06.10.2009

Портал «Республика» - ни шагу назад


Автор: Редакция

Портал "Республика" буквально со дня своего основания подвергается мощным DDoS атакам. К совещанию ОБСЕ специалисты по нашей просьбе проанализировали интенсивность и типы этих атак и пришли к неутешительному выводу: "уровень атак, их мощь и стоимость их организации, говорят о том, что в отношении веб-ресурсов «Республики» идет война на «полное уничтожение».
More...
Сегодня мы решили опубликовать полный отчет специлистов по проведенной исследовательской работе — кто, как и почему атакует интернет-ресурсы "Республики".

Введение

DoS — атака (Denial of Service Attack) или «отказ в обслуживании» — самая базовая категория атак в сфере компьютерной безопасности. Этот термин может быть применен к любой ситуации, в которой атакующий пытается помешать использованию кем-либо какого-либо ресурса. Это может быть реализовано различными методами, физическими и виртуальными. Целью DoS-атаки является создание таких условий работы сайта, при которых пользователь не может получить к нему доступ. Чаще всего, злоумышленники добиваются этого, забрасывая сайт огромным количеством «мусорных» запросов, и пользователи уже не могут пробиться к сайту: легитимные запросы тонут в «шуме».

DDoS — атака (Distributed Denial of Service Attack). Распределенная атака опирается на сеть компьютеров-зомби или botnet. Компьютер (как правило, это домашняя машина, подключенная к выделенному каналу) может быть заражен троянской программой. Эта программа попадает на компьютер пользователя, чаще всего, при неосторожном обращении с электронной почтой, например, открытии вложений в письмо, или при посещении зараженного сайта, когда злоумышленник может, используя уязвимости браузера или операционной системы, установить на компьютер пользователя вредоносную программу. Такая программа может в течение долгого времени ничем деструктивным себя не проявлять. Но «Троянский конь» ждет команды к атаке. Компьютеры, зараженные троянскими программами и подчиняющиеся командам удаленного хозяина, и образуют botnet. Часто владелец компьютера даже не подозревает, что его машина заражена и полностью подконтрольна кому-то невидимому.

Команда к атаке отдается, например, в чате. Хозяин пишет фразу, которая содержит адрес сайта-жертвы. Сеть зомби-машин начинает работать. Запросы идут из многих точек Сети, идут с высокой частотой, и сайт, который они атакуют, начинает не справляться с большим потоком обычных запросов, перестает отвечать на легитимные запросы и, наконец, зависает.

DRDoS — атака (Distributed Reflection Denial of Service). Распределенной атаки, использующей отражающие публичные серверы. При такой атаке Attackers отдает команду Masters через Slaves, они забрасывают запросами публичные сервера Reflectors — DNS-сервер, веб-сервер, почтовую машину и т.д., но в качестве обратного адреса указывают адрес жертвы — Victim, и отраженные ответы уходят на жертву и останавливают ее работоспособность.

Обзор сетевых аномалий

Обнаружение сетевых аномалий возможно только распределённым образом, так как требуется анализировать информацию с множества узлов на Сети, это не возможно без организации взаимодействия между Операторами (иначе каждый будет решать проблемы в своем "огороде" и принимать решение соразмерно своим собственным целям и задачам). DDoS-атаки могут легко заполнить канал между клиентом, суб-провайдером, и оператором связи паразитным трафиком в случае заказных атак. Растет количество случаев атак, их размер и сложность, примеры из официально зарегистрированных продолжительных атак на единичный ресурс (источник Arbor Networks):

26 Gbps — начало 2007 года

48 Gbps — начало 2008 года

61 Gbps — конец 2008 года

100 Gbps — конец 2009 года (прогноз).

Наиболее известными, в 2009 году, стали DDoS атаки на такие известные веб-ресурсы как Twitter.com, Facebook.com, LiveJournal.com, YouTube.com и Google's Blogger, произошедших 6 и 12 августа, на несколько часов потерявших связь со своей аудиторией в 50 млн человек.

Наиболее эффективным решением является защита от DDoS-атак только на уровне провайдеров связи, так как отражение атак возможно только при слаженном взаимодействии провайдеров участвующих в передаче этого трафика.

Деловое обозрение «Республика»

СМИ представлено в сети Интернет двумя сайтами и участием в социальных сетях:

1.«Информационно-аналитический портал РЕСПУБЛИКА». Портал создан в сентябре 2008 года. Свидетельство о регистрации средства массовой информации Эл № ФС77—32195 от 09 июня 2008г Российской Федерации, далее — «Портал».

Основной сайт: www.respublika-kaz.info, зеркала: www.respublika-d2.com, www.respublika-kz.info, www.respublika-kaz.net, www.respublika.ws, www.respublika.us.

2.Сайт — электронная копия еженедельной газеты «РЕСПУБЛИКА — деловое обозрение. Дубль-2». Свидетельство о постановке на учет №5460-Г, выдано Министерством информации Республики Казахстан 17.09.2004 г., далее — «Интернет-Газета».

Основной сайт: www.respublika-d2.com, зеркала: www.respublika-kaz.biz, www.respublika-kz.com, www.respublika-d2.info, www.respublika.kz.

Газета выходит один раз в неделю, издается с 16 марта 2005 года

3.Кроме того, работают блоги издания в социальных сетях, где можно не только прочитать свежие материалы, но и оставить свои комментарии к любой статье, а также заказать себе RSS-ленту или рассылку с любого блога прямо на электронный ящик:

respublika-kaz.livejournal.com

respublika-kz.blogspot.com

blogs.mail.ru/mail/respublika-kaz

respublika-kaz.ya.ru/index_blog.xml

Хронология событий

1.Сентябрь — открытие веб-сайта «Портала» и «Газеты». Веб-ресурсы были расположены в Великобритании у хостинг-провайдера www.fasthosts.co.uk (The UK's Number 1 web host). После того как на веб-ресурсы издания в октябре 2008 г. начались небольшие DDoS-атаки приведшие к резкому росту трафика, провайдер просто отключил серверы. При этом зеркала веб-ресурсов находящиеся в офисе издания продолжали работать и выдерживали данные атаки.

2.В октябре 2008 г. основные веб-ресурсы издания были перенесены на очередной хостинг в Великобритании www.webhosting.uk.com, позиционирующей себя как «The number 1 company in the UK». Нами делались попытки за дополнительную плату установить внешний фаервол перед сервером, провайдер не согласился и предложил чистить трафик через стороннюю организацию за гораздо большие деньги. Сервер у этого провайдера продержался значительно дольше, но постепенно плотность атак уже носила гигабитный порядок, в итоге провайдер просто отключил сервер.

3.С декабря 2008 по февраль 2009 г. издание размещало веб-ресурсы на собственных компьютерах в офисе и периодически своими силами отражало атаки.

4. 15 февраля 2009 г начались мощнейшие атаки, как констатировал наш провайдер доходившие в пике до 15 Gbps, продолжавшиеся в течение двух недель. Сайты издания были недоступны и выведены из строя.

5.В марте 2009 г. основное доменное имя «Портала» было перенесено на площадку Ростелекома, где сайт продержался с недельными перерывами в работе до начала июня 2009г. Ввиду того что Ростелеком не обладал достаточной защитой от DDoS, провайдер просто отключал IP-адрес сервера.

6.В апреле 2009 г мы параллельно начали использовать недорогой хостинг специализирующийся на защите от DDoS атак, находящийся в США — www.secureservertech.com. Но максимальный уровень атаки, которому мог противостоять провайдер, как оказалось, составлял всего 8 Gbps, при этом провайдеру пришлось бы задействовать все свои мощности, в том числе резервные каналы. После ряда атак, превышающий максимальный уровень возможностей провайдера, в итоге заблокировавших сайты компании и его клиентов, нам был предложен специальный хостинг-план, позволяющий устоять при атаках более 10 Gbps, но требующий от нас дополнительных инвестиций на апгрейд сети и оборудование провайдера. При этом сам тариф обслуживания также возрастал в несколько раз в ежемесячных выплатах. От такого предложения мы вынуждены были отказаться, и предприняли новые поиски специальных хостинг-провайдеров.

7.Мы провели переговоры с рядом компаний c мировым именем, специализирующихся на очистке трафика при мощных DDoS атаках: www.akamai.com, www.prolexic.com, www.dragonara.net, www.blacklotus.net. По соотношению цена/качество/адекватность была выбрана компания BlackLotus, на которой с мая 2009 по текущий момент находятся наши веб-ресурсы.

8.Для создания российского зеркала веб-ресурсов мы провели исследование возможностей противостоять DDoS атакам основных провайдеров, кроме Ростелекома: Комстар, Билайн Бизнес (ex-Golden Telecom), Транстелеком, Orange и других. Нами был выбран крупнейший провайдер — французская компания Orange Business Services (ex-Equant), который единственный на рынке декларировал готовность защиты от любых DDoS-атак. Однако атаки на веб-ресурсы издания привели к остановке интернет-сайтов многих клиентов Orange.

Анализ и векторы DDoS атак на веб-ресурсы «Республики»

Ниже приведено описание двух наиболее заметных DDoS атак на веб-ресурсы издания за август-сентябрь 2009 г.

DDoS Атаки по исчерпанию ресурсов каналов передачи данных

На графиках представлена DDoS атака типа SYN flood достигающая размера волны чуть более 15 Gbps произошедшая 30—31 августа 2009 г. Данная атака является практически «стандартной» для веб-ресурсов издания и направлена на заполнение полосы пропускания каналов провайдеров и перегрузки сервера массированными запросами к сайтам «Республики».



Атака против доменных имен

Ниже представлен график показывающий мощность атак в pps (IP-пакетов в секунду) произошедших 30—31 августа, 1—2 сентбря 2009 г., против ресурсов Интернет-газеты www.respublika-kz.com, www.respublika-d2.com и www.respublika-kaz.biz. По словам Jeffrey Lyon — президента компании BlackLotus, оказывающей профессиональные услуги защиты от DDoS, за всю историю их компании данная атака является самой мощной. Волна атаки достигала колоссального количества запросов к DNS-серверу: 50 миллионов pps, то есть 50 миллионов запросов в секунду, и была направлена на блокирование доменных имен издания.

Стоит отметить, что при таком виде атаки трафик может быть небольшим и в нашем «рекордном» случае составлял всего лишь 3 Gbps, что по сравнению с Flood-атаками на первый взгляд немного. Дело в том, что при атаках, направленных на нанесение ущерба DNS-серверу, размер пакета DNS Query может составлять всего несколько десятков байт, поэтому тут важна не полоса трафика, а именно количество запросов. Поэтому в итоге, когда на нас пришла колоссальная волна атаки на DNS-сервера в 50 млн pps, компании BlackLotus пришлось срочно оставить работоспособными только два доменных имени, приобретать дополнительное оборудование и заказывать аренду дополнительных оптических каналов в Европе с целью расширения возможностей при отражении атак.

Данный график показывает, сколько IP-пакетов (Layer 3) и TCP-пакетов (Layer 4) было остановлено перед сервером издания, уже после основной защиты компании BlackLotus и ее провайдеров связи, то есть фактически в графики попало лишь 10% реальной атаки, что подтвердил президент BlackLotus.

Обратите особое внимание, во время данной атаки официальный сайт BlackLotus и сайты его клиентов были заблокированы на несколько часов, на время поиска решения для противодействия злоумышленникам.

Данная атака, называемая DNS Amplification, также представляет большой интерес с точки зрения развития способов атаки на серверы «Республики». Очевидно, что хакеры перешли от простого «забивания» каналов связи провайдеров, о чем было написано в предыдущей атаки, к точечным атакам против конкретных уязвимостей сервера и провайдера защиты от DDoS. Представленная атака связана с уязвимостями DNS, то есть организации трансляции доменного имени в IP-адрес, провайдеру пришлось отключить зеркала сайтов «Республики» и сосредоточится на защите только двух доменных имен, «Портала» и «Интернет-Газеты».

При текущей организации name-серверов подобное может произойти с каждым доменным именем в Интернет, поскольку это связано со спецификой организации DNS-серверов в Интернет. Универсального лекарства от атаки DNS Amplification пока не существует. Тем не менее, организация DNS-OARC (Operations Analysis and Research Center) уже выпустила рекомендации по защите серверов на платформе BIND DNS от использования в таких атаках. Компания Microsoft пока не опубликовала указаний, как избежать подобных атак в ее продуктах, однако общие рекомендации по развертыванию защищенных DNS-серверов на базе продуктов Microsoft можно найти, например, на сайте technet.microsoft.com.

В заключении стоит отметить, что во время атак на веб-сайты «Республики» ряд известных ресурсов Центральной Азии поспешили выступить с заявлениями, согласно которым они также подвергались грандиозным DDoS атакам. Приводились даже цифры — 15—25 ГГб. Считаю подобные заявления весьма сомнительными, поскольку уже во время обращения к мировым лидерам рынка отражения DDoS атак выяснилось, что атаки уже свыше 8ГГб являются достаточно редко встречающимися и их отражение требует не только наличие специализированно оборудования, немалых средств на его приобретение, но и наличие высококлассных специалистов, причем весьма узкой специализации. При этом, согласно мнению экспертов, сама «стоимость» таких атак весьма немалая и их организация не имеет смысла на короткий промежуток времени, поскольку станет слишком дорогостоящей.

Однако ресурсы, подвергшие якобы таким же серьезным атакам, как веб-ресурсы «Республики» весной 2009 года, были «выключены» всего на несколько дней, а в дальнейшем прерывание их функционирования практически не происходило, в то время как на веб-сайты «Портала» и «Газеты» атаки с каждым разом становятся все сильнее и изощреннее. Из этого можно сделать вывод, что настоящей и единственной целью некой группы хакеров было и остается не дать именно веб-ресурсам «Республики» функционировать в Сети. Более того — по мнению ряда экспертов, уровень атак, их мощь и стоимость их организации, говорит о том, что в отношении веб-ресурсов «Республики» идет война на «полное уничтожение». То есть, на полное исчезновение их из Сети, для чего организовываются с каждым разом все более мощные атаки, рассчитанные, видимо, на то, чтобы в конце концов ни один провайдер в мире не рискнул расположить веб-сайты «Портала» и «Газеты» у себя.


Виды атак

В течение года веб-ресурсы издания подвергались всем видам известных атак с целью прервать деятельность интернет-ресурсов, очевидно, что атаки носят заказной характер, так как наиболее серьезные атаки проходят в момент выхода новых материалов издания. В среднем мы получаем 2—3 серьезных атаки в неделю, всего было получено 10 видов атак:

1.TCP SYN flood

2.TCP flood

3.UDP flood

4.HTTP flood (POST, GET)

5.Scans from black list sites

6.DNS amplification

7.Spoofed source flood

8.ICMP flood

9.Crack code of sites

10.SQL injecting

Анализируя виды и историю атак на интернет-издание, просматривается, что злоумышленники пытаются перейти от простого заполнения трафиком каналов связи к интеллектуальным атакам с целью поиска уязвимости не только ресурса, но и провайдеров предоставляющих защиту, что неоднократно приводило к выходу их строя серверов других клиентов провайдера. Очевидно, что заказчики атак начинают тратить больше средств с целью поиска ключевых уязвимостей.

Доходы хакеров от организации атак

Согласно исследованиям, проведенным различными компаниями в области расследования инцидентов информационной безопасности, заработок владельца средних бот-сетей, через которые организуются распределенные DDoS атаки, составляют около $100 000 в месяц. Аренда в час средней бот-сети обойдется около $1000. (ист. — Исследования Cisco Systems).

По мнению экспертов, в отношении ресурсов «Республики» в конце августа 2009 года применялись высоко профессиональные ботнеты, специально подготовленные для DDoS-атак на веб-ресурсы «Республики», по своей эффективности превышающие все известные ботнеты за последние два года.

Вывод

DDoS атаки — оружие массового поражения. Растущая зависимость от ресурсов Интернет приводит к тому, что финансовые и иные последствия успешных атак DDoS все больнее ударяют по провайдерам услуг, бизнесу и правительственным ведомствам. Новые, более мощные инструменты DDoS создают угрозу еще более разрушительных атак в ближайшие месяцы и годы.

Деловое обозрение «Республика» с момента своего образования в сентябре 2008 г., успела испытать качество услуг, практически всех известных игроков на рынке, в Европе, Америке и России

За последний год число и сложность DDoS атак очень сильно возросла, больше всего удивляет не только отношение российских провайдеров, но и зарубежных к таким ситуациям, когда лучшее, что они могут предложить — это просто отключить сервер и переждать атаку, яркие примеры французская компания Orange Business Services (ex-Equant) и российский Ростелеком.

В текущий момент создается впечатление, что слабое сопротивление провайдеров растущему числу DDoS атак, выгодно самому провайдеру, потому что за трафик платит владелец интернет-ресурса или его посетитель.

К сожалению, полное отсутствие работающих международных соглашений и законодательства, а также профессиональных сообществ по борьбе с DDoS атаками создает злоумышленникам множество возможностей для выведения из строя практически любого интернет-ресурса в мире.

Ссылки

1.Orange Business Services, www.orange-business.ru

2.Ростелеком, www.rtcomm.ru

3.Транстелеком, www.ttk.ru

4.Комстар, www.comstar-uts.ru

5.Бидайн Бизнес, www.beeline.ru

6.ФСБ, www.fsb.ru

7.ФБР, www.fbi.gov

8.BlackLotus, www.blacklotus.net, профессиональная защита от DDoS.

Термины

DNS — (англ. Domain Name System — система доменных имён) — распределённая система (распределённая база данных), способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию. DNS работает в сетях TCP/IP. Как частный случай, DNS может хранить и обрабатывать и обратные запросы, определения имени хоста по его IP адресу — IP адрес по таблице соответствия преобразуется в доменное имя, и посылается запрос на информацию типа «PTR».

Gbps — (англ. bits per second, bps) — Бит в секунду, бит/с , базовая единица измерения скорости передачи информации, используемая на физическом уровне сетевой модели OSI или TCP/IP. Для обозначения больших скоростей передачи применяют более крупные единицы, образованные с помощью приставок системы Си кило-, мега-, гига- и т. п. получая: гигабиты в секунду — Гбит/c (Gbps).

pps — (англ. packets per second) — пакетов в секунду, пакет/с. Единица измерения скорости передачи — характеристики производительности коммуникационного оборудования;

Ботнет (англ. botnet) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

0 коммент.:

Отправить комментарий