член правления ИнАУ — самой авторитетной организации, которая занимается разрешением острых проблем в Уанет.
Начали нелукаво:
- Александр, извините за примитивный первый вопрос, но все же: можно ли с минимальными потерями «отбиться» от DOS-атаки?
- Можно
- Только не у всех в Украине это получается…
- Почему? Некоторые наши клиенты “отбивались”, и не один раз. В Украине ведь не бывает атак мощностью больше миллиона пакетов в секунду. Такого DDOS в Украине я не видел. Для нашей страны скорее характерны цифры порядка десятков тысяч пакетов в секунду.
- Миллион - это какие-то запредельные вещи.
- Нет, не запредельные. Для России, например, характерная величина может составлять порядка одного мегапакета в секунду (если это серьезная атака). Если говорить о мире, то мощность атак может быть еще больше. Поэтому в мире и существуют компании, которые защищают от DOS-атак. У нас была идея предоставлять такую услугу в Украине. Но проблема в том, что здесь пока нет платежеспособного спроса. Большинство атак, с которыми мы сталкиваемся, направлены на сайты, оплачивающие виртуальный хостинг за $8-10 в месяц. И на наше предложение в связи с DDOS перейти хотя бы на выделенный сервер за $50-70 в месяц отвчают категорическим отказом. Соответственно, и на защиту от DOS-атак такие сайты не готовы тратить хоть какие-либо деньги.
- А если бы вы предоставляли услугу защиты от DDOS – надо было бы у вас хостится (компания Mirohost.net- ред)?
- Нет. Это зависит от технологий. Но в общем случае, это желательное, но необязательное условие.
- А сколько должно быть заказчиков, чтобы подобная услуга “заработала”? 10-100-1000?
- Больше 100 при цене услуги $200-300 в месяц. То есть, на содержание инфраструктуры борьбы с DDOS нужно $20-30 тыс. в месяц.
- В России такие компании работают?
- Такие компани работаю везде. Можно купить за границей такую услугу прямо сейчас. Только стоить она будет не $300, а $3-5 тысяч в месяц. Но зато тебя от DDOS закроют так, что сайту будет страшна только атомная война.
- А как устроена логика такой защиты? Она понятна?
- Совершенно понятна. Это известный способ. Допустим, есть некий провайдер услуг. У него - набор IP-адресов. Этот провайдер ставит, к примеру, в 100 узловых точках по миру свои маршрутизаторы и сервера с файерволом. Соответственно, он тоннелирует свой трафик закрытыми шифроваными тоннелями до этих точек. И анонсируется из них во внешний мир (речь идет об анонсах BGP). То есть, с технической точки зрения это выглядит так, как будто этот провайдер включен проводами в эти 100 точек напрямую. Допустим, каждое включение может обработать 10 гигабит трафика, в том числе и “паразитного” . Соответственно суммарная мощность - один террабит. Значит, атакующему для того, чтобы “забить” такую систему, нужно развить один террабит потока (или около 100 мегапакетов). Далее файерволы на каждой точке включения фильтруют трафик, выбрасывая “мусор”. И очищенный от DDOS трафик по шифрованному каналу доставляется к защищаемому серверу. Я описываю достаточно упрощенно, но принцип понятен. Подобным образом, в несколько модифицировнаном виде защищают, например, корневые DNS-ы. Их регулярно пытаются атаковать, условно говоря, в целях «тренировки». Не помню точных даных, но на 2007 год самая крупная DOS-атака составила около 40 мегапакетов в секунду. Думаю, что сейчас эти величины колеблются в районе 100 мегапакетов.
DOS-атаки – это ведь большой криминальный бизнес. Фактически в большинстве случаев он сопряжен с вымогательством. У нас на хостинге есть сайты, с которых, я точно знаю, вымогали деньги. Обычно в качестве «мишеней» выбирают интернет-магазины, интернет-казино, крупные информационные ресурсы — проекты, для которых разрыв контакта с пользователями в Интернет грозит быстрыми и большими убытками. Так, накануне 8 марта, большинство украинских сайтов, торгующих цветами, «лежали». (К чести нашей компании замечу, что в то же время нам удалось поддерживать в работоспособном состоянии аналогичный ресурс, хостящийся у MiroHost.net).
- Для Украины впрочем хватает и маленькой атаки.
-Смотря для кого. Но, понятно, что это вопрос денег. Атакующему надо потратить значительную сумму денег. Организация маленькой атаки осуществляется легко и дешево, например, через какой-то форум. Но создание по-настоящему большой и крупной атаки – дело очень рискованное. В мире ведь существует немало платных сыскных агентств, которые специализируются на Интернете.
-Они ищут атакующего? Каким образом?
- Да, ищут, но как правило не техническими способами, а через агентуру или, например, предлагая деньги за информацию об организаторе атаки. И завтра организатора сдают свои же. Потому что в одиночку это организовать нельзя.
- Ну, почему же: запустил троянов, наплодил «роботов» и атакуешь…
- Но ведь кто-то этот троян написал? А кто-то написал библиотеки, а кто-то написал компилятор, а кто-то содержит форум, через который общались заказчик с организатором.
Рассказы о том, что атакующий – невыявляем - неправда. Да, это дорого, но возможно. Если речь идет о серьезных мировых интернет-ресурсах, то последствия бывают тоже очень серьезные. Например, обвинение в данном преступлении заказчику могут предъявить в стране, где за это преступление предусмотрено 25 лет тюремного заключения.
- Когда на нас начинается очередная DOS-атака, то первая мысль: найти того, кто заказал… ну и дальше по списку…
- Если речь идет о небольших DOS -атаках, то здесь, как свидетельствует опыт, зачастую в качестве организатора оказывается ребенок 15 лет, который решил «побаловаться». Хотя от этого являение не становится менее опасным.
- Поставим вопрос по-другому. Если смоделировать такую ситуацию: напряглась госмашина, к зараженным компьютерам приходит технический специалист и милиционер. Они узнают, откуда компьютер заразился, дальше по цепочке….
- Не поможет
- В связи с тупостью госмашины или от того, что это в принципе невозможно?
- Нужен очень специализированный инструмент. Именно потому в мире существуют компании, которые на этом специализируются. Ходить с милиционером – это ведь тоже стоит денег. А за эту атаку заплатили $50.
- Ну, $500 все-таки чаще встречается.
- $500 – это уже недешевая атака. И если идти стандартными методами, то может оказаться, что на поиски надо будет потратить $500 тыс. Есть два способа, как найти заказчика: можно за $500 тыс устроить все это расследование. А можно на том же форуме, где эти DDOS продают, пообещать $5 тыс за информацию об организаторе.
На самом деле – это один из самых эффективных методов. Люди, которые продали или сдали в аренду заказчику бот-нет (сеть компьютеров, зараженных вирусом- прим ред), сами же заказчика и «сдадут». Поскольку кроме денег, их ничего не интересует. Ничего личного.
- В том же контексте, но несколько другое. Как себя чувствует при атаке хостинг-провайдер?
- Плохо себя чувствует. У хостинг-провайдера следующие альтернативы. А – выключать сайт, который досят. В – защищать сайт, который досят бесплатно. И С – защищать его за деньги. В большинстве случаев принимается вариант А, поскольку В убыточно, а за С заказчик платить не готов. В свою очередь, MiroHost.net старается минимизировать воздействие DDOS на своих клиентов, настолько насколько это позволяет наша инфраструктура. И во многих случаях нам это удается. Однако для защиты от крупных DOS-атак необходим специализированный сервис по цене, значительно превышающей цену, которую готовы платить сегодня клиенты.
- А хостинг-провайдер может включиться в схему защиты за $5000 и защитить все свои сайты?
- За $5 тыс не может, но за $50 тыс. или за $500 тыс.— это возможно. Я уже говорил, что содержание минимальной инфраструктуры защиты от DDOS обходится в десятки тысяч долларов в месяц. А если покупать эту услугу у стороннего провайдера – то это обойдется еще дороже. Например, для хостинг-компании нашего уровня по западным коммерческим расценкам такая услуга будет стоить больше $200 тысяч в месяц. И опять же, смысла в этом нет никого, поскольку большинство клиентов за это платить не готовы. Ну, скажем, зачем DDOS-защита сайту “О моей любимой кошке”? Если кому-то захочется потратить $50 и “выключить” его на 2 часа, то препятствовать этому нет никакого смысла.
- То есть обычно сайты отключают?
- Еще раз повторюсь: все зависит от самого ресурса. На Западе хостеры относятся к этому так: если у тебя интернет-бизнес — плати за анти-DOS защиту. Фактически - это страховка. Ведь нет компании, которая может защитить тебя от того, что на голову упадет кирпич. Но существует компания, предлагающая тебе страховку. Здесь та же схема. Если у тебя есть сайт, и ты считаешь для себя важным защититься от атак, то ты платишь специализированным компаниям, точно также, как платишь за антивирус.
Хостинг-провайдеры, как правило, к этому отношения не имеют. Некоторые хостеры, правда, предоставляют такую услугу в пакете хостинга. Но фактически это две разные услуги. А поскольку цена анти-DOS защиты, как правило, существенно выше, то можно считать, что в рамках этой услуги хостинг предоставляется бесплатно. Так что создание защищенных сетей – это большой быстроразвивающийся бизнес в мире. Мы тоже исследовали в Украине возможность предоставления такой услуги, но, как я уже говорил, - рынок пока отсутствует.
- Потому что в Украине не было суператак?
-Скороее, потому что в Уанете мало денег. Затраты на безопасность пропорциональны количеству денег, которые оборачиваются в Интернете. Как только твой сайт начнет зарабатывать $300 тыс в месяц, я уверен, что желающие тебя «подоить» найдутся. Я считаю, что в Украине по настоящему прибыльных интернет-проектов (навскидку) не больше 50, но возможно, их еще меньше. А вот когда таких проектов станет 500 или 5000 - тогда появится рынок. Но это будет не завтра. Может, года через три или даже через пять.
- Может высокопарно…, но все-таки об информационной безопасности. Ведь за небольшие деньги можно положить все госорганы. А может и всю страну.
- Да, в современном мире, это оружие. Вот, например, если вспомнить войну в Грузии.. Фактически какой-то период времени грузинские сайты были недоступны. Если говорить об Украине, то «завалить» ее так, как «завалили» Грузию или в свое время Эстонию, нельзя. Украина существенно лучше включена в мировой Интернет, у нас больше каналов, и они более разнообразны. А Грузия была подключена всего двумя каналами. И то один их них был не очень хороший.
Хотя поводов, чтобы расслабиться, я не вижу. Учитывая наши размеры, такая атака обойдется существенно дороже, и организовать ее сложнее. Но здесь все зависит от того, кто «на той стороне». Если это аматоры-любители, то, скорее всего, с Украиной им не справиться. Но если рассматривать эту проблему с точки зрения безопасности государства, то есть, сделать предположение, что атака будет организована вероятным внешним противником, то Украина сегодня – «голая». На самом деле «неголых» стран» очень мало. Понятно, что американцы что-то умеют, и англичане что-то умеют, и европейцы, и, возможно, россияне. Но это стоит денег, и больших. У нас почему-то безопасность в Интернете люди воспринимают как что-то само собой разумеющееся. А это не так. Никто ведь не удивляется, что на машину надо поставить сигнализацию, и купить страховку. А страховка стоит 5% от стоимости машины. И сигнализация – 1-2 %. Здесь то же самое. С течением времени люди осознают, что в Интернете они должны нести такие же затраты на безопасность, как и в реальной жизни. Я думаю, что в Украине такое время наступит лет через пять. Кстати, этот рынок свободен. Любая компания может попытать счастья в данном деле. Можно даже сильно не спешить. Но я думаю, что через пять лет это будет большим рынком. Сегодня оборот Уанета оценивается в $10-20 млн в год, то есть 1-2% составит $100-200 тыс - и это все, на что может претендовать рынок безопасности. Это практически ничего. И на эти деньги построить компанию невозможно. Но вот если взять, например Россию, где обороты рынка оценивают в $1 млрд, то 1-2% - это уже $10-20 млн . Так что следует ждать, пока Уанет вырастет как минимум раз в 20.
Дата створення/оновлення: 25.05.2018