Частота и масштаб DDoS-атак увеличиваются ежегодно. Услуги DDoS as a service позволяют всем желающим относительно легко проводить продолжительные атаки, которые трудно нейтрализовать. В CloudMTS мы уделяем пристальное внимание защите инфраструктуры и хотим ближе познакомить вас с истоком проблем распределенных атак.

Первые шаги в истории DDoS не привлекали внимание широкой публики, но со временем методы злоумышленников становились все изощреннее, а результаты их применения — более заметными: под ударом оказался как бизнес, так и корневая инфраструктура интернета. Обсудим, какими были DDoS-атаки в период с 2000-го по 2010-й.

2000: падение .com

В это время с DDoS столкнулись пользователи популярных сайтов в домене .com. Подросток под ником Mafiaboy на протяжении нескольких дней мешал работе поисковых систем, торговых площадок, СМИ и ИТ-компаний. Он применил метод SYN Flood, а в качестве ботнета использовал взломанные университетские компьютеры. Захваченных устройств хватило, чтобы провести кампанию мощностью в 800 Мбит/сек.

Если раньше о DDoS-атаках говорили преимущественно в ИТ-сообществе, то теперь тема заинтересовала более широкую публику. Тот факт, что 15-летний хакер смог обрушить крупнейшие сайты, заставил говорить о проблемах кибербезопасности на государственном уровне. 

2002: первые DrDOS-атаки

Спустя два года после истории с Mafiaboy, начал набирать обороты новый тип атак — DrDOS. Они основаны на отражении и усилении трафика. Злоумышленники направляют запросы десяткам публичных ресурсов, но подменяют обратный адрес на IP жертвы. В результате целевой сервер получает множество ответов на запросы, которые он не отправлял, что приводит к сбоям и отказам в работе. Кроме того, у жертвы создается впечатление, что весь трафик поступает из вполне легитимных источников.

Одной из первых с такой атакой столкнулась компания-разработчик ПО GRC.COM. В 2002 году штатный специалист по ИБ с удивлением обнаружил, что на сайт поступает множество сообщений от легитимных серверов. В попытке решить проблему, инженер начал фильтровать трафик по порту, но тот быстро менялся. Очищать сеть от лишних подключений пришлось вручную.

Новый тип атак подтолкнул развитие инструментов для защиты сетей. Сегодня инженеры предлагают отслеживать DNS-серверы, на которые отправляются запросы, чтобы отклонять ответы от незадействованных в обмене данными ресурсов. По теме борьбы с DrDOS продолжают выходить исследовательские работы, и некоторые такие решения используют облачные провайдеры.

2004–2005: бизнес против хакеров

В 2005-м группа компаний, куда вошли телекомы и производители сетевого оборудования, сформировала первый антихакерский альянс. Причиной стал рост частоты и интенсивности DDoS-атак. Еще в 2002 году мощность самых крупных DDoS-кампаний не превышала 1 Гбит/с. Но теперь нормальным явлением стали показатели в 15 Гбит/с. 

К слову, за последние годы рекордная волюметрическая атака (нацеленная на то, чтобы переполнить полосы пропускания) заключалась в передаче 3,47 терабит/сек. 

В нулевые даже хакеры-одиночки могли парализовать основные интернет-платформы. Только за 2004-й сотни крупных предприятий потеряли $141,5 млн. В том же году компания Microsoft даже объявила награду в $250 тыс. за информацию об авторе вируса Novarg, который использовали для создания ботнета и удара по сайту корпорации.

В то же время злоумышленники начали искать варианты заработка на DDoS-атаках. Ключевым способом стало вымогательство. В 2004 году крупнейшие букмекерские площадки Великобритании столкнулись с масштабной DDoS-кампанией, в результате которой пятнадцать сайтов оказались временно недоступны. Четыре организации сообщили, что получили требования о выкупе в обмен на прекращение атак — за неделю до начала знаменитого Челтнемского фестиваля скачек (он проходит ежегодно с 1902 года). 

Примерно в то же время предприимчивые хакеры начали сдавать в аренду инфраструктуру для проведения DDoS- или спам-атак. Одним из них был Джинсон Джеймс Анчета, который построил ботнет из 400 000 компьютеров, значительная часть которых принадлежала корпорациям и правительственным организациям. 

В скором времени ботнеты стали представлять собой угрозу не только для отдельных сайтов или сервисов, но и для корневой инфраструктуры интернета.

2006: удар по корневой инфраструктуре

Первые попытки нанести удар по корневым серверам предпринимались еще в 2002 году. Неизвестные провели DDoS-кампанию против тринадцати главных DNS-серверов, в результате которой семь из них оказались временно недоступны. Однако оставшиеся серверы выдержали поступающую нагрузку, и ситуация никак не отразилась на рядовых интернет-пользователях.

Атака представляла собой пинг-флуд ICMP (Internet Control Message Protocol), при котором посылается большое количество поддельных ICMP-пакетов с широкого диапазона IP-адресов. Для запуска ICMP-флудов можно было использовать бесплатны хакерские инструменты Tribe Flood Network, Trinity и Stacheldraht. Один из таких инструментов применял Mafiaboy.

Попытки нарушить работу DNS-инфраструктуры продолжились и в 2003–2004 годах, но они не приводили к каким-либо заметным сбоям. Ситуация начала меняться в 2006 году. Тогда корневая инфраструктура попала под атаку с амплификацией (усиление DDoS-атаки при помощи различных алгоритмов). Злоумышленники использовали более 500 000 рекурсивных серверов имен, а мощность кампании составила 2–8 Гбит/с. В результате временно оказались недоступны сайты в топовых доменных зонах, включая .com и .ru.

По данным аналитиков CERT, в 2007 году около 80% DNS-серверов могли быть использованы для генерации вредоносного трафика с помощью запросов с поддельным IP. В дальнейшем проблема стала менее острой за счёт постепенного закрытия уязвимостей. Тот же CERT в 2006 году выпустил рекомендации, как защитить серверы от манипуляций в контексте DDoS с амплификацией.

2010: хактивизм и медленные маломощные атаки

Как мы уже рассказывали в прошлом материале, коллективные DDoS-атаки активисты проводили и ранее. Пользователи координировали усилия, одновременно заходили на страницы целевых сайтов и обновляли их до тех пор, пока те не «падали» под наплывом трафика. Но настоящее развитие идея хактивизма получила ближе к 2010 году, и одну из ключевых ролей в этом сыграло распространение утилит Low Orbit Ion Cannon (LOIC) и High Orbit Ion Cannon. Они позволяли отправлять сообщения на нужный адрес, перегружая цель потоком пакетов TCP, UDP или HTTP. 

Утилиты изначально были разработаны для проведения стресс-тестов серверов, но обрели новое применение, попав в открытый доступ. Хотя большинство вредоносных инструментов требуют высокого уровня технических знаний, эти программы предоставляют простой и удобный интерфейс. Пользовали могли устраивать атаки «одной кнопкой» или стартовать сразу из браузера, используя JavaScript LOIC и веб-версию, известную как Low Orbit Web Cannon.

Ещё одним инструментом хактивистов стала утилита Slowloris. Она позволила проводить «медленные» DoS-атаки с помощью HTTP, открывая множество соединений, обновляющихся с небольшим промежутком времени (например, раз в минуту). Сервер перегружался постепенно, теряя способность принимать новые подключения из внешней сети.

В отличие от DDoS-атак, направленных на полосу пропускания (например, в атаке с усилением NTP злоумышленник использует функционал сервера протокола сетевого времени, чтобы перегрузить сервер усиленным объемом UDP-трафика), Slowloris имитирует обычный трафик. Slowloris — это атака на уровне приложений, тут большой объем трафика или значительное количество пакетов не требуется, чтобы вывести ресурс из строя.

Примером успешного применения этого инструментария стала кампания, которую инициировали представители известной хакерской группировки «Анонимус» в 2010–2012 годах против организаций, борющихся с пиратством. Конфликт начался после того, как крупнейшие кинопроизводители и ассоциация звукозаписывающих компаний выступили против нелегального контента на торрент-трекере The Pirate Bay. В свою очередь, несколько болливудских компаний в 2010 году сами заказали DDoS-атаку на сайты, нелегально распространяющие лицензированный контент.

В ответ активные пользователи социальных сетей призвали несогласных с действиями правообладателей атаковать сайты инициаторов антипиратской кампании. Для проведения атак использовали утилиты Low Orbit Ion Cannon и High Orbit Ion Cannon, в результате чего сайты, поддерживаемые организациями MPAA и RIAA, оказались недоступны. 

История получила продолжение в связи с преследованием проекта Wikileaks, когда хактивисты пополнили список целей международными платежными системами. В результате атак протестующим пользователям удалось временно отключить сайт одного из крупнейших представителей этого бизнеса на финансовом рынке. 

Облачный Anti-DDoS для бизнеса

Сейчас CloudMTS защищает приложения и веб-ресурсы от DDoS-атак вне зависимости от сложности или географического расположения нападающего. Защита происходит в несколько этапов:

1. Перенаправление трафика защищаемого приложения в партнерскую сеть 

Анализ трафика проводится на всех уровнях стека протоколов, включая уровень приложений (L7 модели OSI). 

2. Многоуровневая фильтрация трафика с использованием поведенческих, эвристических и сигнатурных алгоритмов

3. Направление чистого трафика на защищаемое приложение

После углубленной фильтрации очищенный трафик направляется к защищенному приложению либо через публичную сеть, либо через специально организованный L2 VPN. Трафик DDoS-атак блокируется на периметре партнерской сети, не достигая ресурсов клиента.

Отдельно отметим особенности именно облачной защиты.

Гибкость — можно создать оптимальную конфигурацию и настроить правила фильтрации трафика, чтобы блокировать определенные типы запросов или источники атак;

Снижение затрат — облачные решения не требуют крупных первоначальных вложений в оборудование и лицензии. Вы платите только за используемые ресурсы и масштабируете систему по потребностям.

Высокая производительность и способность работать с действительно огромными объемами трафика — мы рассказывали, как отразили атаку на площадку клиента, которая в 300 раз превысила привычные значения.