Всем привет!
Политические события декабря 2011 резко повысили в рунетовских соцсетях градус холиварности. А по российским сетевым СМИ внезапно прошёлся Призрак - Призрак Ддоса. Эдакая зловещая хакерская атака, один за другим накрывшая отечественные веб-сайты (
или вот так? - см.пассаж про Коммерсантъ). Причём несколько одновременных атак - некоторые были организованы при помощи традиционных криминальных бот-сетей и за ними, как мне кажется, стояли маргинальные политические группы - жертвами атак были и сайты оппозиции (включая КПРФ) и сайты Единой России.
Вторая же атака была более изощрённой, пока у нас нет никакой достоверной информации о её «происхождении» - как техническом (как именно ддосили), так и о тех, кто её заказал. Не уверен, узнаем ли мы когда-нибудь 100% правду. Моё мнение по мере прояснения ситуации будет периодически публиковаться здесь, в блоге.
Рунетовский ддос в цифрах:
Но я задержался на теории. Перехожу к практике.
А пока расскажу как мы мониторим ботнеты и боремся с ддосом, а заодно попиарю нашу таблетку от этой напасти - анти-ддос проект
KDP.
В общем, в этих двух документах (
раз,
два) достаточно подробно рассказано что такое KDP. Для спецов. Я же сейчас переведу всю эту гиковщину на нормальный, доступный домохозяйке язык. Ага, ликбез. В конце концов у многих появится какая-то база, чтобы им больше не морочили голову всякими призрачными ддосами. А родина наконец узнает своих героев.
Начнём с начала. Что такое ддос?
Кстати, очень жизненная штука, которая применима не только к компьютерам и сетям (у кого есть хотя бы 3 детей меня хорошо поймут :)). Пример. Дано: ларёк с пончиками и продавщица (одна штука). За минуту она обслуживает 3 клиентов. Пришла электричка и сразу 20 пассажиров захотели подкрепиться. Имеем очередь и безобразное время обслуживания - но ларёк работает и продукт отпускает! Вдруг пришёл пароход к очереди присоединилось ещё 100 человек, которые начали негодовать, раскачивать ларёк и требовать немедленного обслуживания. Разумеется, обслуживание категорически прекратилось, и все добропорядочные граждане из электрички остались без пончиков.
(с)
palimphread // flickr
То же самое с веб-сайтами. Когда слишком много желающих «обслужиться» (например, почитать новости с избирательных участков), то сначала система начинает «тормозить», а потом, с возрастанием нагрузки и в точности как пророчит теория массового обслуживания - резко деградировать в производительности вплоть до полной недоступности. Природа DDoS-атаки -умышленная эмуляция таких запросов на обслуживание («флуд»), создание длинной-предлинной очереди, чтобы нормальные посетители не смогли дождаться своей порции контента.
Как происходит такая эмуляция?
В общем случае, как вы уже догадались - со множества компьютеров на сайт начинают поступать запросы. Обычно запросы идут из
ботнетов - больших сетей, состоящих из компьютеров, зараженных специальными зловредами. Из центра управления ботнетом на эти компьютеры приходит команда «фас» и они, незаметно для владельца начинают «флудить» жертву. Сколько таких запросов может выдержать сайт зависит от мощности оборудования и толщины канала. Любопытным - подробности
тут.
Ясен пень, когда большая часть нашей жизни перенеслась в онлайн сюда же пришли и большой бизнес и большая же политика. И ддос тут очень кстати оказался подручным инструментом, чтобы
«попридушить» конкурента,
пошантажировать онлайн-сервис,
прищучить неугодного и пр. (см. нашу
статистику) Разумеется, проявилась и побочка - валить всё, что ни попадя на ддос - всё равно ж мало кто понимает что это такое. А если кто-то аргументированно возразит - объявить врагом демократии и агентом Кремля/Вашингтона/Тель-Авива/Тбилиси. Классика!
Как защититься от ддоса?
Самое простое - иметь толстый-претолстый канал и мощное-премощное оборудование. Чтобы любой ботнет поперхнулся валить сайт. Чертовски дорого. Ни разу не бизнес-решение.
Есть куча других мер и полумер. Например, блэкхолинг (блокируем атакующий трафик - а вместе с ним и полезный -> не вариант), разные IDS/IPS системы (неэффективны от переполнения канала связи), оптимизация настроек сайта (работает только на слабые атаки).
Идея KDP не нова, но такой способ защиты от ддоса сейчас самый эффективный. Смысл вот в чём. Система принимает на себя трафик атакуемого сайта, рассовывает его по целой куче географически распределённых и очень толстых резервных каналов и фильтрует разными технологиями анализа трафика (сигнатурный, поведенческий, статистический и пр.). После этой мясорубки KDP возвращает очищенный трафик на сайт. Ага, и ларёк продолжает раздавать пончики.
По сути, получается временная аренда очень мощного канала связи + фильтра. При этом переключение происходит на раз-два - поднять атакуемый сайт можно в течение пары часов с момента поступления заявки. Клиенты получают оповещения об аномалиях в масштабе реального времени. Эффективность очистки от паразитного трафика - от 98% (UDP/SYN/ICMP/TCP Connect Flood) до 80% (DNS-атака).
Клиентов - несколько десятков, но назвать не могу - все под NDA. Государственные организации, банки, СМИ - очень разные клиенты.
Но была бы KDP самой банальной анти-ддос хренью (коих сейчас пруд-пруди), если бы не одно обстоятельство. Как вы знаете, наш профиль - защита от марвары. А кибер-негодяи уже много лет как монетизируют её через ботнеты. Ага, те самые, которые в числе всего прочего занимаются ддосом. Даже больше - подавляющее число ддосов происходят именно из этих самых ботнетов. Так вот, всю эту малвару мы потрошим, разбираем методики атак и постоянно тренируем KDP бороться с ними.
Побочный продукт анализа - мы мониторим активность ботнетов и видим кто, когда, кого и как атакует. Да, на все ботнеты ресурсов не хватает, но весь крупняк (такой, что может, например, «положить» ЖЖ) у нас под колпаком. Кроме того - обмениваемся информацией с коллегами-конкурентами, так что очень просто установить был ли какой-то сайт реально атакован или это пиар.
// Не ддосьте мой мозг байками о ддосе! :)
Вполне логичный вопрос: так, ЛК знает о ботнетах, но вместо того, чтобы их прикрывать делает на этом деньги! Ай-яй-яй! Ответ: прикрываем, ещё как прикрываем. Знали бы вы насколько это долгий и муторный процесс. Тут и провайдеры, которые не хотят терять такой кусок хлеба с маслом. И упёртая (коррумпированная?) бюрократия. И технические сложности и много других препятствий. Так что продвигаемся медленно, но уверенно. Пример - наша работа с голландской полицией против ботнетов
Bredolab и
Shadow и наша недавняя акция с Майкрософт по отключению
Hlux/Kelihos.
Вот, вкратце о ддосе и методах борьбы с ним.
А всем жертвам декабрьского и любого другого ддоса предлагаю хоть что-то сделать. Проблема есть и её надо решать. А стоять и плакаться, кивая на кремлёвские/вашингтонские происки - это какое-то убогое, неумное зрелище. Ну, разумеется, если вообще ддос имел место быть и это не жупел для списывания налево круворукости и разных других грешков :)