Коллектив Авторов - Цифровой журнал «Компьютерра» № 161
Соответственно вы не знаете, откуда пакеты приходят, но вы можете понять, что их гигантское количество и вам, как мелкую кильку, надо перекидать из бочки в другую бочку по одной рыбке и при этом выполнить проверки. Задача крайне сложная, если это обычное сетевое оборудование, но мы умеем с этим справляться. Есть атаки уровня приложений, когда у вас есть какая-нибудь «тяжёлая» страничка и «тяжёлый» контент. И вот открытие этой странички и загрузка этой странички, установление большого количества одновременных сессий уже будет приводить к тому, что сайт будет подтормаживать и медленно открываться.
- Это, я так понимаю, HTTP-флуд?
- Да. И если бот, например, не переходит на какую-нибудь другую страничку, а только использует какие-то поисковые запросы, перебирает их и больше ничего не открывает, то обычный пользователь установил сессию, сделал какой-то запрос, открыл какую-то страничку и дальше начинает куда-то по ссылке уходить с неё. А если вы просто постоянно пять раз в минуту открываете только главную страничку, но больше никуда не ходите, или вы задаёте случайные поисковые запросы, но никакие ссылки в них не открываете, только лишь поисковые запросы делаете – соответственно, понятно, что вы бот.
- А бывают какие-то более продуманные виды HTTP-флуда, когда бот действительно делает вид, что он человек, и становится трудно отличить его от среднестатистических пользователей? Случалось с таким сталкиваться?
- Действительно, бывают и такие случаи. Дело в том, что на сегодняшний день злоумышленники, конечно, понимают, что, раскусив модель поведения бота, мы сразу видим, что она достаточно статична. И злоумышленник применяет другие тактики. Например, комплексные атаки, когда, с одной стороны, устраивается какая-то атака, исходящая от одной части ботнет-сети, — сервер бомбардируют какими-то определёнными запросами. Другая ботнет-сеть или её часть работает с другими запросами, третья – с третьими, и так далее. Три таких комплексных аномалии уже сложнее выявить. С одной стороны, вы смотрите – большое количество пользователей пытается открыть какую-то поисковую страницу, другое количество пользователей пытается стянуть какие-то картинки. И вот сразу понять и догадаться, что и те, и те – боты, а реальный пользователь один раз открыл страницу и больше ничего не сделал, сложнее.
Плюс ко всему прочему могут применяться атаки на сетевом уровне, как я говорил, — так называемый SYN-флуд, когда ещё необходимо помимо установленных сессий работать с приложениями и ещё раскидать эти мелкие пакеты, что в какой-то мере ещё дозагрузит ваше сетевое оборудование в любом случае. То есть ваше сетевое оборудование уже будет загружено в значительной степени, и вам надо будет разбираться ещё с дополнительными неприятностями.
Это напоминает матрешки: одну открыли, а там ещё одна, а в ней ещё одна. И вот бывали ситуации, когда моим коллегам приходилось достаточно долго выяснять, где же они заканчиваются.
- И на кого была такая ухищрённая атака направлена?
- Из недавних таких примеров – это комплексные атаки на интернет-магазин и туристический сайт. DDoS состоял из трёх компонентов. Шла небольшая атака в виде определённого запроса к сайту, к приложению, которое медленно обрабатывалось; это была атака просто на установление HTTP-сессии – так называемый connection-флуд. К тому же осуществлялся SYN-флуд, то есть бомбардировка мелкими пакетами, чтобы и сетевое оборудование тоже «не отдыхало». Дальше злоумышленник может просто варьировать эти вещи, и такие три одновременные неприятности уже достаточно весомы. - Ваш центр очистки с подобными вещами справляется?
- Да, конечно. Когда мы его строили, мы исходили из того, чтобы компании могли себя чувствовать под таким «зонтиком» достаточно комфортно.
- То, как работает центр очистки, не сказывается ли на сложности установки соединения для рядовых пользователей? Они испытывают какие-то замедления в работе?
- Скорее в теории, нежели в жизни. Речь может идти о задержках на сотые доли секунды. То есть человеку её ощутить практически невозможно.
Бывают ситуации, когда для каких-то пользователей по тем или иным причинам сайт может оказаться недоступен — в силу ложных срабатываний. Но это крайне редкая ситуация.
У нас была история, когда часть ботнет-сети располагалась внутри сетей той же компании, чей сайт подвергался атаке. Мы, как внешний наблюдатель, видели: источник атаки – всего один IP-адрес, за которым находится масса пользователей, как легитимных, так и нелегитимных. Когда мы обнаружили большое количество нелегитимных запросов именно с этого IP-адреса, мы пресекли доступ с него, не вникая в его подробности. Оказалось, что там есть легитимные пользователи, и они сидели за этим же прокси. Соответственно им их же ресурс оказался недоступен.
Такие ситуации бывают, но они достаточно редки, и есть определённые технологии, которые позволяют этого избежать, — те же самые белые списки. В случае их использования посетитель сайта проходит некоторые авторизационные процедуры, и движок отдаёт информацию нашей системе о том, что это — легитимный пользователь. Соответственно мы его помещаем в белый список и его уже не будем блокировать.
- А на каком уровне функционирует белый список?
- Белый список работает на уровне IP-адресов. Наша система готова в минуту для одного защищаемого IP-адреса загрузить порядка 500 тысяч IP-адресов. Помимо белого списка есть ещё черный список, общий размер списка – до 1 млн IP-адресов для одного защищаемого ресурса. Сегодня на один бизнес-ресурс в России столько народу одновременно не заходит.
- Если сравнивать DDoS и угрозы, не относящиеся к DDoS-атакам, то от чего больше ущерб? От DDoS-атак или от вирусов, взломов и тому подобного?
- Сложно сказать. Хищение персональных данных или банковской тайны – это крупные неприятности. Перевод каких-то средств — тоже. С другой стороны, DDoS может быть прикрытием хищения. Мы, в частности, видели ситуации, когда определённые действия злоумышленников просто прикрывались DDoS-атаками. Как в случае с военными действиями: помехи, дымовая завеса, всё точно так же и здесь. Со взломанного счёта клиента списываются некоторые деньги, и сразу же устраивается DDoS-атака; легитимный пользователь не может зайти в свой клиент-банк и посмотреть деньги на своём счету. Соответственно он не видит, что происходит.
Или вот другой пример: проводятся определённые интернет-торги, и последние 10 минут критичны для работы с предложением.
И если в это время возникает резкая DDoS-активность, то может произойти срыв торгов, а может быть, если это единичный клиент не смог работать, он фактически проиграл торги. Потери его достаточно велики и весомы. Поэтому может ли DDoS-активность сильно влиять на монетизацию? Однозначно, да. Насколько она хуже или лучше взлома сайта – здесь сложно сказать. Всё зависит от ресурса.
К оглавлению
Дети, учите китайский!
Денис Викторов
Опубликовано 19 февраля 2013
Недавно заполнял одну анкету. Там требовалось указать владение языками. Написал: «немецкий, английский». И вздохнул. Немецкий мой после окончания аспирантуры был чудо как хорош. Нет, это ещё не было свободное владение языком, как у Штирлица, который, согласно Юлиану Семёнову, «думал по-немецки». Но после того, как пару лет я провёл в ежовых рукавицах Владимира Ароновича Гандельмана, возглавлявшего в 90-х кафедру иностранных языков РГГУ, произошло удивительное «переключение». Я не испытывал никаких проблем с тем, чтобы сформулировать любую мысль по-немецки грамотно. То есть строил фразы так, как строили бы их носители языка. И даже пытался делать это, что называется, «красиво». А редкие немцы, с которыми я имел удовольствие практиковаться в личных беседах, отмечали, что у меня «австрийский национальный вариант» немецкого языка. Откуда бы?
Но немецкий мой пропал. За ненадобностью. Оказалось, что технологическая журналистика требует прежде всего умения (хотя бы) прочитать и понять текст, а в идеале ещё и провести интервью пусть на куцем, но — английском. Пришлось «подтягивать» инглиш самостоятельно.
Почему в советских школах часто учили немецкому, понятно. В орбите СССР была как минимум ГДР. Да и ФРГ вела себя более или менее прилично. Но если бы я дал себе труд подумать году этак в 1998-м (впервые выехав за границу со студенческой группой по обмену) о том, к чему приведёт горбачёвская перестройка, то начал бы учить английский вовремя. Ибо после падения железного занавеса перед нами, наивными и неподготовленными, открывался весь мир. В котором важнейшим языком был английский.
А вот если бы я сейчас был учеником старших классов или студентом, точно начал бы учить китайский. Резонов предостаточно.
Ну вот посмотрите хотя бы сегодняшние новости. Китай стал крупнейшим в мире национальным рынком активно применяемых пользователями смартфонов и планшетов на платформах iOS и Android. По крайней мере аналитики из компании Flurry уверены, что не ошиблись в своих оценках. Ежедневно Flurry отслеживает (не очень понял, как именно; утверждается, что в анонимном режиме) 2,4 млрд. пользовательских сессий по 275 000 мобильных приложений во всём мире. Всё это позволяет представителям фирмы утверждать, что в её статистические выборки попадает не менее 90 процентов «умных» мобильных устройств.