DDoS-атака - основная угроза информационной безопасности

Дмитрий Канаев, технический директор телекоммуникационной компании "Караван"

Илья Сачков, генеральный директор компании Group-IB (Группа информационной безопасности)

DDoS-атаки (распределенные атаки типа "отказ в обслуживании") – современная интернет-угроза, с которой каждый день сталкивается все больше компаний. По данным Института компьютерной безопасности (Computer Security Institute), в мире ежедневно происходит до 10 000 DDoS-атак. Количество этих атак постоянно возрастает. Целью DDoS-атак является вывод объекта атаки из рабочего состояния (потеря доступности). Нанесенный организации ущерб может исчисляться от тысяч до миллионов долларов.

Жертвы DDoS-атак

Изначально методика, заложенная в основу организации DDoS-атак, зародилась при проведении экспериментов по проверке систем на устойчивость к нагрузкам. Активное развитие DDoS-атак началось в конце 90-х гг. прошлого столетия. В частности, по причине DDoS-атак в 1999 г. были выведены из строя Web-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay. В 2002 г. масштабная DDoS-атака затронула 8 из 13 корневых серверов DNS, системы, без которой невозможно существование ни одного Web-сервиса. В октябре 2006 г. атаке подвергся Национальный банк Австралии, в 2007 г. по причине DDoS-атак была парализована работа правительственных сайтов Эстонии... По данным координационного центра FIRST, который объединяет центры CERT по всему миру (Computer Emergency Response Team), количество DDoS-атак резко возросло в последние три-четыре года.

Особенно уязвимы для DDoS-атак те компании, бизнес которых напрямую зависит от доступности интернет-ресурсов или тесно связан с электронной коммерцией, например высокодоходные инвестиционные интернет-проекты (HYIP), интернет-казино, интернет-процес-синги, букмекерские конторы, финансовые институты и банки, контент-провайдеры.

По данным МВД, в 2009 г. в Российской Федерации основными объектами DDoS-атак стали:

• банковские платежные системы;
• системы электронных платежей;
• предприятия электронной коммерции;
• средства массовой информации;
• телекоммуникационные компании.

Цель DDoS-атак

Сегодня DDoS-атаки используются в качестве эффективного и популярного инструмента конкурентной борьбы. Они могут быть направлены не только на остановку работоспособности ресурсов компании, но и использоваться как повод для вымогательства, так как некоторые компании предпочтут заплатить определенную сумму во избежание атаки, нежели ставить под угрозу стабильность бизнеса. Также встречаются случаи использования DDoS-атак в качестве прикрытия для совершения незаконных операций: например, за счет DDoS-атаки создается видимость неработоспособности банк-клиента, пользователи лишаются возможности получать уведомления о движениях средств на счете и оперативно реагировать на происходящее, в это время осуществляется снятие или перевод денежных средств со счетов. Кроме того, DDoS-атаки влекут за собой потерю репутации компании, доверия со стороны поставщиков, партнеров, инвесторов, сокращение клиентской базы и опять как следствие – значительные финансовые потери.

Целью распределенных атак типа "отказ в обслуживании", как правило, является заполнение каналов связи или адресация к интернет-ресурсу паразитного трафика, вследствие чего происходит парализация работоспособности интернет-системы.

Методы организации DDoS-атак

В настоящее время специалисты по информационной безопасности выделяют следующие методы организации DDoS-атак:

• UDP-flood - на IP-адрес объекта атаки осуществляется отправка большого числа пакетов UDP (User Datagram Protocol), вследствие чего канал связи переполняется и делает невозможным пропуск трафика легитимных пользователей к атакуемому ресурсу.
• ICMP-flood - осуществляется путем отправки на IP-адрес атакуемого объекта большого числа пакетов ICMP (Internet Control Message Protocol). В результате скорость поступления пакетов на атакуемый ресурс будет превосходить скорость обработки, а поступающий трафик может достигать максимальной пропускной способности канала. Протокол ICMP является служебным, выполняет сервисную функцию, поэтому является "удобным" для организации DDoS-атак.
• TCP-flood - на IP-адрес объекта атаки осуществляется отправка большого числа TCP (Transmission Control Protocol) пакетов с целью израсходовать ресурсы системы за счет обработки этих запросов. Одной из разновидностей таких атак является TCP SYN flood, при котором ресурсы системы расходуются на отслеживание частично открытых соединений.
• HTTP-flood - осуществляется путем отправки большого количества HTTP-запросов на атакуемый объект, что приводит к быстрому расходу ресурсов системы. HTTP-протокол относится к прикладному уровню по модели OSI/ISO, поэтому при таких атаках расходуются ресурсы не только на транспортном, но и на уровне приложений. Для выведения объекта атаки из строя требуется меньшая полоса трафика, количество узлов ботнета и т.д.

Дополнительные приемы усиления

Помимо вышеперечисленных методов, при организации DDoS-атак используются дополнительные приемы усиления, в частности использование адреса направленной широковещательной рассылки или подмена IP-адресов (IP-спуфинг).

• IP-спуфинг - благодаря использованию поддельных IP-адресов в атаку могут вовлекаться не причастные к ней IP-хосты, что усложняет выявление источника атаки.
• Атака Smurf основана на использовании возможностей протокола ICMP рассылать пакеты по нескольким адресам. Используется как эффект усиления при организации атак типа ICMP-flood. Сочетает в себе обращение к адресу широковещательной рассылки IP-сети и подмену IP-адреса, за счет чего мощность атаки усиливается многократно.
• При Fraggle-атаке используются аналогичные действия, как и при Smurf-атаках, но UDP-пакеты вместо ICMP. Даже при запрете эхо-ответов будут генерироваться сообщения IСМР о недоступности, а канал будет заполняться невалидным трафиком, пусть и в меньшей степени.

DRDoS-атаки

Существуют также атаки непрямого воздействия DRDoS (Distributed Reflection DoS), которые осуществляют нападение опосредованно, через добропорядочные хосты сети Интернет. Классический механизм DRDoS-атаки заключается в том, что TCP-пакет отправляется не на адрес атакуемого объекта, а на IP-адрес произвольного хоста. В этом пакете обратный адрес заменен на адрес объекта атаки. Отвечая на запрос TCP c SYN-флагом, сервер передает TCP-пакет c флагами SYN+ACK. Если адресом источника в первом пакете поставить адрес атакуемого объекта, сервер пошлет несколько TCP-пакетов с флагами SYN+ACK на этот адрес. При использовании для атаки множества мощных серверов, отвечающих на ложные запросы по ложному адресу, атакуемый объект будет загружен потоком пакетов.

Угроза от DDoS-атак усугубляется простотой организации, часто атакующим не обязательно обладать специализированными знаниями и ресурсами. На сегодняшний день DDoS-индустрия настолько развита, что многие необходимые инструменты для организации атаки доступны в сети Интернет, в частности сегодня можно беспрепятственно приобрести ботнет...

Продолжение в следующем номере.

Комментарий эксперта

Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET

DDoS-атака - это не единственная угроза в области информационной безопасности. Киберпреступный бизнес достаточно многогранен, как и любая другая криминальная деятельность, и мошенники ежедневно создают все более изощренные методы монетизации за счет пользователей.

Уже достаточно длительное время компания ESET фиксирует интерес злоумышленников к организации ботсетей. Круг задач у ботов может быть крайне обширным, начиная от осуществления DDoS-атак, рассылки спама и заканчивая подбором капчи ' (captcha). Эволюция такого рода вредоносных программ тоже не стоит на месте. Например, последние модификации руткита TDSS, а по нашей классификации Win32/Olmarik, сложны не только в анализе, но и в ликвидации последствий заражения данной программой.

Интересен тот факт, что некоторые боты создаются с целью осуществления вредоносной активности только в определенном регионе. Если вредоносная программа смогла идентифицировать вас как пользователя неинтересной для нее страны, она просто не станет заражать ваш компьютер. Это связано в первую очередь с тем, что в некоторых регионах среди пользователей менее распространены способы оплаты различного рода услуг и покупок через сеть Интернет.

Еще одной примечательной особенностью современных ботов является способность обновляться, а также устанавливать по мере необходимости во вредоносном ПО дополнительные функциональные модули. К примеру, еще вчера сеть зараженных ПК не умела осуществлять DDoS-ата-ку, а только рассылала спам. Но сегодня автор сдал в аренду свой ботнет для другой задачи, и на зараженные компьютеры был доставлен соответствующий модуль.

Для ботсетей характерно, что компьютеры, зараженные вредоносным кодом, могут одновременно участвовать в нескольких ботсетях. В то же время существуют разновидности вредоносных программ, стремящихся монополизировать использование ресурсов зараженного компьютера. Для этого, проникнув на компьютер, программа может даже скачивать и устанавливать обновления безопасности, закрывающие те уязвимости, которые были использованы при атаке.

В заключение отмечу, что мошенники, создающие ботсети, все реже действуют в одиночку, а входят в крупные преступные сообщества. При этом владельцы ботнетов становятся партнерами и объединяют ресурсы для организации DDoS-атак.