Это бесспорно одно из наибольших зол Интернета. Хотя в исполнении DDoS-атаки могут быть не слишком быстрыми и не слишком лёгким занятием, последствия — тяжёлые, а главное, от них очень сложно отбиться. Принято считать, что надёжных средств защиты пока нет...
...Но, попытки создать таковые не прекращаются. Нам удалось найти одно готовое технологическое решение, а также узреть громкое заявление Intel о том, что они запатентовали технологию защиты от DDoS-атак. И решили разобраться.
Эта аббревиатура расшифровывается как «распределённая атака, приводящая к отказу в доступе».
Суть таковой состоит в том, что хакер заставляет большое количество компьютерных систем слать бесконечные «мусорные» запросы одному или нескольким серверам, тем самым вызывая их перегрузку — и отказ в доступе.
Для этого злоумышленник внедряет в насколько возможно большее количество компьютеров троянские программы.
Они могут не выполнять никаких функций и не причинять никакого ущерба до тех пор, пока не будут «разбужены» самим хакером, — или до какого-то определённого, заданного заранее, момента времени.
Вот и представьте себе: несколько тысяч этих троянов «просыпаются» и заставляют компьютеры постоянно слать бессмысленные пакеты данных по одному и тому же адресу. Для сервера это даже не ковровая бомбардировка, это даже не расстрел из сотни крупнокалиберных пулемётов. Это сравнимо, разве что с направленным ядерным взрывом.
Жертвами таких «взрывов» падали в 2000 году всемирно известные ресурсы Amazon.com, Yahoo!, eBay — и ещё ряд сверхпопулярных сайтов.
В октябре 2002 года произошла атака на корневые серверы Интернета — семь из тринадцати оказались временно недоступными.
21 февраля 2003 года произошло DDoS-нападение на LiveJournal.com. Сервис два дня был то недоступен вовсе, то работал кое-как, с пятого на десятое.
Вопрос, зачем кому-то нужно творить такие безобразия — риторический. Это тоже самое, что и написание вирусов (о том, кто этим занимается, мы уже писали).
В интервью «Мембране» хакер Nostalg1c заявил, что взломать чей-то сервер — это отменный способ отомстить.
Но в случае с «глобальными» DDoS-атаками — это просто демонстрация безмозглой силы. Из тех же побуждений деревенские бездельники бьют стёкла в электричках — пойманные за шиворот, они лишь тупо улыбаются и на вопрос «зачем?» вразумительного ответа не дают.
Главная проблема пока в том, что не существует простой и надёжной защиты от таких атак. Потенциально уязвим любой сервер. Если он не защищён никак, то и в результате не слишком массированной атаки он с перепугу упадёт в обморок.
В конце концов, взлом даже самой мощнейшей системы, способной обрабатывать колоссальное количество запросов — это дело техники, а точнее, вопрос количества компьютеров, на которые подсажены трояны.
Главная проблема — это защита.
Нельзя, впрочем, сказать, что с DDoS-атакой невозможно справиться. Самое действенное — это поставит брандмауэр (он же Firewall), позакрывать все лишние порты и не пропускать никаких транзакций, кроме как с тех портов и приложений, которые администратор прописал заранее.
Но подобный изоляционизм далеко не всех устраивает.
Можно вручную блокировать источники мусорного трафика — но если таких источников несколько тысяч, это едва ли поможет.
Попытки автоматизировать этот процесс предпринимаются уже довольно давно. Даже выпущены некоторые специализированные решения, например FloodGuard (производитель — Reactive Networks).
FloodGuard — это то, что называется программно-аппаратный комплекс. Довольно крупная и увесистая, надо сказать, штука: 4 см в высоту, 44,7 — в ширину, 68,6 — в длину. Весит почти 16 кг.
Принцип работы этой системы выглядит примерно так.
На брандмауэрах, свитчах и маршрутизаторах располагаются детекторы, которые постоянно мониторят трафик и создают его «профиль» (или «маску»), исходя из таких характеристик, как объём пакетов данных, их тип, источник, направление и так далее.
Соответственно, в случае возникновения каких-то аномалий, детектор немедленно поднимает по тревоге исполнительные модули (actuators), посылая им информацию об этих аномалиях, об источнике атаки, объёмах паразитного трафика и типах посылаемых пакетов.
Исполнительные модули, размещённые в разных сегментах сети на маршрутизаторах, также постоянно отслеживают трафик, и получив данные о появлении паразитных пакетов, начинают отыскивать их в тех данных, которые проходят через них.
Если паразитные пакеты обнаруживаются, исполнительный модуль немедленно посылает сигнал тревоги предыдущему по ходу трафика модулю вместе с рекомендациями по активизации фильтров на соответствующих маршрутизаторах.
Таким образом, лавине «мусорных» данных возводится восходящий заслон, причём блокируется не всё подряд, а именно вредоносный трафик. Заслон может возводиться в автоматическом режиме, но существует возможность ручной настройки.
Теперь — что предлагает Intel?
Запатентованная инженерами Дэвидом Патзолу (David Putzolu) и Тоддом Андерсоном (Todd Anderson) система подразумевает модификацию самих маршрутизаторов так, чтобы они автоматически реагировали на сигнал тревоги со стороны атакованного компьютера.
Более того, в патентной заявке Патзолу и Андерсон похваляются тем, что их система взлому подлежать не будет — испытывая судьбу, как выразился журнал New Scientist.
Предполагается, что сигнал тревоги будет содержать копию вредоносного пакета. Маршрутизаторы немедленно создают его профиль (маску) и отсекают все похожие сообщения. Если обнаружится, что вредоносное сообщение обходит возведённый барьер, то сигнал тревоги изменяется и барьер подстраивается так, чтобы наглухо заблокировать паразитный трафик.
Ну, а чтобы злобные хакеры не пытались одурачить компьютеры и заставить их блокировать «законный» трафик, маршрутизатор и атакованный компьютер должны идентифицировать друг друга с помощью «цифровых сертификатов» вроде тех, что используются для обеспечения безопасности финансовых транзакций через Интернет.
Иными словами, нынешнее предложение Intel весьма сходно в технологическом плане с тем, что предлагает — причём уже два года — Reactive Networks.
Просто Intel предлагает выпускать маршрутизаторы нового поколения (очевидно, с security-начинкой от Intel), которые сами будут обнаруживать и блокировать вредоносный трафик, а Reactive Networks уже продаёт «софтово-железный» комплекс, который сам превращается в многоголового «цензора». Или «цербера».
