КОМПРОМАТ.UA
(http://compromat.ua/ru/16/21753/index.html)


Какая страна, такие у нее и DOS-атаки

netlore.ru  | 

Какая страна, такие у нее и DOS-атаки

  автор: Виктор Найдан  
16 марта 2009

Заместитель председателя правления Интернет Ассоциации Украины Александр Ольшанский считает, что неумолимое усиление атак на украинские сайты через 3-5 лет приведет к появлению в Украине рынка безопасности в Интернете.

Каждую неделю по крайней мере, хотя бы один общественно-политичский интернет-ресурс заявляет о DOS-атаке, которую он пережил. Проблему DDOS различные сайты решают  по-разному. Одни "отбиваются" своими усилиями, другие — привлекают провайдеров, третьи — "ложатся" и ждут, "когда же это все закончится".
Но всех обьединяет одно жгучее желание: найти злопыхателя. А также — как не допустить DDOS в следующий раз? И даже если первое желание впоследствии теряет актуальность, то задача "как защититься от атаки" — перманентна.

Мы обратились за ответом к заместителю председателя правления ИнАУ Александру Ольшанскому. Тем более, что  эту проблему он может рассмотреть c разных сторон — как президент крупнейшего в Украине хостинг-провайдера MiroHost.net и как член правления ИнАУ — самой авторитетной организации, которая занимается разрешением острых проблем в Уанет

Начали нелукаво:

- Александр, извините за примитивный первый вопрос, но все же: можно ли с минимальными потерями "отбиться" от DOS-атаки?

- Можно.

- Только не у всех в Украине это получается...

- Почему? Некоторые наши клиенты “отбивались”, и не один раз. В Украине ведь не бывает  атак мощностью больше  миллиона пакетов в секунду. Такого DDOS в Украине я не видел. Для нашей страны скорее характерны цифры порядка десятков тысяч пакетов в секунду.

- Миллион — это  какие-то запредельные вещи.

- Нет, не запредельные. Для России, например, характерная величина может составлять порядка одного мегапакета в секунду (если это серьезная атака). Если говорить о мире, то мощность атак может быть еще больше. Поэтому в мире и существуют компании, которые защищают от DOS-атак. У нас была идея  предоставлять такую услугу  в Украине.  Но проблема в том, что здесь пока нет платежеспособного спроса. Большинство атак, с которыми мы сталкиваемся, направлены на сайты, оплачивающие виртуальный хостинг за  $8-10  в месяц. И на наше предложение в связи с DDOS перейти хотя бы на выделенный сервер за $50-70 в месяц отвчают категорическим отказом. Соответственно, и на защиту от  DOS-атак  такие сайты не готовы тратить хоть какие-либо деньги.

- А если бы вы предоставляли услугу защиты от DDOS — надо было бы у вас хостится (компания Mirohost.net- ред)?

- Нет. Это зависит от технологий. Но в общем случае, это желательное, но необязательное условие.

- А сколько должно быть заказчиков, чтобы подобная услуга “заработала”? 10-100-1000?

-  Больше 100 при цене услуги $200-300  в месяц. То есть, на содержание  инфраструктуры борьбы с DDOS нужно $20-30 тыс. в месяц.

- В России такие компании работают?

-  Такие компании работают везде. Можно купить за границей такую услугу прямо сейчас. Только стоить она будет не $300, а  $3-5 тысяч  в месяц. Но зато тебя от DDOS закроют так, что сайту будет страшна только атомная война.

- А как устроена логика такой защиты? Она понятна?

- Совершенно понятна. Это известный способ. Допустим, есть некий провайдер услуг. У него — набор IP-адресов. Этот провайдер ставит, к примеру, в 100 узловых точках по миру свои маршрутизаторы и сервера с файерволом. Соответственно, он тоннелирует свой трафик закрытыми шифроваными тоннелями до этих точек. И анонсируется из них во внешний мир (речь идет об анонсах BGP).  То есть, с технической точки зрения это выглядит так, как будто этот провайдер включен проводами в эти 100 точек напрямую. Допустим,  каждое включение может обработать 10 гигабит трафика, в том числе и “паразитного” . Соответственно суммарная мощность — один террабит. Значит, атакующему для того, чтобы “забить” такую систему, нужно развить один террабит потока (или около 100 мегапакетов). Далее файерволы на каждой точке включения фильтруют трафик, выбрасывая “мусор”.  И очищенный от DDOS трафик по шифрованному каналу доставляется  к защищаемому серверу. Я описываю достаточно упрощенно, но принцип понятен. Подобным образом, в несколько модифицировнаном виде защищают, например, корневые DNS-ы. Их регулярно пытаются атаковать, условно говоря, в целях "тренировки". Не помню точных даных, но на 2007 год самая крупная DOS-атака составила около 40 мегапакетов в секунду. Думаю, что сейчас эти величины колеблются в районе 100 мегапакетов.

DOS-атаки — это ведь большой криминальный бизнес. Фактически в большинстве случаев он сопряжен с вымогательством. У нас на хостинге есть сайты, с которых, я точно знаю, вымогали деньги. Обычно в качестве "мишеней" выбирают интернет-магазины, интернет-казино, крупные информационные ресурсы — проекты, для которых разрыв контакта с пользователями в Интернет грозит быстрыми и большими убытками.  Так, накануне  8 марта,  большинство украинских сайтов, торгующих цветами, "лежали". (К чести нашей компании замечу, что в то же время нам удалось поддерживать в работоспособном состоянии аналогичный ресурс, хостящийся у MiroHost.net).

- Для Украины впрочем хватает и маленькой атаки.

- Смотря для кого.   Но, понятно, что это вопрос денег. Атакующему надо потратить значительную сумму денег. Организация маленькой атаки осуществляется легко и дешево, например,  через какой-то форум. Но создание по-настоящему большой и крупной атаки — дело очень рискованное.  В мире ведь существует немало  платных сыскных агентств, которые специализируются на Интернете.

- Они ищут атакующего? Каким образом?

- Да, ищут, но как правило не техническими способами, а через агентуру или, например, предлагая деньги за информацию об организаторе атаки. И завтра организатора сдают свои же.  Потому что в одиночку это организовать нельзя.

- Ну, почему же: запустил троянов, наплодил "роботов" и атакуешь...

- Но ведь кто-то этот троян написал? А кто-то написал библиотеки, а кто-то написал компилятор, а кто-то содержит форум, через который общались заказчик с организатором. 

Рассказы о том, что атакующий — невыявляем —  неправда. Да, это дорого, но возможно. Если речь идет о серьезных мировых интернет-ресурсах, то последствия бывают тоже очень серьезные. Например, обвинение в данном преступлении заказчику могут предъявить в стране, где за это преступление предусмотрено 25 лет тюремного заключения.

- Когда на нас начинается очередная DOS-атака, то первая мысль: найти того, кто заказал... ну и дальше по списку...

- Если речь идет о небольших DOS -атаках, то здесь, как свидетельствует опыт, зачастую в качестве организатора оказывается ребенок 15 лет, который решил "побаловаться". Хотя от этого являение не становится менее опасным.

- Поставим вопрос по-другому. Если смоделировать такую ситуацию: напряглась госмашина, к зараженным компьютерам приходит технический специалист и милиционер. Они узнают, откуда компьютер заразился, дальше по цепочке....

 — Не поможет

- В связи с тупостью госмашины или от того, что это в принципе невозможно?

- Нужен очень специализированный инструмент. Именно потому в мире существуют компании, которые на этом специализируются. Ходить с милиционером — это ведь тоже стоит денег. А за эту атаку заплатили $50.

- Ну, $500 все-таки  чаще встречается.

- $500 — это уже недешевая атака. И если идти стандартными методами, то может оказаться, что на поиски надо будет потратить $500 тыс. Есть  два способа, как  найти заказчика:  можно за $500 тыс  устроить все это расследование. А можно на том же форуме, где эти DDOS продают, пообещать $5 тыс за информацию об организаторе.

На самом деле — это один из самых эффективных методов. Люди, которые продали  или сдали в аренду заказчику бот-нет (сеть компьютеров, зараженных вирусом- прим ред), сами же заказчика и "сдадут". Поскольку кроме денег, их ничего не интересует. Ничего личного.

- В том же контексте, но несколько другое. Как себя чувствует при атаке хостинг-провайдер?

- Плохо себя чувствует. У хостинг-провайдера следующие альтернативы. А — выключать сайт, который досят. В — защищать сайт, который досят бесплатно. И С — защищать его за деньги.  В большинстве случаев принимается вариант А, поскольку В убыточно, а за С заказчик платить не готов. В свою очередь, MiroHost.net старается минимизировать воздействие DDOS на своих клиентов, настолько насколько  это позволяет наша инфраструктура. И во многих случаях нам это удается. Однако для защиты от крупных DOS-атак необходим специализированный сервис по цене,  значительно превышающей цену, которую готовы платить сегодня клиенты.   

- А хостинг-провайдер может включиться в схему защиты за $5000 и защитить все свои сайты?

- За $5 тыс не может, но за $50 тыс. или за $500 тыс.- это возможно. Я уже говорил, что содержание минимальной инфраструктуры защиты от DDOS  обходится в десятки тысяч долларов в месяц. А если покупать эту услугу у стороннего провайдера — то это обойдется еще дороже. Например, для хостинг-компании нашего уровня по западным коммерческим расценкам такая услуга будет стоить больше $200 тысяч в месяц. И опять же, смысла в этом нет никого, поскольку большинство клиентов за это платить не готовы. Ну, скажем, зачем  DDOS-защита сайту  “О моей любимой кошке”? Если кому-то захочется потратить $50 и “выключить” его на 2 часа, то препятствовать этому нет никакого смысла.

- То есть обычно сайты отключают?

- Еще раз повторюсь: все зависит от самого ресурса. На Западе хостеры относятся к этому так: если у тебя интернет-бизнес — плати за анти-DOS защиту. Фактически — это страховка. Ведь нет компании, которая может защитить тебя от того, что на голову упадет кирпич. Но существует компания, предлагающая тебе страховку. Здесь та же схема. Если у тебя есть сайт, и ты считаешь для себя важным защититься от атак, то ты платишь специализированным компаниям,  точно также, как платишь за антивирус.

Хостинг-провайдеры, как правило, к этому отношения не имеют. Некоторые хостеры, правда, предоставляют такую услугу в пакете хостинга. Но фактически это две разные услуги. А поскольку цена анти-DOS защиты, как правило, существенно выше, то можно считать, что в рамках этой услуги хостинг предоставляется бесплатно. Так что создание  защищенных сетей — это большой быстроразвивающийся  бизнес в мире. Мы тоже исследовали в Украине возможность предоставления такой услуги, но, как я уже говорил, — рынок пока отсутствует.

- Потому что в Украине не было суператак?

-Скороее, потому что в Уанете мало денег. Затраты на безопасность пропорциональны количеству денег, которые оборачиваются в Интернете. Как только твой сайт начнет зарабатывать $300 тыс в месяц, я  уверен, что желающие тебя "подоить" найдутся. Я считаю, что в Украине  по настоящему прибыльных интернет-проектов (навскидку) не больше 50, но возможно, их еще меньше. А вот когда таких проектов станет 500 или 5000 —  тогда  появится рынок. Но это будет не завтра. Может, года через три или даже через пять.

- Может высокопарно..., но все-таки об информационной безопасности. Ведь за небольшие деньги можно положить все госорганы. А может и всю страну.

- Да, в современном мире, это оружие. Вот, например, если вспомнить войну в Грузии.. Фактически какой-то период времени грузинские сайты были недоступны. Если говорить об Украине, то "завалить" ее так, как "завалили" Грузию или в свое время Эстонию, нельзя.  Украина существенно лучше включена в мировой Интернет, у нас больше каналов, и они более разнообразны. А  Грузия была  подключена всего  двумя каналами. И то один их них был не очень хороший.

Хотя поводов, чтобы расслабиться, я не вижу. Учитывая наши размеры, такая атака обойдется существенно дороже, и организовать ее сложнее. Но здесь все зависит от того,  кто "на той стороне". Если это аматоры-любители, то, скорее всего, с Украиной им не справиться. Но если рассматривать эту проблему с точки зрения безопасности государства, то есть, сделать предположение, что атака будет организована вероятным внешним противником, то Украина сегодня — "голая". На самом деле "неголых" стран" очень мало. Понятно, что американцы что-то умеют, и англичане что-то умеют, и европейцы, и, возможно, россияне. Но это стоит денег, и больших.  У нас почему-то безопасность в Интернете люди воспринимают как что-то само собой разумеющееся. А это не так. Никто ведь не удивляется, что на машину надо поставить сигнализацию, и купить страховку. А страховка стоит 5% от стоимости машины. И сигнализация — 1-2 %. Здесь то же самое. С течением времени люди осознают, что в Интернете они должны нести такие же затраты на безопасность, как и в реальной жизни. Я думаю, что в Украине такое время наступит лет через пять. Кстати, этот рынок свободен. Любая компания  может попытать счастья в данном деле. Можно даже  сильно не спешить. Но  я думаю, что через пять лет это будет  большим рынком. Сегодня оборот Уанета оценивается в $10-20 млн в год, то есть 1-2% составит $100-200 тыс — и это все, на что может претендовать рынок безопасности. Это практически ничего. И на эти деньги построить компанию невозможно. Но вот если взять, например Россию, где обороты рынка оценивают в $1 млрд, то 1-2% — это уже $10-20 млн .  Так что следует ждать, пока Уанет вырастет как минимум раз в 20.

11.03.2009

источник: proit.com.ua

© Информационный проект "Компромат.UA", 2007-2009. Все права защищены.
При использовании материалов ссылка на "Компромат.UA" обязательна.
Created by: © "Компания дизайн и интернет решений AB Design",
Powered by: © "Admin CMS", 2007-2009.