Как сделать ддос-атаку и сесть на семь лет. Что такое DDoS атака - суть и происхождение Ddos атака на телефон уголовная ответственность

Все чаще в официальных сообщениях хостинг-провайдеров то тут, то там мелькают упоминания об отраженных DDoS-атаках. Все чаще пользователи, обнаружив недоступность своего сайта, с ходу предполагают именно DDoS. И действительно, в начале марта Рунет пережил целую волну таких атак. При этом эксперты уверяют, что веселье только начинается . Обойти вниманием явление столь актуальное, грозное и интригующее просто не получается. Так что сегодня поговорим о мифах и фактах о DDoS. С точки зрения хостинг-провайдера, разумеется.

Памятный день

20 ноября 2013 года впервые за 8-летнюю историю нашей компании вся техническая площадка оказалась недоступна на несколько часов по причине беспрецедентной DDoS-атаки. Пострадали десятки тысяч наших клиентов по всей России и в СНГ, не говоря уже о нас самих и нашем интернете-провайдере. Последнее, что успел зафиксировать провайдер, прежде чем белый свет померк для всех - что его входные каналы забиты входящим трафиком наглухо. Чтобы представить это наглядно, вообразите себе вашу ванну с обычным сливом, в которую устремился Ниагарский водопад.

Даже вышестоящие в цепочке провайдеры ощутили отголоски этого цунами. Графики ниже наглядно иллюстрируют, что происходило в тот день с интернет-трафиком в Петербурге и в России. Обратите внимание на крутые пики в 15 и 18 часов, как раз в те моменты, когда мы фиксировали атаки. На эти внезапные плюс 500-700 Гб.

Несколько часов ушло на то, чтобы локализовать атаку. Был вычислен сервер, на который она велась. Затем была вычислена и цель интернет-террористов. Знаете, по кому била вся эта вражеская артиллерия? По одному весьма обычному, скромному клиентскому сайту.

Миф номер один: «Объект атаки - всегда хостинг-провайдер. Это происки его конкурентов. Не моих.» На самом деле, наиболее вероятная мишень интернет-террористов - обычный клиентский сайт. То есть сайт одного из ваших соседей по хостингу. А может быть, и ваш.

Не все то DDoS…

После событий на нашей техплощадке 20 ноября 2013 и их частичного повторения 9 января 2014 некоторые пользователи стали предполагать DDoS в любом частном сбое работы собственного сайта: «Это DDoS!» и «У вас опять DDoS?»

Важно помнить, что если нас постигает такой DDoS, что его ощущают даже клиенты, мы сразу сами сообщаем об этом.

Хотим успокоить тех, кто спешит поддаваться панике: если с вашим сайтом что-то не так, то вероятность того, что это именно DDoS, составляет меньше 1%. Просто в силу того, что с сайтом очень много чего может случиться и это «много что» случается гораздо чаще. О методах самостоятельной быстрой диагностики, что именно происходит с вашим сайтом, мы поговорим в одном из следующих постов.

А пока - ради точности словоупотребления - проясним термины.

О терминах

DoS-атака (от английского Denial of Service) - это атака, призванная добиться отказа сервера в обслуживании по причине его перегрузки.

DoS-атаки не связаны с вредом для оборудования или хищением информации; их цель - сделать так, чтобы сервер перестал отвечать на запросы. Принципиальное отличие DoS в том, что атака происходит с одной машины на другую. Участников ровно два.

Но в действительности мы практически не наблюдаем DoS-атак. Почему? Потому что объектами атак чаще всего выступают промышленные объекты (например, мощные производительные серверы хостинг-компаний). А чтобы причинить сколь-нибудь заметный вред работе такой машины, нужны гораздо бОльшие мощности, чем ее собственные. Это во-первых. А во-вторых, инициатора DoS-атаки достаточно легко вычислить.

DDoS - по сути, то же самое, что и DoS, только атака носит распределенный характер. Не пять, не десять, не двадцать, а сотни и тысячи компьютеров обращаются к одному серверу одновременно из разных мест. Такая армия машин называется ботнетом . Вычислить заказчика и организатора практически невозможно.

Соучастники

Что за компьютеры включаются в ботнет?

Вы удивитесь, но зачастую это самые обычные домашние машины. Who knows?.. - вполне возможно, ваш домашний компьютер увлечен на сторону зла .

Нужно для этого немного. Злоумышленник находит уязвимость в популярной операционной системе или приложении и с ее помощью заражает ваш компьютер трояном, который в определенный день и час дает вашему компьютеру команду начать совершать определенные действия. Например, отправлять запросы на определенный IP. Без вашего ведома и участия, конечно.

Миф номер два: « DDoS делается где-то вдалеке от меня, в специальном подземном бункере, где сидят бородатые хакеры с красными глазами.» На самом деле, сами того не ведая, вы, ваши друзья и соседи - кто угодно может быть невольным соучастником.

Это действительно происходит. Даже если вы об этом не думаете. Даже если вы страшно далеки от ИТ (особенно если вы далеки от ИТ!).

Занимательное хакерство или механика DDoS

Явление DDoS неоднородно. Это понятие объединяет множество вариантов действий, которые приводят к одному результату (отказу в обслуживании). Рассмотрим варианты неприятностей, которые могут преподнести нам DDoS’еры.

Перерасход вычислительных ресурсов сервера

Делается это путем отправки на определенный IP пакетов, обработка которых требует большого количества ресурсов. Например, для загрузки какой-то страницы требуется выполнить большое число SQL-запросов. Все атакующие будут запрашивать именно эту страницу, что вызовет перегрузку сервера и отказ в обслуживании для обычных, легитимных посетителей сайта.
Это атака уровня школьника, посвятившего пару вечеров чтению журнала «Хакер». Она не является проблемой. Один и тот же запрашиваемый URL вычисляется моментально, после чего обращение к нему блокируется на уровне вебсервера. И это только один из вариантов решения.

Перегрузка каналов связи до сервера (на выход)

Уровень сложности этой атаки примерно такой же, что и у предыдущей. Злоумышленник вычисляет самую тяжелую страницу на сайте, и подконтрольный ему ботнет массово начинает запрашивать именно ее.


Представьте себе, что невидимая нам часть Винни-Пуха бесконечно велика
В этом случае также очень легко понять, чем именно забивается исходящий канал, и запретить обращение к этой странице. Однотипные запросы легко увидеть с помощью специальных утилит, которые позволяют посмотреть на сетевой интерфейс и проанализировать трафик. Затем пишется правило для Firewall, которое блокирует такие запросы. Все это делается регулярно, автоматически и так молниеносно, что большинство пользователей ни о какой атаке даже не подозревает.

Миф номер три: «А таки на мой хостинг просходят редко часто, и я их всегда замечаю.» На самом деле, 99,9% атак вы не видите и не ощущаете. Но ежедневная борьба с ними - это будничная, рутинная работа хостинговой компании. Такова наша реальность, в которой атака стоит дешево, конкуренция зашкаливает, а разборчивость в методах борьбы за место под солнцем демонстрируют далеко не все.

Перегрузка каналов связи до сервера (на вход)

Это уже задачка для тех, кто читал журнал «Хакер» больше, чем один день.


Фото с сайта радио «Эхо Москвы». Не нашли ничего более наглядного, чтобы представить DDoS c перегрузкой каналов на вход.
Чтобы забить канал входящим трафиком до отказа, нужно иметь ботнет, мощность которого позволяет генерировать нужное количество трафика. Но может быть, есть способ отдать мало трафика, а получить много?

Есть, и не один. Вариантов усиления атаки много, но один из самых популярных прямо сейчас - атака через публичные DNS-серверы. Специалисты называют этот метод усиления DNS-амплификацией (на случай, если кому-то больше по душе экспертные термины). А если проще, то представьте себе лавину: чтобы сорвать ее, достаточно небольшого усилия, а чтобы остановить - нечеловеческие ресурсы.

Мы с вами знаем, что публичный DNS-сервер по запросу сообщает любому желающему данные о любом доменном имени. Например, мы спрашиваем такой сервер: расскажи мне о домене sprinthost.ru. И он, ничтоже сумняшеся, вываливает нам все, что знает.

Запрос к DNS-серверу - очень простая операция. Обратиться к нему почти ничего не стоит, запрос будет микроскопическим. Например, вот таким:

Остается только выбрать доменное имя, информация о котором будет составлять внушительный пакет данных. Так исходные 35 байт легким движением руки превращаются в почти 3700. Налицо усиление более чем в 10 раз.

Но как сделать так, чтобы ответ направлялся на нужный IP? Как подделать IP источника запроса, чтобы DNS-сервер выдавал свои ответы в направлении жертвы, которая никаких данных не запрашивала?

Дело в том, что DNS-серверы работают по протоколу обмена данными UDP , которому вовсе не требуется подтверждения источника запроса. Подделать исходящий IP в этом случае не составляет для досера большого труда. Вот почему такой тип атак сейчас так популярен.

Самое главное: для реализации такой атаки достаточно совсем небольшого ботнета. И нескольких разрозненных публичных DNS, которые не увидят ничего странного в том, что разные пользователи время от времени запрашивают данные в адрес одного хоста. И уже только потом весь этот трафик сольется в один поток и заколотит наглухо одну «трубу».

Чего досер не может знать, так это емкости каналов атакуемого. И если он не рассчитает мощность своей атаки верно и не забьет канал до сервера сразу на 100%, атака может быть достаточно быстро и несложно отбита. С помощью утилит типа TCPdump легко выяснить, что входящий трафик прилетает от DNS, и на уровне Firewall запретить его принимать. Этот вариант - отказ принимать трафик от DNS - сопряжен с определенным неудобством для всех, однако и серверы, и сайты на них при этом будут продолжать успешно работать.

Это лишь один вариант усиления атаки из множества возможных. Есть и масса других типов атак, о них мы сможем поговорить в другой раз. А пока хочется резюмировать, что все вышесказанное справедливо для атаки, чья мощность не превышает ширины канала до сервера.

Если атака мощная

В случае, если мощность атаки превосходит емкость канала до сервера, происходит следующее. Моментально забивается интернет-канал до сервера, затем до площадки хостинга, до ее интернет-провайдера, до вышестоящего провайдера, и так дальше и выше по нарастающей (в перспективе - до самых абсурдных пределов), насколько хватит мощности атаки.

И вот тогда это становится глобальной проблемой для всех. И если вкратце, это то, с чем нам пришлось иметь дело 20 ноября 2013 года. А когда происходят масштабные потрясения, время включать особую магию!


Примерно так выглядит особая магия С помощью этой магии удается вычислить сервер, на который нацелен трафик, и заблокировать его IP на уровне интернет-провайдера. Так, чтобы он перестал принимать по своим каналам связи с внешним миром (аплинкам) какие-либо обращения к этому IP. Любителям терминов: эту процедуру специалисты называют «заблэкхолить» , от английского blackhole.

При этом атакованный сервер c 500-1500 аккаунтами остается без своего IP. Для него выделяется новая подсеть IP-адресов, по которым случайным образом равномерно распределяются клиентские аккаунты. Далее специалисты ждут повторения атаки. Она практически всегда повторяется.

А когда она повторяется, на атакуемом IP уже не 500-1000 аккаунтов, а какой-нибудь десяток-другой.

Круг подозреваемых сужается. Эти 10-20 аккаунтов снова разносятся по разным IP-адресам. И снова инженеры в засаде ждут повторения атаки. Снова и снова разносят оставшиеся под подозрением аккаунты по разным IP и так, постепенным приближением, вычисляют объект атаки. Все остальные аккаунты к этому моменту возвращаются к нормальной работе на прежнем IP.

Как понятно, это не моментальная процедура, она требует времени на реализацию.

Миф номер четыре: «Когда происходит масштабная атака, у моего хостера нет плана действий. Он просто ждет, закрыв глаза, когда же бомбардировка закончится, и отвечает на мои письма однотипными отписками». Это не так: в случае атаки хостинг-провайдер действует по плану, чтобы как можно скорее локализовать ее и устранить последствия. А однотипные письма позволяют донести суть происходящего и при этом экономят ресурсы, необходимые для максимально быстрой отработки внештатной ситуации .

Есть ли свет в конце тоннеля?

Сейчас мы видим, что DDoS-активность постоянно возрастает. Заказать атаку стало очень доступно и безобразно недорого. Дабы избежать обвинений в пропаганде, пруфлинков не будет. Но поверьте нам на слово, это так.

Миф номер пять: «DDoS-атака - очень дорогое мероприятие, и позволить себе заказать такую могут только воротилы бизнеса. В крайнем случае, это происки секретных служб!» На самом деле, подобные мероприятия стали крайне доступны.

Поэтому ожидать, что вредоносная активность сойдет на нет сама собой, не приходится. Скорее, она будет только усиливаться. Остается только ковать и точить оружие. Чем мы и занимаемся, совершенствуя сетевую инфраструктуру.

Правовая сторона вопроса

Это совсем непопулярный аспект обсуждения DDoS-атак, так как мы редко слышим о случаях поимки и наказания зачинщиков. Однако следует помнить: DDoS-атака - это уголовно наказуемое преступление. В большинстве стран мира, и в том числе в РФ.

Миф номер шесть: « Теперь я знаю про DDoS достаточно, закажу-ка праздник для конкурента - и ничего мне за это не будет!» Не исключено, что будет. И если будет, то мало не покажется.

  • Завязка истории с DDoS платежной системы Assist
  • Волнующая развязка

В общем, заниматься порочной практикой DDoS никому не советуем, чтобы не навлечь гнев правосудия и не погнуть себе карму. А мы в силу специфики деятельности и живого исследовательского интереса продолжаем изучать проблему, стоять на страже и совершенствовать оборонительные сооружения.

PS: у нас не находится достаточно теплых слов, чтобы выразить всю нашу признательность, поэтому мы просто говорим «Спасибо!» нашим терпеливым клиентам, которые горячо поддержали нас в трудный день 20 ноября 2013 года. Вы сказали много ободряющих слов в нашу поддержку в

Распределенные сетевые атаки часто называются распределёнными атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, например, инфраструктуре, которая обеспечивает условия для работы сайта компании. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все... и вызвать отказ в обслуживании.

Стандартные цели DDoS-атак:

  • Сайты интернет-магазинов
  • Онлайн-казино
  • Компания или организация, работа которой связана с предоставлением онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:

  • Существенное замедление время ответа на запросы.
  • Отказ в обслуживании всех запросов пользователей или части из них.

Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.

Использование сети зомби-компьютеров для проведения DDoS-атак

Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в , атака может быть слишком мощной для веб-ресурса жертвы.

Природа современных DDoS-угроз

В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:

  • Полицейские расследования, которые привели к аресту преступников по всему миру
  • Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам

После DDoS-атак на ЖЖ, которые называют едва ли не самыми крупными за всю историю сервиса, только ленивый не узнал о существовании силы, которая может обрушить сайт, даже такой мощности, как ЖЖ. Президент России Дмитрий Медведев назвал атаки на блогосервис возмутительными и незаконными. А через несколько дней атаке подвергся и сайт «Новой газеты», которая на время DDoS «ушла» в заработавший ЖЖ и там выложила свои тексты.

Найти человека, который «положит» по вашей просьбе любой сайт, несложно. Конечно, в «Директе» вы их рекламу не встретите, но на разных форумах она есть. В качестве контактов - номера ICQ, к оплате принимают электроные деньги. Например, в одном объявлении обещают полную анонимность, мониторинг объекта (гарантируют, что объект «внезапно не встанет»), обещают даже научить азам «DDoS-искусства». Чтобы разместить объявление на форуме, нужно пройти своеобразный тест от админа... завалить парочку сайтов.

DDoS - как они это делают?

Я поговорила на эту тему с человеком, который называет себя специалистом по организации DDoS-атак, он представился как Toxa. z. x. Его реклама в одном из форумов встретилась на первой странице выдачи Яндекса по запросу «DDoS услуга». Он называет это «услуги по устранению сайтов и форумов ваших конкурентов при помощи DDoS-атаки». Постоянным заказчикам предлагает индивидуальные условия, принимает заказы на срок от 12-ти часов. «В среднем, цены на DDoS от $40 в сутки, - написано в форуме, - Принимаем на исполнение любой ресурс. В случае неудачи делаем манибек».

Он говорит, что заказывают разные сайты - и интернет-магазины, и форумы, и сайты типа компромат. ру, и просто конкурентов. В качестве теста для форума он в свое время вырубил сайты «Дома 2» и uCoz. Говорит, что в месяц зарабатывает порядка 600 тысяч рублей, правда, не только DDoS, но и взламыванием почтовых ящиков (эта услуга, по его словам, стоит 1000-2000 рублей за ящик). «По поводу цели заказа - никогда не задаюсь этим вопросом, да и не думаю, что каждый заказчик расскажет о своей цели», - говорит он.

Сколько стоит DDoS?

«Стоимость много от чего зависит: 1. Сложность атаки, т. е. от того, как защищен сайт (антиддос сервера и другие защиты). 2. От важности ресурса, т. е. если сайт не частного владельца, а связан тем или иным образом с политикой, государством и прочим, то цена, соответственно, возрастает. 3. Ну и от того, насколько покажет себя ЛОХОМ клиент: ну вот закажете вы мне сайт, который я положу 10 ботами (стоит такая работа максимум 20$ в сутки)... Я ж, соответственно, этого не скажу, я скажу, что сайт сложный и стоить будет от 50$ и выше, если клиент скажет, что его устраивает, то я скажу, что точную цену назову после теста, а после теста я, соответственно, завышу еще и скажу 60$... Если же клиент более-менее понимает что-то, то он скажет, что я завышаю цену и объяснит мне почему... и тогда я скажу реальную цену.

Клиенты всякие попадаются. Некоторые сразу же рассказывают о защите сайта, дают советы как их лучше и легче положить, а некоторым просто нужно, чтобы сайт не работал. Есть клиенты, которые вообще не понимают, что это такое и думают, что DDoS - это какой-то способ взлома сайта, т. е. после они получат админ-доступ к нему».

Кого «ддосили»?

«Ддосили» крупный информационный портал. DDoS продолжался 2 дня, после начали появляться известия об этом в новостях, в следствии чего от дальнейшей работы отказались. За эти 2 дня нами было получено $900 т. е. по $450 за сутки. После нашего отказа заказчик поднял цену до $4500 в сутки, но мы отказались, и никто так и не согласился. Хотя если считать только по сложности заказа, то стоил бы этот сайт максимум $90 в сутки«.

Почему отказались?

«Потому, что лучше сидеть голым у ноута, чем сидеть одетым на нарах...»

Кто мог стоять за атакой ЖЖ?

«Да, это был DDoS, нет, это не сам ЖЖ, стоять могу хоть я за этим, сложно не очень... По стоимости такая атака могла стоить - если брать из расчета на сутки - от $250 до 400, почасовая атака стоила бы гораздо дороже. Хотя до 400$ это я занизил. Это опять же из сложности исходил... а так + значимость сайта».

Про рынок DDoS-услуг

«В основном много народа, которые скачали паблик ботнеты и ими пытаются работать, в следствии чего просто кидают заказчика. Фирм, отраслей нету. Есть, наверное, в принципе легкие заказы, которые 1 человек и исполняет. Вообще ддосеров, которые способны на исполнение крупного заказа мало. Для меня лично это работа, но не основная, а одна из основных. Вообще я занимаюсь взломом email-адресов, ддосом, ну и по мелочи еще».

Специалист по DDoS-атакам также рассказал - чтобы себя «обезопасить», они оставляют только ICQ в качестве контактов и пользуются сторонними IP-адресами, например, со мной он разговаривал с итальянского IP. «Сам я сижу со съемного винчестера. При малейшем подозрении, что ко мне поднимаются гости, которых я не жду, этот винт будет отключен, разбит на мелкие осколки и закопан в подполье... Банки мы не грабим, миллионы со счетов не воруем, поэтому и не ищут нас пока». Защитить свой сайт, по мнению хакера, можно, только положив его на мощные антидос-сервера, от этого вырастет цена за DDoS, и, возможно, желающих этот сайт «положить» поубавится. «Если мне заплатят $150 тыс. в сутки, то я и Mail.ru положу», - оптимистично закончил разговор Тоха.

После этой ICQ-беседы Toxa. z. x показал на примере, как он взламывает ящики невинных пользователей. Я по его просьбе зарегистрировала ящик на Mail. ru и сказала ему логин. Он прислал мне письмо «от имени администрации портала Mail.ru», внутри была красиво сверстанная страничка, извещавшая о том, что я не получила какое-то письмо, потому что у меня переполнен ящик. И предложение кликнуть на ссылки. Там снова просили ввести логин-пароль, только это была вовсе не страница Mail. ru, а фишинговая страница (то есть похожая на настоящую), и данные, которые я ввела, сразу улетали Тохе. Он отдает их заказчику, тот беспрепятственно смотрит почту конкурента/жены/коллеги, а жертва даже не подозревает об этом. Есть и другие способы, например, посмотреть «Мой мир» человека и прислать ему письмо от имени «друга» со ссылкой на новые фотки. Дальше то же самое. 80% доверчиво кликают. Тоха предложил для подтверждения своей мощи «положить» по моей просьбе какой-нибудь сайт, но от такого предложения я отказалась.

Сайты в Рунете «досят» практически каждый день

«DDoS-атаки на сайты наших клиентов случаются через день, иногда каждый день, иногда и по два раза в день. Их видно через 2-3 минуты после начала атаки», - рассказал «АиФ» Сергей Баукин, руководитель департамента хостинга компании RU-CENTER, который занимает второе место по количеству клиентов среди российских хостинг-провайдеров.

В RU-CENTER стоит система мониторинга, которая отслеживает атаки на сайты клиентов. Если она замечает подозрительную активность, она оповещает об этом сотрудников с помощью писем, звуковых сигналов или выведением на экран. Получив такой сигнал, дежурная группа решает, действительно это DDoS или нет. Если от атаки страдает только один сайт, хостер предупреждает об этом клиента и предлагает ему алгоритм действий, который может помочь уйти от атаки. Но на виртуальном хостинге на одном сервере обычно лежит несколько сайтов, поэтому атака на один сайт может повлечь неприятности и для других. Если это случилось, сайт, на который ведется атака, переносят на отдельный сервер на время атаки, выделают ему отдельный IP, а запросы к этому сайту проводят через специальное оборудование, которое фильтрует DDoS-запросы от естественных. Кроме того, проводится анализ атакующих запросов, они заносятся в блок-листы.

На случай очень серьезной атаки у RU-CENTER есть договоренность с магистральными провайдерами, которые могут помочь отфильтровать запросы на своем оборудовании, разгружая при этом мощности самого хостера.

«Обычно до первого DDoSa клиент не предпринимает никаких действий по защите своего ресурса, - говорит Сергей Баукин, - А по-хорошему, думать о вероятности атаки нужно еще на этапе проектирования сайта, нужно оптимизировать потребление вычислительных ресурсов, памяти, дисковой активности, соединения с базой данных и т. д. При этом нужно соотносить риски возникновения DDoS-атаки и расходы на защиту от нее, потому что на защиту можно потратить очень много денег (вплоть до аренды выделенных серверов), но это будет необосновано. При грамотном подходе на виртуальном хостинге можно сделать относительно защищенную систему от „дешевой“ или „непрофессиональной“ атаки, хотя очень многое зависит от самого сайта».

DDoS в законе?

«Я искренне считаю, что DDoS-атака не является незаконным действием на территории Российской федерации, - рассказал „АиФу“ Михаил Салкин, юрист из Московского Правозащитного Центра. - Не потому, что это плохо или хорошо, а потому что действующий УК РФ не содержит такой статьи, которая бы предусматривала наказание за такое деяние, равно как и сам критерий DDoS атаки.

Сама по себе DDoS-атака безобидна, в том смысле, что одновременно к серверу организуется несколько обращений (запросов), и невозможно определить, какой запрос настоящий, а какой отправлен без цели получить ответ».

Михаил сравнивает это с почтой: «Если каждый гражданин в один день и в один час пойдет на почту чтобы отправить одинаковую жалобу президенту, то это так же нарушит нормальное функционирование почтовой службы. И не только письма президенту будут доставляться с задержкой, но и вся другая корреспонденция на почте. Однако за это наказывать граждан нельзя, так как иное бы повлекло нарушение права на письменное обращение в органы власти. Но что делать, если неадекватный гражданин пишет и пишет одно и то же - на это разработан регламент - ответить 5 (!!!) раз письменно, а затем можно его запросы игнорировать.

Вернемся к интернету. Преследовать в уголовном порядке владельца компьютера, через который осуществляются DDoS-запросы, недопустимо, так как его компьютер может совершать такие запросы из-за вредоносного программного обеспечения или неправильных действий пользователя. Так как «водительских прав» для входа в сеть не изобрели, допустимо предполагать, что не каждый участник в сети будет вести себя правильно и в соответствии с общепринятыми нормами.

Можно перенять принципы, принятые в зарубежных странах, которые позволяют приостанавливать доступ в сеть, в случае обнаружения таких многократных DDoS-запросов с уведомлением владельца компьютера о данном факте.

Можно ли привлечь к ответственности за атаки на ЖЖ и сайт «Новой газеты», кого в таком случае привлекать и за что?

«Если верить Лаборатории Касперского, что DDoS-атака организована с помощью бот-компьютеров, зараженных вирусами, то ответственность должны понести создатели такого вируса, а также те, кто производили такое распространение и его запуск. В соответствии со статьей 273 УК РФ за это предусмотрено наказание в виде лишения свободы до трех лет со штрафом до 200 000 рублей. А если будет доказано, что создание такого вируса повлекло повлекли тяжкие последствия (например из-за вируса отключился аппарат искусственного дыхания или бортовой компьютер самолета во время взлета, что привело к крушению и т. д.), то создатель вируса отправится за решетку от 3 до 7 лет.

Важный нюанс: уголовный кодекс действует только на территории РФ, его территориальных водах, континентальном шельфе и экономической зоне. Поэтому если вирус написал иностранец не на территории РФ, то оснований для применения уголовного закона нет».

Рынок DDoS-атак стимулируют в том числе сами владельцы сайтов, многие из них начинают искать исполнителей таких услуг, когда их собственный сайт подвергается DDoS, в отместку. Получается порочный круг, в выигрыше остаются только хакеры, которые пополняют свои виртуальные счета. Найти и купить эту услугу так же просто, как оплатить в сети доступ в интернет. Кажущиеся невысокими расценки опускают этот вид «деятельности» в ту же плоскость, где вы заказываете, например, SEO. Заплатил - получил результат, а насколько это морально и законно - дело десятое. И пока это остается «делом десятым» для пользователей, для бизнеса и для государства, нас «ддосят» и будут «ддосить».

За последнее время мы смогли убедиться, что DDoS атаки - это довольно сильное оружие в информационном пространстве. С помощью DDoS атак с высокой мощностью можно не только отключить один или несколько сайтов, но и нарушить работу всего сегмента сети или же отключить интернет в маленькой стране. В наши дни DDoS атаки случаются все чаще и их мощность с каждым разом возрастает.

Но в чем суть такой атаки? Что происходит в сети когда она выполняется, откуда вообще возникла идея так делать и почему она такая эффективная? На все эти вопросы вы найдете ответы в нашей сегодняшней статье.

DDoS или distributed denial-of-service (разделенный отказ в обслуживании) - это атака на определенный компьютер в сети, которая заставляет его путем перегрузки не отвечать на запросы других пользователей.

Чтобы понять что значит ddos атака, давайте представим ситуацию: веб-сервер отдает пользователям страницы сайта, допустим на создание страницы и полную ее передачу компьютеру пользователя уходит полсекунды, тогда наш сервер сможет нормально работать при частоте два запроса в секунду. Если таких запросов будет больше, то они будут поставлены в очередь и обработаются как только веб-сервер освободиться. Все новые запросы добавляются в конец очереди. А теперь представим что запросов очень много, и большинство из них идут только для того, чтобы перегрузить этот сервер.

Если скорость поступления новых запросов превышает скорость обработки, то, со временем, очередь запросов будет настолько длинной, что фактически новые запросы уже не будут обрабатываться. Это и есть главный принцип ddos атаки. Раньше такие запросы отправлялись с одного IP адреса и это называлось атакой отказа в обслуживании - Dead-of-Service, по сути, это ответ на вопрос что такое dos. Но с такими атаками можно эффективно бороться, просто добавив ip адрес источника или нескольких в список блокировки, к тому же несколько устройство из-за ограничений пропускной способности сети не физически не может генерировать достаточное количество пакетов, чтобы перегрузить серьезный сервер.

Поэтому сейчас атаки выполняются сразу с миллионов устройств. К называнию было добавлено слово Distribed, распределенная, получилось - DDoS. По одному эти устройства ничего не значат, и возможно имеют подключение к интернету с не очень большой скоростью, но когда они начинают все одновременно отправлять запросы на один сервер, то могут достигнуть общей скорости до 10 Тб/с. А это уже достаточно серьезный показатель.

Осталось разобраться где злоумышленники берут столько устройств для выполнения своих атак. Это обычные компьютеры, или различные IoT устройства, к которым злоумышленники смогли получить доступ. Это может быть все что угодно, видеокамеры и роутеры с давно не обновляемой прошивкой, устройства контроля, ну и обычные компьютеры пользователей, которые каким-либо образом подхватили вирус и не знают о его существовании или не спешат его удалять.

Виды DDoS атак

Есть два основные типы DDoS атак, одни ориентированы на то, чтобы перегрузить определенную программу и атаки, направленные на перегрузку самого сетевого канала к целевому компьютеру.

Атаки на перегрузку какой-либо программы, еще называются атаки у 7 (в модели работы сети osi - семь уровней и последний - это уровней отдельных приложений). Злоумышленник атакует программу, которая использует много ресурсов сервера путем отправки большого количества запросов. В конце-концов, программа не успевает обрабатывать все соединения. Именно этот вид мы рассматривали выше.

DoS атаки на интернет канал требуют намного больше ресурсов, но зато с ними намного сложнее справиться. Если проводить аналогию с osi, то это атаки на 3-4 уровень, именно на канал или протокол передачи данных. Дело в том, что у любого интернет-соединения есть свой лимит скорости, с которой по нему могут передаваться данные. Если данных будет очень много, то сетевое оборудование точно так же, как и программа, будет ставить их в очередь на передачу, и если количество данных и скорость их поступления будет очень сильно превышать скорость канала, то он будет перегружен. Скорость передачи данных в таких случаях может исчисляться в гигабайтах в секунду. Например, в случае с отключения от интернета небольшой страны Либерии, скорость передачи данных составила до 5 Тб/сек. Тем не менее 20-40 Гб/сек достаточно, чтобы перегрузить большинство сетевых инфраструктур.

Происхождение DDoS атак

Выше мы рассмотрели что такое DDoS атаки, а также способы DDoS атаки, пора перейти к их происхождению. Вы когда-нибудь задумывались почему эти атаки настолько эффективны? Они основаны на военных стратегиях, которые разрабатывались и проверялись на протяжении многих десятилетий.

Вообще, многие из подходов к информационной безопасности основаны на военных стратегиях прошлого. Существуют троянские вирусы, которые напоминают древнее сражение за Трою, вирусы-вымогатели, которые крадут ваши файлы, чтобы получить выкуп и DDoS атаки ограничивающие ресурсы противника. Ограничивая возможности противника, вы получаете немного контроля над его последующими действиями. Эта тактика работает очень хорошо как для военных стратегов. так и для киберпреступников.

В случае с военной стратегией мы можем очень просто думать о типах ресурсов, которые можно ограничить, для ограничения возможностей противника. Ограничение воды, еды и строительных материалов просто уничтожили бы противника. С компьютерами все по-другому тут есть различные сервисы, например, DNS, веб-сервер, сервера электронной почты. У всех них различная инфраструктура, но есть то, что их объединяет. Это сеть. Без сети вы не сможете получить доступ к удаленной службе.

Полководцы могут отравлять воду, сжигать посевы и устраивать контрольные пункты. Киберпреступники могут отправлять службе неверные данные, заставить ее потребить всю память или вовсе перегрузить весь сетевой канал. Стратегии защиты тоже имеют те же самые корни. Администратору сервера придется отслеживать входящий трафик чтобы найти вредоносный и заблокировать его еще до того как он достигнет целевого сетевого канала или программы.

Основатель и администратор сайта сайт, увлекаюсь открытым программным обеспечением и операционной системой Linux. В качестве основной ОС сейчас использую Ubuntu. Кроме Linux интересуюсь всем, что связано с информационными технологиями и современной наукой.