В субботу стартовал проект StopDDoS.ru, на котором публикуются списки узлов-источников DDoS-атак, сгруппированные по провайдерам.
Информация поступает почти в реальном времени (данные обновляются два раза в час) на основе статистики некой системы защиты веб-сайтов, отслеживающей "довольно существенное количество узлов". Сейчас на сайте делаются отчеты для русскоговорящих стран, но обещают и англоязычную версию сервиса. Вскоре провайдеры смогут получать данные с сайта автоматически, с раскрытием подробностей.
Планируется также сервис для оповещения "зараженных" посетителей сайтов - для этого проект готов предложить партнерские отношения сайтам, которых интересует защита от DDoS.
Специалисты по сетевой безопасности, которых мы попросили прокомментировать эту новость, пока относятся к проекту скептически. В частности, предупреждение пользователей не сильно поможет в том случае, когда домашние сети ходят в Интернет с одного адреса шлюза - под одним таким "натом" могут оказаться тысячи абонентов, а заражен только один. О том же говорят и в обсуждении проекта на форуме Searchengines.ru.
Что касается пользы для провайдеров - эксперты сомневаются, что провайдеры будут тратить ресурсы на подобный мониторинг, поскольку это удорожает их услуги, а рынок заточен на массовость и дешевизну.
Еще одно сомнение специалистов связано с создателями проекта - компания "Нетвиллидж", организовавшая StopDDoS.ru, оказалась малоизвестной (сайта у нее нет), а сервер StopDDoS.ru вообще отлично замаскировался (определить, где он стоит, очень непросто). Поэтому "Вебпланета" задала несколько вопросов организаторам проекта:
- Можно ли посмотреть сайт вашей компании?
- Всему своё время. Компания Нетвиллидж была учреждена специалистами, проработавшими более 10 лет в области телекоммуникаций. Занимается разработкой и внедрением решений для защиты от DDOS.
- Насколько широкий охват ботнетов вы можете получить?
- Охват громадный. Мы подключаем к статистике фильтрующие системы ДЦ, где софт наш стоит. В ближайшее время планируется подключить еще 15 фильтрующих бордеров. Данные планируется использовать в системах для вычисления центров управления ботнетами.
- Как провайдеры могут использовать ваши данные?
- Они тратят большие деньги на системы анализа трафика... Но без поставщиков информации о зловредной активности они не смогут обходится. Не все атаки видны по статистике netflow, а прослушивать трафик запрещает закон о тайне связи. Мы же используем журналы с нашей системы и можем делать с этой информацией все, что угодно.
- Какие провайдеры уже сотрудничают с вами?
- С кем-то договоренности уже есть, но подробнее сказать не могу. Когда все стабилизируется, провайдеры сами об этом скажут.
Борьба с DDOS и без нас идет вовсю. Некоторые крупные провайдеры РФ внедрили у себя продукты фирмы Arbor, позволяющие коррелировать данные в том числе и с нашей информацией. Arbor - недешевое решение, и он как раз для этого предназначен. Ну кто будет платить порядка 250k$ за одну железку, анализирующую трафик, если проблема борьбы с DDOS изнутри не стоит так остро? Внедрение таких железок в крупных сетях экономически оправдано. 1000 зараженных абонентов с высокоскоростным подключением могут скушать полгигабита полосы. Смотрите, что творилось первого марта...
- Одна из серьезных трудностей - когда тысячи абонетов сидят под "натом". Поможет ли в этом случае предупреждение пользователей?
- Двойственно, на самом деле. На Украине под натом тысячи, а в других местах 1-2. Обычно флудят из сетей крупных провайдеров, у кого большая масса абонентов. Из сетей "Корбины", МТУ, "Укртелекома". Если мы пойдем на создание системы предупреждения пользователей на самих сайтах, то мы как-то учтем это.
www.webplanet