Распределённая атака типа «отказ в обслуживании», DDoS — очень популярный инструмент у злоумышленников. Причины, по которым киберпреступники и обычные интернет-хулиганы используют этот инструмент, самые разные. Это и нанесение вреда конкуренту, и остановка работы какой-либо системы безопасности или сервиса с требованием выкупа. Известны случаи, когда группы, организовавшие атаку такого типа, требовали у жертв по 5 биткоинов (более $5000 по текущему курсу).
Причем DDoS сейчас, фактически, стал общедоступным инструментом. Этот тип атаки достаточно дешев (конечно, все зависит от масштаба), его можно быстро запустить и так же быстро остановить. На днях стало известно, сколько берут создатели разного рода ботнетов за проведение DDoS-атак.
DDoS as a service
Заказ атаки обычно осуществляется на обычном сайте, который выглядит почти, как корпоративный. Специалисты «Лаборатории Касперского» проверили такие ресурсы, подробно рассказав об этом. Как правило, необходимость прямого общения между заказчиком и владельцем «DDoS сервиса» отсутствует. На специальном ресурсе проплачивается атака определенной мощности с указанием цели и на этом все. Дальше действует уже сам сервис.
Есть англоязычные сервисы, есть русскоязычные. Ресурсы такого типа позволяют проверять свой баланс и планировать расход бюджета, отведенного на атаку. В некоторых случаях клиентам даже предлагаются бонусы.
Иногда сервисы показывают количество зарегистрированных пользователей, число проведенных ранее атак и количество атак, которые проводятся в конкретный момент времени. Все очень профессионально.
Ну а сколько это стоит?
Все зависит от требований заказчика. Всего существует четыре основных фактора ценообразования.
1. Цель и ее свойства. Те, кто держат DDoS-сервисы (как странно это звучит, правда?) обычно соглашаются проводить атаки на любые типы ресурсов. Иногда за определенные цели просят больше денег — так случается обычно тогда, когда у целевого ресурса есть своя защита, более-менее надежная.
2. Характеристики источника атаки. Чем дешевле обходится содержание ботнета, тем дешевле будет и DDoS, осуществляемый с его помощью. Например, ботнет, созданный из IoT устройств может стоить меньше, чем ботнет, который создавали с использованием серверов.
3. Сценарий атаки. Атаки разного уровня стоят разных денег — здесь все понятно.
4. Стоимость атаки в разных странах. Цена DDoS сервисов в разных странах может разительно отличаться. Все зависит от ЦА и ее покупательской способности.
Пример ценообразования можно видеть на скриншоте ниже.
Здесь DDoS продолжительностью в 300 секунд обойдется заказчику в 5 евро. Если продолжительность составит 1800 секунд, то цена возрастет уже до $60. Ниже показано ценообразование у какого-то русскоязычного сервиса.
В некоторых случаях атакующие используют комбинированные виды атаки для того, чтобы с высокой степенью вероятности преодолеть возможную защиту потенциальной жертвы. «Гибридный» DDoS обойдется заказчику дороже, чем обычный.
Вот еще немного цен, тоже от русскоязычного сервиса.
Кстати, некоторые сервисы отказываются атаковать государственные ресурсы. Дело в том, что за ними присматривают спецслужбы, поэтому и заказчика и исполнителя может ожидать суровое наказание в случае их обнаружения.
В качестве примера ценообразования можно взять атаку с использованием «облака» + DNS усиление + SaaS усиление
Если например, взять для расчетов стоимость работы с Amazon EC2, то это где-то $0.0065. Для относительно слабой атаки может понадобиться 50 виртуальных серверов. Это обойдется киберпреступникам в $0,325 в час. Еще стоит принять во внимание дополнительные затраты (SIM-карты для регистрации аккаунта или кредитная карта). В итоге себестоимость DDoS атаки начального уровня может составлять около $4.
Работа с 1000 рабочих станций будет стоить около $7 в час. Ну а заказчику часовая DDoS-атака такого уровня обойдется в $25. То есть киберпреступники зарабатывают примерно $18 (это чистая прибыль) за час DDoS.
В целом, это средний показатель по рынку. Сейчас киберпреступники постоянно ищут способы удешевить DDoS. В основном, этот вопрос решается созданием ботнета из IoT-устройств, которые плохо защищены от взлома, так что взлом сотни тысяч «умных» девайсов — не проблема. Вероятно, с течением времени DDoS будет дешеветь, а это значит, что атак такого типа будет больше. Так что стоит заранее приготовиться к такой атаке, чтобы потом не было мучительно больно.
P.S.: Если Вы хотите заранее предусмотреть защиту от DDoS-атак или Ваш бизнес уже столкнулся с подобной атакой — даже в этом случае мы можем помочь. Если Вы закажете услугу «Защита Anti-DDoS» и укажете в письме/онлайн чате/по телефону кодовое слово «habrddos2017», то получите пожизненную скидку -20%.
P.S.S: Для юридических лиц дополнительные преимущества: финансовые и юридические гарантии, высокий гарантированный уровень доступности SLA 99.95%, постоплатная схема расчетов и многое другое.
Комментарии (24)
GORrand
27.03.2017 15:28Не понятно, зачем указывать стоимость/месяц? Если длительность атаки обговаривается отдельно.
Mendel
27.03.2017 15:59Потому-что у самих ддосеров «сайт на вордпрессе». Не обязательно ВП, но если ЦМС/дизайн или интегрированный бекграунд (биллинг, ЦРМ и т.п.) ожидают что у услуги есть период оплаты, то имеем то что имеем)
Figing
27.03.2017 17:57Спасибо. Но вот только непонятен один вопрос — какой объем атаки предлагается за указанные деньги?
Alukar
27.03.2017 19:30+1Цены у вас на услуги конечно конские, есть и подешевле ) Я занимаюсь гейм хостингом, и для нас атаки с подобных стрессеров это норма. Но есть ДЦ в которых ощутимо дешевле )
KingServers
28.03.2017 00:09-3Всегда можно найти, что-то дешевле. Вопрос ценности и что Вы получаете за эти деньги. Если отбросить все лишнее, маркетинговое и говорить про сухой остаток, то у нас реально хорошая поддержка 24*7, которой мы и наши клиенты дорожат. Чтобы в этом убедится нужно 1 раз попробовать.
artskep
28.03.2017 00:05+2Э-э. Я, может быть, глупость спрошу — а откуда известно, что эти «куллхацкерские сайты» вообще чего-то DDOSят, а не просто лохов на деньги разводят?
Да и с Амазоном как-то не так все очевидно — ЕМНИП Амазон за подозрительную активность аккаунт прикроет относительно быстро. Что очевидно, ибо никто бы не платил тогда за ботнеты большую сумму.
Erelecano
28.03.2017 09:23Учитывая, что VPS и VDS — синонимы, то интересно почему у рекламируемого вами русскоязычного «ддосера» цены разные и как он собирается различать VPS и VDS…
KingServers
28.03.2017 10:41-2Мы как раз не ставим различий в защите от ддос, будет это vps или vds или dedicated.
Erelecano
28.03.2017 10:46Ну вот вы устроили статью с рекламой ддосеров. Один из тех кого вы рекламируете вешает разные цены для VPS и VDS, при этом, что VPS=VDS. Мне интересно где вы таких выдающихся «атакующих» нашли, что бы их рекламировать?
KingServers
28.03.2017 10:55Мы не рекламируем ддосеров, мы лишь показываем, что эта сфера набирает большие обороты.
quwy
29.03.2017 01:37-1Вот пока борьба идет с симптомами, болезнь не вылечить. Заставить провайдеров отключать клиентов со зверинцем на компе (как уже давно хостеры отключают дедики за рассылку спама), и дело сдвинется с мертвой точки. А особо злостных можно и рублем…
Erelecano
29.03.2017 01:50+1Предлагаю лучше пороть на конюшне клиентов с зоопарками! Или сразу расстреливать.
Извините, но наказывать больного за болезнь нельзя.
При этом у одного клиента я постоянно страдаю от DDoS'ов и в зависимости от того это у нас какой-нибудь UDP-флуд от которого отмахивается хостер или это у нас L7 по http/https и отмахиваться мне применяю решения. Но, простите, наказывать больных за болезнь это у вас совковое отклонение.quwy
29.03.2017 15:24Знаете, хостинг-провайдерам как-то по-барабану, что они наказывают за болезнь по вашей терминологии.
Им все равно, что клиент не виноват в том, что кулхацкеры нашли очередную дырку в вордпрессе и рассылают через нее спам. Если после предупреждения админу поток спама не прекращается, сервер отключают от интернета.
Расскажите им, что они не правы, а наказывать за болезнь — это совок.
AlexBin
29.03.2017 01:53+1и дело сдвинется с мертвой точки
Конечно сдвинется, ведь назад — это тоже движение.quwy
29.03.2017 15:32Ну расскажите, как это может ухудшить ситуацию, очень любопытно.
Пока каждый третий из подключенных к интернету стамегабитными каналами компьютеров крутит клиентов бот-сетей, показанные в статье дельцы никуда не денутся.
И защищаться от них в конечном итоге станет невозможно, потому что даже захудалый ботнет из десятка тысяч хостов по 100 мегабит — это уже атака в 1000 ГБит/сек.AlexBin
29.03.2017 19:09Ну расскажите, как это может ухудшить ситуацию, очень любопытно.
1. Ну смотрите, начнем с вопроса контроля. Как детектить, что пользователь инфицирован? Даже антивирусы не дают 100% гарантии, что комп чист. А если отключать всех с фолс-позитив, то будут бунты и забастовки. Кроме того, внедрение и поддержка таких систем контроля может сказаться на стоимости тарифов. Предложите свой вариант.
2. В курсе ли вы или нет, но ботнеты включают в себя не только компы со зверьем, но и инфицированные роутеры и даже IoT-устройства. Пойдите объясните пользователю, который в одноклассники с трудом заходит, что он должен прошить роутер.
3. Хорошо, пускай мы задетектили малварь на роутерах и компах, отключили пользователя, что дальше? Он уйдет к провайдеру, где не блюдят гигиену. Первый провайдер при этом разорится.
4. Ладно, допустим, что роскомнадзор обязал всех провайдеров осуществлять контроль вирусной активности на стороне абонента, и других провайдеров просто нет. Большинство пользователей экономят каждые 100 рублей на тарифе, мало кто любит платить за интернет сильно больше 500 рублей в месяц. Вы призываете пользователей отдавать каждый раз по 1000 рублей за чистку вирусов, когда оные появляются? Да они скорее пойдут ворониных смотреть по кабельному. Финансовый ущерб провайдеру кто возместит? Число пользователей сократится, онлайн-сервисы, интернет-магазины, да и просто сайты понесут ущерб, кругом упадок и депрессия.
Может я и пессимистичен, но просто предложите свою реализацию вашей идеи.
даже захудалый ботнет из десятка тысяч хостов по 100 мегабит — это уже атака в 1000 ГБит/сек.
С математикой у вас все в порядке, но вы не учли мультиплексирование, которое используют провайдеры с коэффициентом выше сотни. Никакой провайдер не будет покупать терабитный магистральный канал для 10к абонентов, поэтому получившуюся цифру можете смело делить на сто.quwy
30.03.2017 17:37Ну смотрите, начнем с вопроса контроля. Как детектить, что пользователь инфицирован?
Точно так же, как хостинг-провайдеры определяют, что инфицирован сервер. По абузам.
В курсе ли вы или нет, но ботнеты включают в себя не только компы со зверьем, но и инфицированные роутеры и даже IoT-устройства.
Это в любом случае не проблема того, кто лежит под атакой и теряет бизнес.
Пойдите объясните пользователю, который в одноклассники с трудом заходит, что он должен прошить роутер.
К тому, что нужно менять резину при каждой смене сезона как-то привыкли, привыкнут и к компьютерным «шиномантажам». На кону вопрос существования бизнеса в интернете как такового.
Он уйдет к провайдеру, где не блюдят гигиену. Первый провайдер при этом разорится.
Если провайдеров тоже наказывать за исходящий флуд на уровне аплинков, то некуда ему будет бежать. На Сейшелы на ПМЖ разве что.
Вы призываете пользователей отдавать каждый раз по 1000 рублей за чистку вирусов, когда оные появляются?
Интересно, сколько в средней СТО у вас стоит профилактика легковушки (с заменой масла, фильтров, вероятно еще и колодок)? Почему к обслуживанию ведра все эти люди готовы, а к обслуживанию компьютера — нет?
Да они скорее пойдут ворониных смотреть по кабельному.
Не пойдут, ибо это не альтернатива.
Финансовый ущерб провайдеру кто возместит?
Что-то я не замечаю уменьшения количества автомобилей на дорогах после очередного повышения цен на топливо или всяких сборов. Неэластичный спрос — он такой.
но вы не учли мультиплексирование, которое используют провайдеры с коэффициентом выше сотни
Провайдеров много. В разных уголках мира. Никто не говорит, что все 10K хостов сидят на одном аплинке. Так что если и делить, то на 10 максимум, и то не факт.
Я подвергался двум L7-атакам, отбивался своими силами, даже свою модификацию nginx создал с фильтрами и блеклистами. Но это было во времена, когда домашний канал в 10 Mbps был уделом столичных мажоров. Сегодня же никакие действия с моей стороны не спасли бы меня от тотального дауна моих серверов просто по причине полного забтия канала во внешний мир.
Может я и пессимистичен, но просто предложите свою реализацию вашей идеи.
Я уже писал. Жертва (точнее ее хостинг-провайдер) рассылает абузы владельцам IP-адресов. Провайдер проверяет факт наличия атаки, и в случае положительного результата сначала просто уведомляет пользователя. Если нет реакции, включается шейпинг до относительно безвредной скорости. А потом можно и блокировать проблемный TCP/UDP-порт за несоблюдение пункта X.Y.Z договора до устранения проблемы.
Эта практика уже много лет используется в хостинге и колокейшене, и никто особо не возникает.AlexBin
30.03.2017 19:32Точно так же, как хостинг-провайдеры определяют, что инфицирован сервер. По абузам.
Расскажите подробнее. Есть абонент, делает постоянно хттп запросы, возможно хттпс. Как вы себе представляете технику детектирования перед тем как признать случай абузным?
Это в любом случае не проблема того, кто лежит под атакой и теряет бизнес.
Саранча, которая жрет урожай бедных садоводов, с вами не согласна.
К тому, что нужно менять резину при каждой смене сезона как-то привыкли, привыкнут и к компьютерным «шиномантажам».
Не подходящий пример. Если вы не поменяете резину, резко увеличивается шанс потерять целый автомобиль и свою/чужую жизнь. Если вы не полечите компьютер, почти никаких серьезных последствий не будет (административные не считаем).
На кону вопрос существования бизнеса в интернете как такового.
Ну можно сказать и что жизнь планеты под угрозой, но это тоже будет неправдой.
Если провайдеров тоже наказывать за исходящий флуд на уровне аплинков
Флуд и распределенная L7 https атака — две большие разницы. Опять таки приведите пример реализации со стороны провайдера.
Почему к обслуживанию ведра все эти люди готовы, а к обслуживанию компьютера — нет?
Сам не знаю, я оперирую статистикой (работаю в ISP), экономят каждые 100 рублей, тарифы выше 500 рублей с ТВ имеют низкую популярность. Возможно все таки дело в соотношении цена/реальный профит. Но дело даже не только в цене. Когда настает пора менять резину, водитель видит своими глазами гололед и снег. А когда ему периодически звонит провайдер и сообщает, что у вас вирусы, и нужно заплатить 1000 рублей в сервис, это выглядит не так прозрачно, а следовательно — неприятно. Начнется сильно много геморроя с судами, независимыми экспертизами и прочими неприятными и длительными процедурами. Этой ценой бороться с ддосерами никто не будет.
Не пойдут, ибо это не альтернатива.
А это зависит в какую сумму выйдет реализация вашей идеи. Посмотрите Яркулятор — прекрасный пример технологии, реализация которой влетит в копеечку и провайдерам и конечным абонентам.
Что-то я не замечаю уменьшения количества автомобилей на дорогах после очередного повышения цен на топливо или всяких сборов.
Вы имеете в виду повышение цен на 10-15% в год?
Я подвергался двум L7-атакам
Вы понимаете вообще разницу между L7 и L2 атакой? Вся прелесть L7 атаки в том, что она нацелена на сервис, а не на канал, поэтому она медленная и распределенная настолько, чтобы ее можно было сложнее детектировать антифлуд-инструментами с последующим занесением в фаервол на бордере.
А почему услуги анти-ддос сервисов такие дорогие? Потому что реализация требует значительных вложений ресурсов не только на запуск, но и на функционирование. И этот сервис встает в разрыв клиента и провайдера. Теперь попробуйте придумать такую схему для провайдера. Только не забудьте учесть такие возможности ботов как https и p2p-сети.
Провайдер проверяет факт наличия атаки
Ух ты, это как? Предлагаете писать и хранить весь трафик абонентов, да еще и сертификаты подделывать? Ирина Анатольна, это вы?
до относительно безвредной скорости
Любая скорость, на которой можно серфить интернет — уже вредная с точки зрения L7 атаки. Скорость же, на которой невозможно серфить интернет равносильна полному отключению. К черту эти предупредительные меры, сразу гасить порт и сажать в тюрьму!
Вот блин, мы с вами целую статью написали.quwy
31.03.2017 15:40Расскажите подробнее. Есть абонент, делает постоянно хттп запросы, возможно хттпс. Как вы себе представляете технику детектирования перед тем как признать случай абузным?
Пока он делает запросы, никто ничего не предпринимает. А вот когда мой сервер с местечковым говносайтом ложится под шквалом GET / HTTP/1.1 из всех уголков мира, я просто собираю статистику и шлю абузы сначала на самых рьяных, от которых запросы прут потоком, а там в зависимости от результата, и на остальных.
Саранча, которая жрет урожай бедных садоводов, с вами не согласна.
Саранчу травят ядом. То же самое я предлагаю делать и с хостами ботнетов. Хорошая аналогия.
Если вы не поменяете резину, резко увеличивается шанс потерять целый автомобиль и свою/чужую жизнь.
Если превышать скорость или трындеть по мобиле, резко увеличивается шанс потерять целый автомобиль и свою/чужую жизнь, однако превышают и трындят повсеместно.
Поймите, не останавливает их от нарушений даже риск для собственной жизни, только штрафы. А несезонная резина при ДТП — это уже отягчающее обстоятельство, вот поэтому и чешутся.
Если вы не полечите компьютер, почти никаких серьезных последствий не будет
Вот и нужно сделать, чтобы были. Хотя бы в виде временного отлучения от вконтактиков (да, для многих — это вполне серьезное наказание).
это тоже будет неправдой.
Данная статья с вами не согласна. Любой школьник может положить или вставить на серьезные деньги любой небольшой интернет-бизнес. Это ли не угроза существованию бизнеса в интернете?
Начнется сильно много геморроя с судами, независимыми экспертизами и прочими неприятными и длительными процедурами
Мой провайдер имеет правило. Новому абоненту порт 25 по-умолчанию открыт. Но до первой абузы. Потом закрывают навсегда, как не упрашивай. И никто не судится, хотя это даже жестче, чем я предлагаю.
Вы понимаете вообще разницу между L7 и L2 атакой?
Прекрасно понимаю. Но даже те две атаки я отбивал более-менее успешно. Ботоводы жадные, шлют по несколько запросов в минуту с каждого хоста. Да, были ложные срабатывания, но прогрессивный таймаут решает, пользователь через 5 минут снова имеет доступ, а боты загоняют себя в бан на недели и месяцы вперед.
Ух ты, это как? Предлагаете писать и хранить весь трафик абонентов, да еще и сертификаты подделывать?
А как проверяют, что спам рассылается?AlexBin
03.04.2017 18:18Вы предлагаете провайдерам верить всем абузам от любого местечкового говносайта? В любом случае, нам (как провайдеру) даже такие абузы не приходят. Спамные абузы, пиратство — приходят.
К тому же ваш метод будет работать месяц. Это время нужно хацкерам на то, чтобы допилить модуль ддос до более менее легитимных запросов, отладить и везде его обновить. А последующие атаки проводить в более медленном режиме.
Пример про саранчу иллюстрировал несправедливость реальности, а не аналогию борьбы с паразитами. Вы говорите, что владельцы сайтов не виноваты, и это не их проблема. А пример говорит, что все таки это их проблема.
С примером про ДТП вы правы. Я заблуждался.
Вот и нужно сделать, чтобы были. Хотя бы в виде временного отлучения от вконтактиков
Будь моя воля, я бы контачик внес в реестр запрещенных сайтов. Но вопрос детектирования считаю пока что открытым.
Данная статья с вами не согласна.
Адаптирую ваши слова про автомобили: «что-то от роста популярности ддоса я не вижу упадок интернета, только бурный рост»
Потом закрывают [25 порт] навсегда, как не упрашивай. И никто не судится, хотя это даже жестче, чем я предлагаю.
Я думаю сравнить блокировку порта 25 с блокировкой всего интернета, это как сравнить лишение водительских прав с запретом бибикать.
Ботоводы жадные, шлют по несколько запросов в минуту с каждого хоста.
Я, знаете ли, больше запросов в минуту шлю, пока на али себе выбираю трусы. Вы что-то путаете. Может быть в секунду?
А как проверяют, что спам рассылается?
Прекратите сравнивать почту и интернет в целом. Вы предложили «провайдер потом посмотрит». Вот вам конкретный вопрос на ваше конкретное предложение: когда потом? Трафик уже ушел.
Вы посмотрели яркулятор? Попробовали расчитать там стоимость хранения трафика хотя бы за 1 месяц? Просто ради прикола попробуйте. Когда увидите цифры, прибавьте к ним себестоимости интернета (2-3 магистральных канала, аренда помещения, амортизация оборудования, штат работников, сорм), и вы поймете, что тарифы на интернет вырастут не на 10-15% (как топливо ежегодно, например), а в разы.
В общем политика ваша мне по душе, но давайте уточнять реализацию, как мы это провернем.
AlexBin
30.03.2017 20:15Поймите меня правильно, мне нравится ваша идея. Будь моя воля, я бы лишил водительских прав 75% водителей, и ввел бы обязательное требование получение прав на пользование компьютером с ежегодной аттестацией. Но это всего лишь мои эгоистичные мысли, реализация которых положительно сказалась бы только на мне и мнеподобных, но в целом привело бы к упадку.
Vasiliskov
31.03.2017 16:02+1Идея слишком идеалистична для неидеального мира. Если на уровне одной условно тоталитарной страны это можно реализовать в приказном порядке, останется ещё почти 200, некоторым из которых будет сильно положить. Разве что создать в условно тоталитарной стране очень собственный интернет, как это уже сделали в Северной Корее, но тут уж потенциальные убытки будут выше, чем от эпизодических атак.
AlexKulakov
Спасибо за статью!
Вот, кстати, тоже интересный материал с простыми советами, как защититься от DDoS-атак.