Противодействие зомби

DDOS-АТАКИ

Компании и эксперты по безопасности ищут лекарства от атак, исходящих из скомпрометированных ПК, подключенных к каналам IRC

Деннис Фишер

Вообразите себе 18 тысяч компьютеров, которые менее чем за сутки соединены в виртуальную армию машин, готовых выполнять волю своего нового хозяина. Такая вычислительная мощь могла бы взламывать невероятно сложные шифры, помогать в разгадке структуры человеческого генома и даже в поиске сигналов внеземных цивилизаций.

Но в голове командующего зомбированными системами совсем другая цель - массированная DDoS-атака (Distributed-Denial-of-Service - распределенная атака с подавлением обслуживания) либо серия менее мощных атак на часто посещаемые узлы или магистральные Интернет-маршрутизаторы. Провайдеры, через чьи сети пройдет направление удара, и их конечные пользователи внезапно окажутся взаперти, в то время как инженеры и технические специалисты будут пытаться отфильтровать нахлынувший вал трафика.

Полезный трафик сегментов глобальной сети, попавших в зону затопления зловредными пакетами, замедлится до скорости черепахи. Пройдет несколько часов, пока восстановится нормальное обслуживание, а эксперты приступят к оценке ущерба и вообще начнут выяснять, что же собственно произошло.

Это вовсе не сценарий светопреставления, сочиненный безнадежно отчаявшимся менеджером по маркетингу, - увы, это реальная жизнь. Более того, суровая действительность, по мнению специалистов, может оказаться куда хуже описанной ситуации.

Озабоченные этой проблемой производители всеми силами стремятся исполнить свою часть дела. Компании, специализирующиеся на средствах безопасности, например фирма Arbor Networks, разрабатывают приложения с весьма сложными оборонительными функциями, которые могут обнаружить и подавить DDoS-атаку на уровне сервис-провайдеров так, что их сети даже ничего не почувствуют.

Но по мнению ряда экспертов, несмотря на появление новых средств обороны, для реального решения DDoS-проблемы надо принципиально изменить отношение пользователей и администраторов к вопросам безопасности.

“Нужны коренные перемены в просвещении пользователей в области безопасности и в их обращении с ПК, - говорит Джордж Бейкос, старший специалист Института исследований технологий защиты при Дартмут-колледже. - Пока, слава богу, мы получили не так уж много уроков, но боюсь, что они не за горами”.

Вот уже несколько недель эксперты из правительственных ведомств, частных компаний и университетов ведут мониторинг группы крупных сетей из скомпрометированных систем, на которые загружены “боты” - крошечные приложения, поддерживающие чат-каналы IRC и вместе с тем позволяющие удаленным хакерам контролировать компьютеры через сервис Internet Relay Chat. Одномоментно используя сотни или тысячи таких компьютеров, можно организовывать DDoS-атаки.

Адъюнкт-профессор ИТ и Web-технологий Тихоокеанского университета из г. Азусы (шт. Калифорния), Билл Мак-Карти, подключил свою систему-приманку с ОС Windows 2000 (это так называемый “honey pot” - беззащитная система, подключенная к Интернету и используемая специалистами для наблюдения за деятельностью и приемами хакеров) к нескольким бот-сетям (botnet). В одной из этих сетей, рассказал он, в течение суток побывало более 18 тыс. ПК. Представители Координационного центра CERT в Питтсбурге (организация, следящая за угрозами сетевой безопасности) сообщают, что им известны несколько крупных бот-сетей, к одной из которых в начале марта подключилось около 140 тыс. ПК.

Атака через гигантскую сеть на одну мишень - особенно если это небольшое государственное учреждение или компания - может иметь разрушительные последствия. Даже хорошо подготовленный и бдительный штат специалистов по безопасности не способен справиться с таким валом злонамеренно направленного трафика.

Чтобы помочь Интернет-провайдерам и телефонным компаниям защититься от этих атак, Arbor Networks выпустила новую версию своего средства Peakflow. В нем собраны методы, выработанные за несколько лет борьбы с DDoS-атаками. В частности, в продукт включена поддержка двух распространенных приемов обороны - перевода трафика в “черную дыру” (black-hole) или в “сливной колодец” (sinkhole).

Метод “черной дыры” позволяет администратору выбрать весь вредный трафик и перенаправить его на несуществующий IP-адрес либо попросту аннулировать. Метод “сливного колодца” похож на предыдущий, за исключением того, что трафик направляется на выделенный IP-адрес, где его можно исследовать. Оба способа часто применяются администраторами на корпоративном уровне. Однако они будут гораздо эффективнее в руках Интернет-провайдеров, так как в этом случае вредный трафик вообще не дойдет до сети пользователя.

Если не все, то большинство сервис-провайдеров практически постоянно передают через свои сети некую долю DDoS-трафика. Хотя это им стоит денег, отнимая пропускную способность сетей и мешая пользователям, известно, что многие средства защиты, основанные на фильтрации или изменении маршрута, несовершенны и могут перехватывать и вполне нормальный трафик. Это ставит провайдеров в трудную ситуацию.

“Сервис-провайдеры - не толпа идиотов. На них взвалены заботы о сети и куча проблем, порой приводящих к прямому конфликту с интересами пользователей”, - говорит главный стратег Arbor Networks Тед Джулиан.

Но в конечном счете сдерживание или подавление DDoS-атак потребует скоординированных усилий всех сторон, включая сервис-провайдеров и конечных пользователей, считает эксперт по безопасности Бейкос.