Эксперт: Вычислить заказчиков DDOS-атак практически невозможно
В последнее время казахстанское Интернет-издание Zona.kz часто подвергается хакерским атакам, которые выводят сайт из строя. Такая же проблема возникает порой и у информагентства «Фергана.Ру». Кто организует DDOS-атаки, кому они выгодны, можно ли защититься от них и почему действия хакеров интернет-провайдеры не стараются блокировать – эти и другие вопросы главный редактор Zona.kz Юрий Мизинов адресовал владельцу частной компании по защите от DDOS-атак Сергею Литвиненко.
- Сергей, скажите вначале, где и кем вы работаете и чем занимаетесь?
- Так сложилось, что уже два года я занимаюсь защитой от DDOS-атак. У меня небольшая частная компания, в которой работает десяток очень квалифицированных специалистов. Это основной наш потенциал. Ну, есть еще, конечно, техника, (маршрутизаторы, файрволы, сервера) разбросанная по всему миру, но без мозгов специалистов это просто груда электроники.
- Как вы поняли, нас интересуют DDOS-атаки. Скажите, кто занимается организацией DDOS-атак? Как их находят заказчики (или как они находят заказчиков)?
- Организацией DDOS-атак занимаются, как правило, молодые люди от 18 до 30 лет, в большинстве это хорошо подготовленные и грамотные специалисты. Редкое исключение составляют «школьники» и о них, как правило, пишут в газетах и по телевидению с громкими заголовками – «поймали организатора распределенной DDOS-атаки!». Настоящих профи поймать очень тяжело. Они никогда не выходят в сеть под своим именем или со своего адреса. Они используют различные методы шифрования, как правило, это OpenVPN + SOCKS. При этом расшифровать то, где находится человек, практически невозможно. Самым распространенным способом поиска заказа является размещение объявлений на форумах хакерской направленности.
- Кто преимущественно заказывает DDOS-атаки? Бизнесмены, политики, криминал?
- Мне сложно сказать, кто является заказчиками. Несомненно, это конкуренты. Очень часто по политическим заказам подвергаются атакам сайты онлайн-издательств. Достаточно часто мишенями для атак становятся площадки по интернет-торговле. Все то, что так или иначе приносит деньги, в сети может оказаться под ударом DDOS-атак. Я очень часто своим клиентам говорю о том, что если стоимость суточного простоя магазина равна стоимости месячной защиты от атаки, то не стоит даже думать. Нужно становиться под защиту.
- Сколько стоит заказать DDOS-атаку? Скажем, на неделю, интенсивностью 15-20 гбит/сек?
- Атаки бывают разные. Практически каждый день наши специалисты обновляют защитное ПО и добавляют новые алгоритмы реализации фильтров. Судя по объявлениям на форумах, цены колеблются от $100 и до $1000 в сутки. Конечно, в зависимости от «стойкости» ресурса. На длительные заказы, как правило, существует дисконт. Атаки 15-20 Гб\с считаются очень мощными атаками. Цена защиты от них может стартовать от $10.000 в месяц. Но и по стоимости такая атака, думаю, никак не ниже $1000 в сутки.
- Насколько реально «вычислить» исполнителей и заказчиков атак? Известны ли вам такие случаи?
- Практика поиска исполнителей есть. Через исполнителя теоретически можно выйти на заказчика. Но если и тот, и другой принимают меры по защите своей конфиденциальности, то их поиск - дело безнадежное.
- Что вы посоветуете тем, кто подвергся DDOS-атаке? Может, существуют какие-нибудь профилактические меры?
- Если ваш бизнес в сети приносит прибыль, то я бы не рисковал и купил хостинг, либо защищенный сервер у организаций типа нашей (antiddos.org). Защита требует от администратора сервера хороших знаний. Обычный хостинг вам не поможет. Если у вас есть квалифицированные специалисты, то рекомендуем обратить ваше внимание на настройку и оптимизацию сетевой подсистемы сервера, настройку файрвола. Также можете ознакомиться с технической документацией, собранной на нашем сайте antiddos.org, админы найдут много всего интересного.
- Кто может оказать содействие в отражении DDOS-атак и сколько это стоит?
- Борьбой с DOSS-атаками должны заниматься специалисты. На этом рынке игроков немного. При выборе защищенного хостинг-провайдера нужно обращать внимание на площадки, где размещается оборудование, на ширину каналов, аппаратное обеспечение. Также очень желательно перед переносом ресурса на такие площадки провести бесплатное тестирование защиты. Это минимум, который должен соблюдаться. Российские компании предоставляют защиту стоимостью от $100 в месяц. У зарубежных компаний защита обычно стоит от $600 в месяц.
- Известны ли вам прецеденты, когда DDOS-атаки были успешно отражены?
- На своем опыте я не помню атак, которые бы нам не удалось локализовать. Иногда приходится перебирать много методов защиты, но, в конце концов, сайт начинает работать. А через неделю безуспешного ДДОСа атакующие прекращают атаки. Очень много клиентов приходит к нам после безуспешных попыток отразить атаки другими компаниями. Ведь это достаточно наукоемкая отрасль, и, не имея хороших специалистов, им нечего противопоставить хорошо подготовленным злоумышленникам. Также большую роль играет ширина каналов, которые заходят в датацентр: не имея их ширины, весь датацентр может оказаться отрезанным от мира.
- Существуют ли уголовные статьи, которые можно применить к тем, кто организует и исполняет DDOS-атаки?
- К примеру, в уголовных кодексах России и Украины присутствуют статьи, которые предусматривают ответственность за вмешательство в работу электронных систем. Конечно, это труднодоказуемо, но уже есть прецеденты, когда исполнители DDOS-атак были задержаны и наказаны.
- Кто, по вашему мнению, должен заниматься противодействием DDOS-атакам? Государственные правоохранительные органы или сами владельцы сайтов?
- Это сложный и простой вопрос одновременно. DDOS-атаки будут проводиться, пока они будут выгодны. Кому выгодны атаки? Как ни странно, но все максимально просто.
Любая DDOS-атака генерирует большое количество internet-трафика. За данный трафик обязательно кто-то должен заплатить. То есть, получается, что чем больше в сети DDOS-атак, тем больше прибыли получают те, кто продает трафик. Это магистральные провайдеры. Когда им станет не выгодно пропускать через себя гигабиты паразитного трафика, тогда начнется фильтрация с их стороны. Также можно создать организацию, которая будет содержать блэк-листы, где будут отображаться адреса, замеченные в атаках на другие ресурсы. Потом на основе этих листов можно вносить правила в маршрутизаторы и блокировать паразитный трафик еще до его выхода в сеть. Вариантов много. Но нет единой организации, которая будет это координировать. Это, в первую очередь, достаточно серьезные финансовые вложения. Возможно, после окончания «кризиса» что-то изменится, и на рынок выйдут новые игроки, которые смогут собрать воедино все силы и победить атаки. Но это больше фантастика, чем реальность. Исчезнут DDOS-атаки - появится что-то новое. По заявлениям некоторых экспертов IT-рынка, оборот средств в кибер-преступности давно уже победил оборот наркоторговли. Поэтому всегда будем мы - те, кто поможет вам защититься от сетевых террористов и мошенников.