Категории
Самые читаемые
onlinekniga.com » Компьютеры и Интернет » Прочая околокомпьтерная литература » Цифровой журнал «Компьютерра» № 161 - Коллектив Авторов

Цифровой журнал «Компьютерра» № 161 - Коллектив Авторов

Читать онлайн Цифровой журнал «Компьютерра» № 161 - Коллектив Авторов

Шрифт:

-
+

Интервал:

-
+

Закладка:

Сделать
1 ... 13 14 15 16 17 18 19 20 21 ... 39
Перейти на страницу:

- Вы упоминаете бизнес-войны – это, как правило, сведение счетов или действительно попытки саботировать работу конкурентов?

- Да, саботаж.

- А есть ли по этому судебная практика, то есть доказательство того, что вот именно так делается всё это?

- Судебная практика есть, но она пока незначительная. Связано это c недостаточно налаженным взаимодействием между экспертами, интернет-сообществом и правоохранительными органами и отсутствием доверия между ними. Например, наши правоохранительные органы не очень глубоко понимают техническую сторону вопроса. Те, кто понимает, не всегда доверяют экспертному сообществу в интернете. А интернет-сообщество, в свою очередь, с недоверием смотрит на регуляторов и правоохранительные органы. Оттого происходят временные задержки, недопонимания.

Мы принимали участие в круглом столе по поводу DDoS-атак на такие ресурсы, как «Слон», «Эхо Москвы», «Коммерсант» и так далее. И многие из журналистов и редакторов высказывались тогда в таком духе: «Мы подавали документы в правоохранительные органы, но буквально тут же дело закрывали за недостатком улик и ещё чем-то». То есть всем было очевидно, что сайты и ресурсы не работают, но судебная система на собранные документы отвечала: «С чем вы пришли? Где ваши доказательства, что вас заDDoSили, что вы не просто выключили свой сервер?» Отсутствие таких расследований идёт на руку преступникам.

В нашей практике раскрытых преступлений немного. Они есть, конечно, но это скорее исключения из правил, нежели обыденная практика правоохранительных органов. К сожалению, пока это так.

- Как вы считаете, это изменится в ближайшем будущем или так и будет оставаться «воз и ныне там»?

- Я думаю, что это может измениться, если у нас изменится взаимодействие между интернет-экспертами и правоохранительными органами.

- То есть это вопрос главным образом к правоохранительным органам?

- Главным образом, наверно, это запрос ко взаимодействию в целом.

- Давайте вернёмся к технической стороне. Значит, источником DDoS-атак, как правило, являются боты…

- Под ботом может подразумеваться всё, что угодно. Можно сказать, что есть разные принципы организации DDoS-атак. Ещё год назад можно было сказать, что большинство узлов ботнета — это рабочие станции, а также в теории обсуждалось, возможен ли в теории крупный мобильный ботнет…

- Как минимум одна попытка создать нечто подобное была.

- Ну да. Возможно, небезуспешно, и такой ботнет существует — в каком-то пределе.

Но вот другой пример, безо всякой экзотики. В конце прошлого года, начиная с осени, была организована серия мощных, массированных атак с помощью инфицированных PHP веб-серверов. Атаки были с так называемым «плечом»: атакующий бил по мишени не напрямую, а через определённые «дыры» в необновлённых веб-движках устанавливал некоторый PHP-скрипт, который он дальше мог разным образом активировать. И эта активация могла быть в том числе так построена, что даже обычный легитимный пользователь, заходя на страницу, активировал кусок этого скрипта, который отбрасывал какое-то количество пакетов на сервер мишени. Таким образом, злоумышленник получал значительное количество «мусорного трафика», прикладывая значительно меньшие усилия.

- То есть это не было заражением пользовательского компьютера, просто пользователь заходил и…

- Да. Определённый веб-сервер, мощный веб-сервер, и не один, а может быть, даже целая группа, атаковали американские банки, находясь в Турции и в Европе.

- В Восточной, в Западной?

- И в Западной и в Восточной. Важнее другое: атака производилась не с каких-то заражённых компьютеров, а именно с заражённых серверов. И, поскольку сервера имеют намного более широкий канал передачи данных, намного более серьёзную инфраструктуру, то, естественно, отдача трафика такого устройства, количество определённого паразитного трафика, который он может от себя отослать, в разы превосходит возможности пользователя какого-либо ПК, который может быть подключён к каким-то «дохлым» интернет-каналам. Для успешной атаки таких серверов надо намного меньше. Более того, если вы даже нападёте на этот след и выключите этот сервер, то это не значит, что вы «выключите» тех людей, кто это сделал. Сервером может владеть совершенно «непричастная» компания или фирма, которая даже не знает, что происходит.

Бороться с такими схемами намного сложнее, потому что, если ботнет на обычном пользователе, вы можете пожаловаться провайдеру и провайдер может как-то сигнализировать этому пользователю или просто, в конце концов, его отключить. А выключить какой-то сервер или выключить какую-то компанию из интернета – это намного сложнее. Более того, выявить заражение на серверных устройствах, которые включены постоянно и их работа связана с какой-либо бизнес-активностью, намного сложнее.

Если здесь у нас может быть инфицирована рабочая станция, достаточно переустановить Windows, установить антивирус — и всё будет нормально. А если у вас сервер и там крутится множество скриптов, которые ещё постоянно дописываются, переписываются, модифицируются, то представьте, каково отыскать там какой-то вредоносный код. Более того, код находится внутри некоторого скрипта. А это не некое win32-приложение, которое вы можете просто стереть. Скрипт будет подгружаться динамически и активироваться только в определённый момент.

Когда вся эта история началась, то я обратился к нашему подразделению вирусных аналитиков на предмет наличия у нас российской статистики по подобным заражениям, по подобным PHP-скриптам. Изначально была описана подобная ситуация с Linux-платформой, и мы решили посмотреть на Windows-платформу. И оказалось, что мы имеем достаточно большое количество заражений.

Россия там занимала третье место с очень большим количеством Windows-серверов, на которых установлены уязвимые и заражённые PHP-движки. Это означает, что источником такого лавинообразного трафика эти сервера могут выступать хоть завтра, потому что они уже находятся в зоне риска, они уже заражены. Когда их активируют – это вопрос времени.

- А если в абсолютных цифрах – примерно сколько заражённых серверов удалось насчитать?

- Мы видели несколько сотен серверов. Это достаточно большое количество. Мы не проверяли, что это, но представьте себе, что это, например, какие-то крупные компании. Им, скорее всего, нельзя будет позвонить и сказать: «Выключите свой сервер».

- Скажите, пожалуйста, а как обеспечивается защита? Понятно, что мощность канала граничит с бесконечным числом. В своей статье вы упомянули, что у вас есть специальная аналитика, которая…

- Основная идея защиты от DDoS-атаки заключается в том, чтобы чётко понять, кто есть пользователь, а кто есть бот. Если брать классическую семиуровневую сетевую модель, то фактически любой уровень (за исключением физического уровня, самого первого) может быть так или иначе подвержен какой-либо форме паразитной активности.

DDoS-атака не всегда выполняется на уровне приложения (седьмого уровня). Она может выполняться просто для того, чтобы забить канал, например, или получить отказ сетевого оборудования.

Перед сервером-мишенью стоит какое-то сетевое оборудование, какие-то провайдеры, какие-то каналы. Всё, что стоит до этого устройства, и оно само является так или иначе звеном в цепочке взаимодействия – цепочке доступности. И основная задача злоумышленника при организации атаки – найти слабое звено. Наша задача как раз, с одной стороны, тоже отыскать, точно так же, как и злоумышленник, слабое звено, а с другой стороны – чётко понять, как звенья этой цепочки работают в нормальном режиме.

Понять, как они работают, как они взаимодействуют и что будет отклонением от нормы. Как только мы это хорошо понимаем и знаем, мы сразу можем построить некую модель работы обычного легитимного пользователя. Исходя из этой комплексной многоуровневой модели, мы понимаем, как себя ведёт нормальный пользователь и где начинается отклонение, обозначающее бота.

И тогда мы можем жёстко отделить ботов от легитимных пользователей. Это если говорить общими словами.

Но если говорить на реальном языке, то существуют сетевые атаки «нижних» уровней; а также существуют атаки уровня приложений, и для них требуются совершенно разные фильтры. Трафик защищаемого ресурса в момент, когда происходит атака на него, меняет свою маршрутизацию: он проходит через наши центры очистки вне зависимости от того, на какой сетевой уровень рассчитана атака. Для очистки мы применяем те или иные методы фильтрации. Есть атаки, когда идёт так называемый SYN-флуд, например, с подменой IP-адреса, и сама сессия не устанавливается. Просто большое количество мелких пакетов передаются на целевой IP-адрес. Источник этих пакетов, то есть исходящий IP-адрес, может быть подменён.

1 ... 13 14 15 16 17 18 19 20 21 ... 39
Перейти на страницу:
На этой странице вы можете бесплатно читать книгу Цифровой журнал «Компьютерра» № 161 - Коллектив Авторов.
Комментарии