Компания
258,08
рейтинг
27 ноября 2012 в 09:27

Разработка → Борьба с DDoS глазами Highload Lab

O трендах и тенденциях в DDoS-атаках рассказывает создатель Highload Lab и сети фильтрации трафика QRATOR Александр Лямин. Интервью мы брали еще в начале года, но изменилось пока немногое



DDoS-атаки появились на заре интернета. Знакомство с ними для меня лично началось во время проекта IT Territory в 2003 году, когда игра только стартовала. Она имела достаточно агрессивную рекламную кампанию, в ответ на которую тут же прилетел DDoS от конкурентов. Скажу честно, я растерялся. Больше всего из-за того, что компания, которая оказывала хостинг-услуги, не просто не смогла, а не пожелала бороться с атакой. Ее представители сказали, что это не их проблема.

Буквально за ночь мы переосмыслили структуру приложения и перестроили его. Ресурс поднялся, но атака перестала работать на уровне приложения. Злоумышленники перевели атаку на сетевой уровень, в результате чего отключилась вся сеть компании, предоставляющей хостинг. Тогда уже она пришла к нам с просьбой сделать что-нибудь. На вопрос «а что сделать-то?» последовал ответ: «Ну договоритесь как-нибудь, вы же знаете, кто вас атакует». Мы, естественно, не знали и договориться не могли. Да и как договариваться с террористами?

Компания, которая, казалось бы, должна заботиться о клиентах, не сделала ничего. И не потому, что она плохая и хостинг некачественный, а потому, что она не могла ничего сделать.

Самые популярные DDoS-атаки — это, конечно, атаки, организованные с помощью ботнетов. Это доступный способ сделать атаку распределенной.

Стоимость атаки сильно зависит от того, как она реализуется. Исполнителем может выступать студент, который сам что-то написал и готов поработать за пиво, а может и организованная группировка.

Есть типы атак, которые могут стоить, по слухам, полмиллиона рублей и больше. Мы выделяем атаки базового типа: до пяти тысяч ботов, проведение на уровне приложения, одна стратегия. Для исполнителя тут нет ничего сложного — получил WMZ, нажал кнопку, пошел пить пиво. Это стоит примерно $30–100 в сутки. Но есть и атаки другого рода, когда видно, что работает команда, и работает она 24/7 — на результат. Если у нее не получается добиться результата, она постоянно переключает режимы атаки, меняет стратегию, пытается найти уязвимое место и прорваться. Конечно, такое стоит далеко не $100 в сутки.

Россия выделяется среди других стран гораздо более изощренными атаками. Европейцы в шоке от того, насколько сложны наши атаки. Например, к нам недавно обратилась одна компания, которая работает на российском рынке, но все ее информационные структуры расположены в одном из ведущих европейских дата-центров. Когда компания к нам обратилась, дата-центр испытывал серьезные проблемы и был недоступен. Мы подготовились к приему компании на своей сети и прогрели карантинное оборудование, ожидая чего-то экстраординарного, ведь дата-центр «умер»! Каково же было наше удивление, когда мы увидели, что, хотя атака проводится на уровне выше среднего, она не представляет собой ничего особенного.

Законодательство крайне слабо в вопросах привлечения к ответственности за DDoS, из-за чего злоумышленники чувствуют себя фактор безнаказанными. Для квалифицированного программиста проведение DDoS-атак на заказ становится абсолютно безопасным прибыльным делом, доход от которого может превышать текущие зарплаты на рынке в десятки раз.

Мотивы для DDoS — это, как правило, деньги и просто личная неприязнь. De facto мы живем в информационном обществе. Скорость распространения информации влияет на него прямым образом. Заблокировав источник информации, можно необратимо повлиять на общество. Соответственно, DDoS — это эффективное средство блокировки какого-либо источника информации на необходимое время.

В качестве примера можно привести сайт Slon.ru. Сайт работал, всё грузилось, но атака не спадала. Такие атаки называют комбинированными. Когда они к нам пришли, она велась на сетевом уровне, на полосу. Когда злоумышленники увидели, что заполнение полосы вообще не дает результата, началась атака application-уровня. В ботнет, использовавшийся для проведения атаки, входило порядка 200–270 тысяч ботов.

Наиболее подвержены DDoS-атакам достаточно узкие направления интернет-бизнеса с высокой конкуренцией. Хороший пример — пиратские клоны Lineage II. Такие сервисы — вообще отдельная история, ведь они являются чисто коммерческими. Если в два часа ночи к тебе в ICQ стучится кто-то и, допустив восемь орфографических ошибок в четырех предложениях, требует (!), чтобы ты немедленно ему помог, можно не сомневаться, что это он! Администратор пиратки Lineage!

DDoS-атакам подвергаются и те сайты, где трудно их ожидать. У нас, например, есть такой внутренний мем — «кедровые бочки». Онлайн-магазин, который, не поверите, продает кедровые бочки, подвергся серьезной DDoS-атаке. Это очень узкий, высококонкурентный вид деятельности, которая, видимо, приносит хорошую прибыль.

Техническая сторона DDoS


Зачем вообще нужно классифицировать атаки? Чтобы понять, разложить по полочкам их механизм работы и предпринять адекватные контрмеры.

Наши коллеги по цеху пытаются как-то классифицировать атаки. На одном сайте можно найти и ICMP spoof, и DNS amplification, и TCP SYN flood, TCP RST flood — парни перечисляют техники проведения атак. Много страшных букв, которые для обычного пользователя никакого смысла не несут. Такая классификация нас не устраивает.

Мы классифицируем атаки очень просто: атаки на приложения, атаки на канальную полосу (скорость измеряется в гигабитах/с), атаки на сетевую инфраструктуру (скорость измеряется в пакетах в секунду), атаки на транспортный уровень (стек TCP/IP).

Самая мякотка — это уровень приложения. Почему? Потому, что у атак уровня приложения плечо максимально. Плечо атаки — это отношение ресурсов, необходимых на стороне атакующих, к ресурсам, необходимым на стороне приложения (на стороне защищающихся).

Возьмем какой-нибудь средний интернет-магазин. Можно найти ссылку, обычную ссылку, определенное количество обращений в секунду к которой убьет этот магазин напрочь. Таких приложений много, и для того чтобы их убить, иногда и ботнет не нужен — достаточно сотового телефона даже не с EDGE, а с GPRS. Четыре-пять запросов в секунду, и приложение выкидывается в outflow и не может выйти оттуда до перезагрузки сервера. Этим обусловлена популярность атак на уровне приложений.

Еще есть транспортный уровень — атаки, направленные на сам стек TCP/IP. К этому типу относятся атаки типа SYN-флуд, RST-флуд или FIN-way — модная сейчас атака с некорректным закрытием соединения, которая, кстати, тоже эксплуатирует уязвимость спецификации протокола, а не реализации.

К наиболее популярным методикам относится DNS amplification. Достаточно найти любой сетевой сервис IDP based без handshake, послать пакет размером N с фальсифицированным источником и в ответ получить пакет N x K. В таком случае для реализации распределенной атаки нужно иметь список IP-адресов, на которых есть эти сервисы, один очень хорошо подключенный сервер на гигабите, который выдаст набор пакетов в эти «отражатели» с поделанным IP-адресом жертвы. Пакет отправится к жертве и снизит до нуля ее пропускную способность и выведет ее из рабочего состояния. Речь идет о сервере DNS — UDP 53, где можно сделать такую штуку, как рекурсивный запрос по зоне. Сам по себе он небольшой, а вот ответ на него будет длинным. Чтобы дополнительно увеличить коэффициент K атаки, достаточно «подкормить» эти сервера каким-нибудь большими фальшивыми доменными зонами. Получая их рекурсивно, с поддельным адресом жертвы, можно увеличить K в разы. Второй вариант — это NTP, протокол синхронизации времени, который тоже имеет уязвимости подобного рода при плохо сконфигурированных серверах.

Атака типа SYN-флуд появилась одновременно с TCP-протоколом. Первое упоминание о ней я встретил, по-моему, в 1982 году. Как ни странно, она эффективна по сей день. История развивается по спирали. Сто-пятьсот SYN-запросов в секунду — это, конечно, этап давно пройденный. В настоящее время при наличии достаточных процессинговых мощностей можно легко превзойти и цифру в 10 млн пакетов в секунду.

В момент отправки пакета с запросом на соединение партнер должен сгенерировать sequence-номер (а это требует вычислений, так как он должен быть случайным, криптостойким числом) и создать в своем стеке определенною запись. На это нужны ресурсы, ресурсы и еще раз ресурсы. На то, чтобы послать пакет, сгенерировав его трафик, требуется существенно меньше ресурсов, чем на действия, выполняемые на стороне сервера. Получаем плечо атаки.

Проблема существует внутри самого протокола, в его спецификации. Когда разрабатывался TCP/IP-стек, никто не думал, что интернет разрастется до таких масштабов по количеству узлов, достигнет таких скоростей и, что немаловажно, будет прокачивать через себя столько денег.

Существуют атаки, которые не используют ботнеты. Распределенную атаку можно провести и с помощью механизма отражения. Классика жанра — атаки DNS amplification с отражением и увеличением мощности.

Атаки на инфраструктуру затрагивают всё, что лежит вокруг сетевой инфраструктуры: протоколы маршрутизации и само оборудование, если менеджмент-модули имеют открытый IP-адрес.

Что такое атаки на сетевом уровне? Просто залить полосой в 56 Гбит — это clustery sort называется. Это последнее средство, когда ничего уже не помогает. Такие атаки очень дороги и чрезвычайно разрушительны не только для самой жертвы, но и для всех, кто «стоит рядом». Как правило, они не могут продолжаться дольше двух-трех суток, так как начинают доставлять проблемы даже источникам атаки — сетям, с которых она производится.

Базовые атаки, совершаемые с помощью ботнетов, которые насчитывают около 200 ботов и ничего, кроме «get корень», не умеют, в принципе не должны представлять собой проблему для грамотно написанного ресурса.

О защите от DDoS


От любой атаки можно защититься. Мы в этом не сомневаемся.

Обычно, когда на клиента начинается DDoS-атака, хостер не находит ничего умнее, чем просто отключить его, так как боится, что полягут и другие его клиенты.

Когда к нам приходит клиент, мы объясняем, что ему необходимо перевести DNS на наш IP-адрес (которой мы ему выделяем). Также, чтобы избежать атаки на прямой IP клиента, который уже засвечен в сети, необходимо его как минимум поменять, а как максимум — поменять этот IP и дополнительно скрыть с помощью настроек iptables или файервола все IP-адреса, кроме наших.

Как только перестраивается DNS, начинается фильтрация. А дальше происходит самое интересное — обучение фильтров. Обычно мы задаем для себя планку: после двух часов под атакой ресурс клиента должен начать работать. И в целом ее выдерживаем.

Система защиты нашего сервиса Qrator основана на множестве математических построений. Как обычно отвечает Яндекс на вопрос «а как у вас поиск устроен?»? Да просто! Берем текст, токенчики, разделители, строим индескы, ранжируем. У нас примерно то же самое, только мы решаем задачу по анализу и фильтрации трафика. Ее решением занято множество людей.

Поведенческий анализ — один из наиболее эффективных методов фильтрации трафика. Мы рассматриваем сайт как дерево переходов. В узлах дерева находятся странички, а в ребра мы закладываем вероятность перехода и задержку при переходе. В основе лежит тот простой факт, что роботы и люди видят веб-страницы по-разному. Когда времени на обучение достаточно, люди «натаптывают» в этих переходах определенные уплотнения — тропинки. Всё посетители, которые из них выпадают, с той или иной вероятностью являются роботами. Вроде бы всё просто. С другой стороны, если прикинуть, какие объемы памяти и вычислительные ресурсы понадобятся для обработки, ты поймешь, что, наверное, при текущих вычислительных мощностях это не так-то просто.

Если клиент приходит к нам уже под атакой, обучаться на атаке… не невозможно, но сложно. Часто это требует мониторинга со стороны инженера. Именно поэтому за подключение под атакой мы вынуждены брать некоторую дополнительную плату.

Мы рекомендуем подключаться к нашей сети до DDoS-атаки. Конечно, мы стараемся минимизировать время обучения под атакой. У нас оно составляет не неделю, как у Cisco Guard (это наш железный конкурент, который снят с производства), а всего несколько часов.

Любой, кто скажет, что false positive у него ноль, — шарлатан. Ложные срабатывания (когда в черные списки попадают легитимные посетители), к сожалению, неизбежны. Хотя бы потому, что есть прокси, есть NAT’ы, есть просто люди, которые ведут себя не как обычные пользователи. Классический пример — администраторы сайтов. Администратор может нагрузить сервер, как 30, 40 и даже 100 пользователей.

К Cisco Guard у нас была одна претензия: когда к нему подключаешь атакуемый сервис, то независимо от того, есть там инженер или нет, первые сутки сервис работает так, что лучше бы он не работал вообще. Отсюда стало ясно, что от DDoS-атак невозможно защищать на прикладном уровне, не понимая семантику протокола приложения. Семантический анализ обязателен, как и поведенческий.

Мы отчетливо понимаем, что «серебряной пули нет»: то, что будет хорошо работать в одних ситуациях, не будет работать в других. Классификатор Qrator — это сложный набор алгоритмов, которые образуют систему голосования. Инструментарий мы стараемся развивать и дописывать и, надеюсь, найдем еще какие-нибудь эффективные методы в ближайшее время. Кое-какие задумки уже есть.

Примерно в один миллион долларов обойдется железка от Arbor, способная почистить 10 Гбит. Плюс человек, плюс канальные емкости… При этом атаки скоростью выше 10 Гбит/c мы наблюдаем примерно раз в месяц-полтора.

Мы склонны выделять два типа полос: активные и пассивные. В активной полосе можно терминировать и проанализировать любое TCP-соединение и принять по нему решение. Полоса пассивная — это полоса, для управления которой нужно задать бит-маску, по которой будет резаться трафик. Таким образом, что-то интеллектуальное там порезать нельзя. Если говорить об активной полосе, то почти все наши поставщики трафика при необходимости блокируют UDP с определенного адреса, все ICMP или ICMP по определенной сигнатуре. На такой полосе мы спокойно проживали 57 Гбит. Уверены, что можем проживать и больше. Такие атаки не вызывают особых проблем, кроме необходимости оплачивать эту полосу, то есть мы говорим о цифре более 100 Гбит для пассивной полосы. Как следует из ситуации с DDoS-атаками на российском рынке, этого вполне достаточно.

Преимущество Qrator (как сервиса) перед купленным Arbor состоит в том, что наше решение не является точечным. Сеть построена по BGP-AnyCast, мы выбираем для установки точек исключительно магистральных операторов. Мы не ставим точки на public exchange просто потому, что это не гарантирует качества сервиса. Сеть развивается благодаря нашим собственным алгоритмам моделирования. Мы строим ее так, чтобы можно было распределять нагрузку на элементы сети более-менее равномерно.

Внутри точки присутствия система тоже масштабируема. Точка — это не одна «железка», их несколько. Есть карантинное оборудование, на которое «приземляются» некоторые атаки.

Мы создали модель, позволяющую математически рассчитать, как распределится трафик по интернету при появлении определенных анонсов BGP. Это позволяет нам гармонично развиваться и строить сеть, которую действительно можно балансировать по узлам.

Мы не завязаны на одного оператора связи и стараемся распределять риски по всем операторам, с которыми работаем.

Мы долго пытались разобраться с TCP/IP-стеком, смотрели на Free BSD и Linux и в итоге пришли к выводу, что стек в его теперешнем состоянии нам совершенно не нравится. У нас есть своя облегченная версия TCP/IP, которая очень хорошо себя ведет на текущих короткоживущих протоколах, быстрых TCP-соединениях.

Мы не скрываем, что узел фильтрации работает под управлением Linux. Линкус — это такой контейнер, в котором осуществляется управление платформой и выполняются математические преобразования, необходимые для поведенческого анализа. Существенная часть TCP-стека живет в самой TCP-карте, поэтому, собственно, у нас получились такие хорошие показатели скорости\обработки пакетов. Один наш узел фильтрации в состоянии перелопатить 6 Гбит трафика.

От атак базового уровня защититься можно. Для этого нужно обязательно иметь выделенный хостинг, а также возможность скомпилировать модули и свою версию веб-сервера. Статей на эту тему написано много, и я, наверное, отошлю вас к своей статье 2008 года (найти ее можно в блоге на highloadlab.ru). Это одна из первых статей, в которой доступно изложено, что и как следует сделать. Также рекомендую ознакомиться с презентацией «Практическое руководство по выживанию в DDoS», которую мы показывали на Highload++ в 2009 году.

Мы пытались писать статьи на Хабре и рассказывать на отраслевой конференции, как самостоятельно защититься от атак базового уровня. Но, к сожалению, это не возымело никакого эффекта.

О ботнетах


DDoS — это один из способов монетизации ботнета, но далеко не самый прибыльный. Еще есть спам, фрод, скликивание рекламы и так далее.

Я перечислил свойства ботнета на слайде для одной достаточно старой презентации. Когда я делал тот слайд, он казался мне абсолютно правильным:
  • Жадность. Ботнет старается нанести приложениям как можно больше вреда за единицу времени.
  • Ущербность. Ботнет не являет браузером. Это некий HTTP-стек, встроенный в червь. Как правило, он не умеет ставить корректные заголовки, не обладает JS-движком или обладает в ограниченном виде.
  • Самосохранение. Ботнет — ценный ресурс, и любые действия, приводящие к сокращению его размера приносят прямые финансовые убытки атакующим. Ботнет старается не производить действий, которые могли бы его демаскировать и отразиться на материнской системе.
  • Транснациональность. Ботнеты раскиданы по всему «шарику».
  • Конечность.


Пару лет назад мы первый раз увидели медленный ботнет, который не был жадным... Он делал один абсолютно легитимный запрос раз в пять минут. Мы удивились, но при этом ботнет, насчитывавший 75 тысяч ботов, всё же доставлял проблемы. Попробуйте-ка отфильтровать ЭТО.

Сейчас из всех пунктов, перечисленных выше, остался только один — желание ботнета самосохраняться. Ботнеты уже давно не жадные, не тупые и не ущербные. Сейчас мы имеем дело с полноценными минимизированными веб-браузерами с Java-скриптами, редиректами, cookies.

Раздать команды членам 20-тысячного ботнета с учетом того, что инициатором соединений является сам бот, — задача не самая тривиальная. Как правило, контрольные панели, к нашему удивлению, пишутся на том же самом LAMP Stack (Linux, Apache HTTP Server, MySQL и PHP). До 2010 года разворачивание ботнета-пятитысячника в направлении ресурса жертвы занимало 30–40 минут.

В 2010-м управление ботнетами начали организовывать с помощью P2P. Ребята стали просто супербыстро раздавать команды: в течение пяти-шести минут ботнет, насчитывающий 10-20 тысяч ботов, может распространить команду внутри себя и развернуться на ресурс.

Ботнеты стараются как можно более точно имитировать поведение пользователей, чтобы затруднить их обнаружение и фильтрацию, выделение тела ботнета и блокировку.

Например, не так давно был всплеск активности ботнета MinerBot, который добывает BitCoin. Он приходит на титульные страницы без реферера, случайным образом, переходит по ссылкам и действительно создает проблемы для решений вроде Cisco и Arbor. Они не в состоянии отфильтровать MinerBot, потому что он не обладает ни одним из тех изъянов, на обнаружение которых ориентированы эти решения.

Ботнеты также перестали быть транснациональными — загрузки легко продают по регионам. Первый раз мы такое увидели в 2009 году, когда к нам «пришел» ботнет на 1500 голов, и все чистое СНГ.

«Засыпающий ботнет» — так мы называем довольно модную атаку. Ботнет обнаруживает, что он весь зафильтрован, раздает команду и централизовано прекращает атаку. После этого рандомный член ботнета посылает тестовые запросы в ожидании, когда фильтр отключится. Как только он отключается, атака в течение трех-пяти минут возобновляется в полном объеме. Это опасно тем, что подобная атака может длиться бесконечно — никаких ресурсов, с точки зрения ботовода, она не потребляет.

Разные ботнеты здорово отличаются друг от друга. Сама техника атак постоянно меняется.

С ботнетами-миллионниками наблюдается очень интересная ситуация. В последние несколько лет существенно возросло количество тех, кто хотел бы обзавестись своим ботнетом. Простой эксперимент: поставим Windows XP SP1 на честный IP-адрес. Сколько он проживет до того, как на него что-нибудь «приземлится», даже если не открывать веб-бразуер? Максимум пять минут. Есть много команд, которые борются за увеличения тела ботнета, а само предложение уязвимых систем крайне ограниченно. Соответственно, количество ботнетов растет, а вот их размеры медленно, но верно снижаются. Ботнеты уже начинают пересекаться, то есть один компьютер является членом нескольких ботнетов сразу.

Ботнетов на десятки миллионов компьютеров становится всё меньше и меньше. Ими обладают совсем уж джедаи. :)

У нас нет возможности делать реверс-инжиниринг кода ботнета, потому что у нас нет административных возможностей по изъятию его тела и, самое главное, у нас нет своих специалистов, способных делать обратный инжиниринг кода, ориентированного на Windows-системы.

О Highload Lab


Идея заниматься DDoS-атаками возникла у нас еще в МГУ. Мы посмотрели, как обстоят дела с устойчивостью к внешним воздействиям у правительственных ресурсов и с устойчивостью веб-приложений в России в целом. Стало понятно, что наши услуги, скорее всего, будут востребованы. Ведь отвалившийся интернет-магазин — это проблема только его владельца, но отвалившаяся налоговая инспекция — это проблема всей страны.

Начать исследования — это была моя личная инициатива. Университет предоставил инфраструктуру, я на свои деньги закупил оборудование.

В 2008 году у нас возникла идея. В 2009 году появилась бета-версия продукта, которую мы обкатывали в режиме открытой беты большую часть 2010 года. Мы принимали у себя на площадке любой терпящий бедствие проект. Стало ясно, что с этой задачей мы справляемся неплохо, даже располагая ограниченной университетской инфраструктурой. Мы, к примеру, помогли газете «Ведомости». Было здорово. :)

К коммерциализации нас подтолкнула необходимость: в июне 2010 года, когда максимальная емкость университетской сети составляла 10 Гбит, на нас упала атака в 12,5 Гбит. Атака показала, что фильтры справляются, и мы легко сможем преодолеть и более мощную атаку, но нужны канальные емкости. Это ценный и дорогой ресурс, но проигрывать тоже не хочется… У нас были какие-то свои накопленные средства, на которые и были закуплены канальные емкости. Также было закуплено дополнительное оборудование.

Нам повезло с запуском — у нас был замечательный стресс-тест. То есть 1 сентября я по плану как раз поставил последнюю точку входа, а 2 сентября к нам пришел Хабрахабр под атакой 6 Гбит. Мы получили бесплатный стресс-тест.

Трафик — это одна из наших главных статей расходов. Его тратится не просто много, а очень много.

Компания работает в нескольких направлениях: мы разрабатываем на заказ высоконагруженные веб-приложения и консультируем по вопросам их создания. Второе направление, самое перспективное для нас, самое динамично развивающееся, — это наш «коробочный» продукт, система фильтрации трафика Qrator. В него мы инвестируем практически всё, что зарабатываем.

На данный момент в нашей компании работает 12 человек. В нетехнический штат входят восемь инженеров и четыре других сотрудника. Двое из них внештатники из Москвы. В начале года, если всё пойдет хорошо, мы хотим пригласить в компанию еще двух инженеров. Так же как и Яндекс, мы ищем математиков, которые могут программировать, работать с данными (структурированным и плохо структурированными).

К сожалению, мы не занимаемся реверс-инжинирингом, но видим, что каждая атака имеет свою сигнатуру и логику.

Мы существуем уже полтора года. Это было не самое легкое время. В какие-то моменты было очень тяжело и финансово, и морально. Но за это время мы выяснили, какие вопросы возникают при эксплуатации сервиса, поняли, как формировать тарифную стеку. Поскольку услуга новая, никто не знает, как ее продавать. Все предложения на рынке имеют те или иные изъяны.

Highload Lab прибыльна. В этом году мы провели серьезные технические изменения — разработали новую версию своих специализированных сетевых процессоров — и активно развививали партнерство со всеми заинтересованными компаниями: хостинг-компаниями, телекомами.

Одна из наших целей — обеспечить защиту для мелкого бизнеса. Это самая незащищенная от атак прослойка. Многие компании берут за защиту от DDoS-атак от 50–100 тысяч, и, если мелкий бизнес столько заплатит, он разорится. Для предприятий малого бизнеса у нас есть специальный тариф — 5000 рублей. Но это не значит, что по более низким расценкам мы работаем хуже. На всех наших тарифах используется одна и та же система, качество фильтрации везде одинаково.

Мы предельно аполитичны. Во время выборов нашими клиентами были «Слон», New Times, golos.org, «Эхо Москвы», «Новая газета» СПБ, Forbes, Public Post, «Ведомости»… В общем, мы приняли под свое крыло всю оппозицию. Но даже с большим удовольствием мы бы поработали с тем же ЦИК. Но ЦИК к нам не пришел.

Единственный критерий для нас — ресурс должен обязательно соблюдать все законы. Мы принципиально не связываемся с сайтами, содержащими пиратский контент, имеющими нацистскую или порнографическую направленность, с фарма-партнерками и прочей интернет-грязью.

Мы подумали, что если бы нам удалось создать систему, построение и функционирование которой обходилось бы дешевле, чем проведение атаки, способной убить эту систему, то мы бы ликвидировали экономическое плечо атаки. Атаковать стало бы невыгодно. Исходя из этого, мы и строили идеологию развития нашего решения.


Впервые опубликовано в журнале «Хакер» от 02/2012.

Публикация на Issuu.com

Подпишись на «Хакер»


Автор: @XakepRU

Комментарии (108)

  • +2
    Спасибо за хорошую статью, вроде на пальцах, а доступно и доходчиво про атаки и их защиту расписано. Желаю дальнейших успехов в столь благородном деле!

    Подскажите, а были ли обращения к вам финансовых учреждений (где персональные данные, фин.транзакции и другая чувствительная информация), или такие предпочитают защищаться коробочными решениями а-ля Arbor, Radware?
    • 0
      Надо отметить что у Radware девайс Defence Pro для защиты 1Gbps стоит порядка 50 000$. Это конечно очень дорого, но для компаний, политика безопасности которых, не позволяет фильтровать трафик «на стороне» может рассматриваться как вариант.
      • +1
        Несколько важных замечаний:
        — вам понадобится миниум 2 инженера понимающих в проблеме и оборудовании;
        — канальные емкости в 1Gbps.

        При этом:
        — атаки скоростью выше 1Gbps получил каждый пятый наш клиент;
        — скоростью выше 10Gbps — каждый десятый;
        — L7 фильтрация у RADWARE лучшая из того что умеют applice, no современным вызовам это явно не соответствует;
        — если вы говорите о x06 серию то ее производительность это 1Mpps, для генерации такого потока пакетов вам хватит одного 50EUR/month сервера в hetzner.

        И самое важное: Распределенным атакам можно эффективно противодействовать только имея распределенную инфраструктуру. В противном случае вы оказываетесь в стратегически невыгодной позиции…
        • –2
          > Несколько важных замечаний:
          > — вам понадобится миниум 2 инженера понимающих в проблеме и оборудовании;
          Не совсем так, можно отказаться от саппорта и использовать девайс «как есть», но лучше доплачивать (5 000$/год) и получать апдейты сигнатор атак и саппорт, тогда все за вас далают инжинеры Radware, ты только запускаеш программу-управлялку и смотриш какой интенсивности и какой тип атаки происходит.

          >— канальные емкости в 1Gbps.
          Ну тут по другому никак.

          > При этом:
          > — атаки скоростью выше 1Gbps получил каждый пятый наш клиент;
          > — скоростью выше 10Gbps — каждый десятый;
          > — L7 фильтрация у RADWARE лучшая из того что умеют applice, no современным вызовам это явно не соответствует;
          > — если вы говорите о x06 серию то ее производительность это 1Mpps, для генерации такого потока пакетов вам хватит одного 50EUR/month сервера в hetzner.
          Я говорю о «DefensePro 1016», да он держит до 1Mpps, вы сами знаете что такая атака непродолжительна во времени, т.к. такое количество пакетов будет напрягать комутационное оборудование всех участников процесса (в том числе и hetzner)
          Но на этот случай у нас в Украине есть TanHost. Они могут отбить до 2Mpps (год назад, сейчас может и больше), они как и вы используют свои разработки для фильтрации.

          > И самое важное: Распределенным атакам можно эффективно противодействовать только имея распределенную инфраструктуру. В противном случае вы оказываетесь в стратегически невыгодной позиции…
          Согласен, но я все же от тех 80% атак отбивался бы своим девайсом а от больших с помощью компаний как Ваша или TanHost.

          Года 2 назад после одной из конференций Вы мне сказали что Вам рынок Украины не интересен, ну вот мы и нашли TanHost. :)
          • 0
            >запускаеш программу-управлялку
            это миф.

            > Ну тут по другому никак.
            как.

            > 1Mpps, вы сами знаете что такая атака непродолжительна во времени, т.к. такое количество пакетов будет напрягать комутационное оборудование

            не будет. свитчи оперируют цифрами в 100Мегапакетов. Полюбопытствуйте сколько Mpps держит даже дешевый D-Link.

            >Года 2 назад после одной из конференций Вы мне сказали что Вам рынок Украины не интересен,
            Дословно я сказал что мы не планируем ставить там точек присутствия и открывать юр.лицо пока не наберется достаточной массы заказчиков чтобы сделать эти мероприятия экономически целесообразными. У нас есть клиенты со всего ex-USSR пространства, особенно можно выделить Армению и Украину.

            > Они могут отбить до 2Mpps (год назад, сейчас может и больше)
            В 2012 году ситуация с high-pps атаками вкорне поменялась. В результае если вы имеете 2Mpps на всех заказчиков — вы можете получить премилую братскую могилку.

            Ну и вообще весь ваш комментарий очень смахивает на незатейливую рекламу TanHost — защита от ddos, ddos защита, защита от ddos-атак, anti-ddos.
            • 0
              >> запускаеш программу-управлялку
              > это миф.
              У нас работает именно так.

              > В 2012 году ситуация с high-pps атаками вкорне поменялась. В результае если вы имеете 2Mpps на всех заказчиков — вы можете получить премилую братскую могилку.
              Ok, тут Вам виднее.

              > Ну и вообще весь ваш комментарий очень смахивает на незатейливую рекламу TanHost
              Я глубоко законсперированый агент Radware, а TanHost это так подрабатываю :)
              • 0
                >>> запускаеш программу-управлялку
                >> это миф.
                >>У нас работает именно так.

                В эти выходные тестили кое-кого с RADWARE.
                Навылет ;)

                ЧЯДНТ?
    • +3
      Есть опыт сотрудничества с банками, торговыми площадками, госами, итд.

      С госами предпочитаем работать через партнеров, поскольку наша логика не совместима с ними на уровне ДНК.
      Госы в нашем представлении выглядят вот так:

      image
  • +4
    Хорошо, что кто-то зарабатывает на этом деньги и на другом конце :-)
    • +4
      На любимый вопрос всех российских стартаперов «какая у тебя тачила?» — я отвожу глаза в сторону и бормочу «метро и электричка»…

      Зато у нас есть МИССИЯ: «Сделать затраты на проведение успешной атаки на порядок выше чем стоимость контр-мер.»
      Отсюда и цено-образование.

      Кстати, даже на самых дешевых тарифах работает «полная» версия Qrator — такая-же как и на топовых тарифах 100kRUR+.
      Отличий всего два:
      — мы не принимаем на себя возможные риски по оплате полосы;
      — приоритетность обработки запросов сотрудниками NOC.
  • +16
    Здравствуйте. Вы сказали, что
    Мы пытались писать статьи на Хабре и рассказывать на отраслевой конференции, как самостоятельно защититься от атак базового уровня. Но, к сожалению, это не возымело никакого эффекта.

    Мне кажется что статьи на эту тему будут в мега интересны большинству людей читающих хабр.
    Пожалуйста возобновите их написание :)
    • +3
      Постараемся.
      Нужно ВРЕМЯ. Время — бесценно. Особенно в ноябре-декабре каждого года.
  • –12
    Хороший бизнес, борцы с атаками могут и сами осуществлять атаки, для получения новых клиентов.
    • +14
      Ага, как и антивирусы — писать вирусы, травматологи — ломать ноги в подворотнях, чистая вода — сбрасывать токсичные отходы в реки…
      Сарказм если что.
    • +4
      Стандартное замечание номер 2.
      • –4
        Андрей, от клиентов у Вас наверно в компании отбоя нет?)
    • +5
      а светофоры ломают автосервисы!

      Если серьезно, то при нашем роде занятий мы просто вынуждены быть белыми и пушистыми.
      Это, увы, касается и налогов. Налоговая нагрузка на небольшие IT-компании в России — это покруче любого DDoS.

      Такая вот Грустная Ковбойская Песня, по случаю близящегося конца года :-/
  • +1
    Кстати, недавно интересовался текущей актуальной стоимостью ddos. На удивление, цены в $20/сутки действительно существуют. Конечно, уровень подобных атак оставляет желать лучшего и скорее всего на другом конце была школота, делающая GET '/'.

    Хотя, надо сказать что недавно в рамках дружеского пентеста, удалось положить на 2 часа достаточно крупный блогосервис простой многопоточной питоньей программой, в 300 тредов запрашивающей список всех пользователей сервиса.
  • 0
    Статья супер, спасибо
  • 0
    Крайне интересная статья!
    Толковых материалов про DDoS в Интернете не так много.
    Поэтому пишите еще!!!
  • –5
    Главное знать кто на тебя валит атаку… тогда в DNS просто поворачиваешь сайт на его IP
    • +3
      Зависит от вектора атаки. Что если атака идёт прямо по IP без резолва через DNS?
    • +4
      Главное, что своей цели атакующие достигнут — ваш ресурс не будет доступен.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Это тонкий сарказм или обычно он хуже выглядит?
      • 0
        Григорий, сложно иметь кубики проводя за монитором 12 часов в сутки и имея такую нервную работу как у меня.
        Ну право, я-же не Брэд Питт ;) Хотя, если сравнивать например с Крисом Касперски — то очень даже ничего для своих лет выгляжу.
        • 0
          Same here ;) Потому и отношусь к высказываниям а-ля классно выглядишь с подозрением :) То ли шутят, то ли издеваются.
      • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Есть еще один фактор: >90% ботов расположено сейчас в странах третьего мира. Поэтому первая и самая простая мера противодействия — отсечь третий мир на уровне рутинга. Если конечно сайт изначально не ориентирован на эти страны, но таких меньшинство.
    • 0
      Если на вас направят атаку с миллиона машин, то никакое «отсечение» не поможет
      • 0
        Согласен (хотя тоже смотря где отсекать). Но в статье правильно сказано:

        >> Ботнетов на десятки миллионов компьютеров становится всё меньше и меньше.

        Средний размер ботнета падает. Подавляющее большинство атак проводится силами до нескольких десятков тысяч машин.
    • 0
      Ну, во-первых, намного меньше 90%, если мы говорим о Рунете. Во-вторых, даже если сайт ориентирован только на жителей, например, Владимира и Владимирской области, нельзя забывать о том, что владимирцы часто ездят отдыхать и работать за границу.
  • 0
    >Highload Lab прибыльна
    И немножко опасна ;) Сколько раз в месяц к вам поступают серьезные угрозы? В последнее время ещё замечены атаки от провластных субьектов, уверен, они тоже давят на защищающую сторону, не только на атакуемый ресурс…

    >Мы принципиально не связываемся с сайтами, содержащими пиратский контент, имеющими нацистскую или порнографическую направленность, с фарма-партнерками и прочей интернет-грязью.
    А с пирамидами? Относительно законны, с виду не грязны, и главное, платят хорошо… ))

    И ещё вопросик. С защитой https у вас как дела обстоят? Используются ли crypto-ускорители?
    • 0
      Присоединяюсь к вопросу про инспекцию HTTPS — интересно узнать как вы это реализовываете.

      Знаю схему Radware, там вообще 3 устройства рекомендованы к применению: защита от «общего» DDoS (DefensePro, установка до пограничного фаервола), затем терминация HTTPS на балансировщике (Alteon) с последующей петлей расшифрованного трафика на очиститель DefensePro, и затем окончательная фильтрация на фаерволе уровня приложений (WAF, AppWall). Существуют, конечно, и упрощенные схемы защиты, но там приходится чем-то жертвовать.
      • +1
        С HTTPS мы работаем несколькими способами:

        — с раскрытием сертфиката (самый простой);
        — без раскрытия сертфиката
        — c предварительной авторизацей нешифрованным каналом (i.e. подпись мерчанта, для платежных систем);
        — с сервисом QLOG — усеченный классификатор работающий поверх realtime логфайлов сетевого сервиса заказчика, работает не так хорошо как оригинал по причине отсутствия информации о соединениях, но работает)
        — клиент управляет периметром сети Qrator через QAPI, наполняя в режиме реального времени черные/белые списки

        Перечисленные методы фильтрации SSL без раскрытия сертификатов могут применяться как поотдельности так и в любых комбинациях. Cущественным недостатком является необходимость провести определенные работы на стороне приложения заказчика, особенно в случае когда имеем подключаемое приложение под атакой.
        • 0
          парсер немного изуродовал иерархию буллит-листа.

          Подразумевается две категории фильтрации:
          — с раскрытием
          -без_раскрытия, с подпунктами.
          • 0
            Спасибо, исчерпывающе!
    • 0
      Пардон, совершенно упустил пару важных вопросов.

      О провластных субьектах — мы так-же работаем и с ФГУП и органами власти. Среди таковых есть наши заказчики. Статья вышла в феврале, в марте мы отлично отработали по webvybory2012. Как написано в интервью — мы аполитичны.

      С Пирамидами (HYIP) — мы не работаем. Обычно они мутные даже на уровне юр.лица.
      • 0
        Спасибо, но больше всего интересовал ответ на первый вопрос — насколько прессуют и откуда больше всего идет давление? ) Ведь досеры очень-очень не любят защищающие сервисы и готовы потратиться (а также рисковать отношениями с криминальным кодексом), лишь бы не уменьшался их доход.
  • +1
    А что если защитить надо не web-сервер, а ну даже банальный сервер упомянутой Linage с этим как то справляются?
    • 0
      Мы принципиально не связываемся с сайтами, содержащими пиратский контент

      Подозреваю, что с такими проектами ребята не связываются =)
      • +1
        Linage взята для примера, вопрос относится к исключительно легальному контенту.
        • +1
          Привет.
          TCP до 5-го уровня прикроем полностью и передадим периметр сети в управление Клиенту посредством QAPI ((черные|белые) списки | ( drop|accept ) политики ).
          В случае если протокол пользуется популярностью — докрутим для него классификатор.

          С UDP, в силу отсутствия 3-way handshake, все сложнее. Надежно прикрыть UDP сервис можно только в случае возможности аутентификации IP адреса.

          Надеюсь ответил на Ваш вопрос.
          • 0
            Да спасибо.
  • +3
    Пользуюсь услугами этой компании. Очень обрадовали ценой, за те же услуги Лаборатория Касперского берёт от 100 тыс. рублей ($3000) в месяц или, со скидкой, от 1 млн рублей ($30 000) за год. В HLL это же обходится в $150 в месяц.
    • +7
      Спасибо, что доверили нам самое дорогое — свой трафик.

      Мы прекрасно понимаем — самыми беззащитным является именно малый бизнес, у которого просто нет технических возможностей противодействовать этой проблеме. И хотя наш биздев регулярно приносит статистику по которой видно что ~75% гемороев нашей тех.поддержки это «5000-тариф» и это убытки — считаю его наличие нашей «социальной ответственностью». В планах на 2013 он останется почти без изменений. С другой стороны, доступность услуги это большее количество трафика и атак на которых можно обучаться. Все в выигрыше.
  • 0
    Крутая интересная статья, пишите ещё!!! Молодцы, ребята!
  • +2
    Интересная статья, но мне не понравился поклеп в сторону хостеров, типа: «некачественный», «ничего умнее не придумал… » Давайте смотреть на вещи более объективно — каждый должен заниматься своим делом, хостер — размещать сайты, а компании по защите от DDoS атак — защитой. Мы же не ходим в автомагазин за хлебом, очевидно же, что предоставляя услугу какого-нибудь виртуального хостинга за символические 100р. в месяц никто не будет держать сайт под атакой, огребая при этом счета от дата-центра за трафик, получая недовольства от других абонентов, все это просто коммерчески не интересно. Да и абонент выбирая место размещения должен отдавать себе отчет, в том насколько критичен простой его сайта и тем более зная, что его сайт подвержен атаке, должен сам позаботится о его защите обратившись например к вам, а не бегать когда петух клюнет.
    • +1
      Все верно, увы не все хостинги это понимают. Поэтому возникают мифы о том что DDoS — это стихийное бедствие и решить эту проблему невозможно.

      Вот кстати пара интересных ссылок на дискуссию в которой отлично видна разница между нами и хостерами в восприятии проблемы:
      seopult.tv/programs/moneymaking/ddos_kataklizm_na_zakaz/
      seopult.tv/programs/moneymaking/ddos_kataklizm_na_zakaz_2/
    • +2
      Ну как я считаю, что хостер должен соблюдать тарифные условия: куплен у меня 1 Гбит канал — он должен мне его предоставлять, если на меня идёт 10 Гбит атака, то 9 Гбит он должен отсекать, а не слать всё в /dev/null (включая айпишники, которые в DNS не засвечены). Помощи мне от него не требуется, мне нужно чтобы он мне не мешал.

      Это тот случай, когда теория массового обслуживания должна работать на меня.
      • 0
        Это в «идеальном мире» так.
        На практике… Ну вы все знаете…
      • +1
        Слишком много хотите, такой хостер закроется из-за убыточности
        • 0
          Честно говоря не владею статистикой хостеров, но неужели часто совпадают атаки по времени на всех клиентов? Имхо, «хорошо» если на 1% клиентов атаки проводятся.
  • 0
    Хорошая статья.
    А я дом-2 писал как раз в то время, когда они его фильтровали.
    Реально не падал.
  • 0
    Защита от копирования/парсинга информации с веб приложения, схожа с защитой от DDOS, ведь по сути там тоже применяются боты/прокси.
    Такое вообще реально сделать, и занимаетесь ли вы этим?
    • 0
      да. это «бонус трэк» от классификатора. он светит весь автоматизированный инструментарий. Есть прецеденты когда мы чистили по заказу именно от датамайнеров и спаммеров.
  • +1
    Вы напишите поближе к цифрам большим красным шрифтом, что траффик в таблице указан легитимный. Я пока не прочитал кучу комментариев, думал, что у вас заоблачные цены.

    Это же сколько клиентов так потерять можно.

    Еще лучше «легитимный» написать как-то попроще и понятней.
    • +4
      Спасибо за замечание.
      У нас тарифная сетка радикально меняться будет с нового года, и я надеюсь она будет проще и понятней.

      Просто когда у нас появлялись деньги — мы не сомневаясь брали еще одного разработчика, а не маркетолога или продажника.

      Месяц назад у нас вышел новый человек с релевантным техническим образованием и практикой маркеттинга в телекоме, и я надеюсь весь этот ужас в том что называют «маркетинговые материалы» мы приведем в порядок.

      Мне лично очень-очень стыдно за тексты на qrator.net|highloadlab.com ;) Обещаю исправиться.

    • 0
      кстати, а какой синоним подходящий тут можно подобрать?
      • 0
        «Либеральные цены»
        Например:
        Либеральные цены для представителей малого бизнеса.
      • 0
        По-хорошему, нужно пораздумывать, набросать несколько вариантов и показать ващей целевой аудитории. Только с условием, что они не будут вчитываться, а быстро просканируют текст и ответят на ряд нечетко заданных вопросов.

        Мне в голову пока приходит название колонки таблицы «Ваш траффик без атаки» или «Траффик ваших настоящих пользователей». Для надежности можно рядом сделать колонку «Примерный траффик во время атаки», с диапазоном. Неважно, что он сильно зависит от типа атаки, лишь бы был контраст для лучшего понимания.
  • +1
    Интернет такой хрупкий… Берегите его.
  • +1
    Как вы относитесь к вашим конкурентам — сервису Cloudflare с базовым бесплатным тарифом? Вы пишете, что 56 Гб/с — это «последнее средство», а они в своем блоге пишут, что с такими атаками легко справляются за 30 минут: blog.cloudflare.com/65gbps-ddos-no-problem. Можете ли вы это прокомментировать?

    • +2
      1. cloudflare это вообще про другое.
      2. насколько я знаю, таких атак они не видывали (читаем статистику arbor за 2012).
      3. в базовых тарифах ничего про ddos нет.
      4. тариф где есть про ddos начинается от 200$ (больше чем наши 5000RUR).
      5. заниматься этой проблемой факультативно — занятие бессмысленное.

      По емкости R&D она бездонна. Судя по тому feedback который мы получаем от клиентов — для cloudflare это именно факультатив.
      Мерять «мощности» атаки в гигабитах бессмысленно. Вот в потерях аудитории мерять можно, и cloudflare тут похвасться нечем.

      Та-же incapsula, применительно к DDoS, выглядит существенно интересне, но страдает от тех-же болячек…
  • 0
    > 2 сентября к нам пришел Хабрахабр под атакой 6 Гбит
    Можно ли считать нагрузку от хабраэффекта в 6 Гбит? )
    • +4
      Нагрузки от хабраэффекта существенно ниже 6Gbps. Я как краевед заверяю.
      • 0
        Александр, а вы ведёте списки ipшников ботов? ведь их достаточно конечное количество.
        • 0
          это имеет какой-то смысл?
          • 0
            то что «тело» ботнета «плывет» в адресном пространстве за счет динамических пулов, проксей и естественного процесса заражения/исцеления — это понятно.

            так-же понятно что некоторые AS имеют тенденцию быть «рассадниками» и выделяются на общем фоне.
            так-же понятно что перехватывать мусор дешевле ближе к его источникам.
            • 0
              я вот немного не понимаю. если вы ловите пакет, он уже дошел. есть какая-то разница принят он или отклонен для загрузки канала?
              • 0
                В статье есть об этом. На приём пакета практически не тратится ресурсов, в отличие от обработки пакета сервером и формирования ответа, что требует некоторых ресурсных мощностей.
          • 0
            Как минимум в небольшом промежутке времени это blacklist с минимумом производимой работы. Даже тупо проверка Ip по таблице. Как вариант максимум — стучать провайдерам, хозяевам этих адресов, что в такое-то время, с такого-то адреса была произведена атака и т.д. Провайдеры тоже не дураки и в лучше случае выйдёт на абонента и в итоге в идеале минус 1 бот. Автоматизировав процесс это можно сильно испортить жизнь плохим парням.
        • +1
          да. и у нас даже есть идеи что с этим делать.
    • +1
      Нагрузки с хабра выдерживает любой шаред хостинг. если нет изянов в днк сайта :)
  • –2
    Статья отличная. Вопрос кто будет платить за DDOS. Да никто. Я на своем опыте даже районные конторы не видел под DDOS. Это как раз стандартная ситуация. IT персонал пытается показать важным мужчинам, что вокруг куча хакеров.

    Нет. Есть и хабр эффект Это да. Но DDOS. В России. Можно я вас угощу коньяком КВ если вы мне его покажете?
    • +1
      Вы видимо из паралелльной вселенной. Приблизительно из той-же самой где в России инновационная экономика.
      • +1
        От коньяка-то не отказывайтесь, человека за язык никто не тянул :)
  • 0
    А насколько эффективны будут фильтры, которые воспроизводят реальное поведение пользователей? Скажем уволенный админ, имевший доступ к серверным логам, исходникам движка, знающий все нюансы работы за годы, решил отомстить за то, что его не оценили и воспользовался известной ему информацией и послал ботов с точностью до милисекунды воспроизводящих реальных юзеров путем повтора запросов из логов.
  • 0
    Саш, вы походу и ботов можете ловить в ММО-шках, по описанию что на уровне приложения смотрите — один в один наш датамайнинг :)
    • 0
      Дим, думаю общие принципы одни и те-же…
  • –2
    В сентябре на одного клиента была атака, в результате он ушел к вам, при этом и сам сайт перенес на другой хостинг, поскольку атака продолжалась на площадку в целом, сменя айпи не помогла (это простой витруальный хостинг). Короче, мой сервер долбили до тех пор, пока этот клиент не поднял сайт на стороне. Атака продолжалась и после этого (я видел графики Мбпс), но сайт работал, и это уже была не моя проблема.

    Итого, вместо 100-300 руб. контора сечас платит их же, плюс 5000 рублей (или больше, я не в курсе текущей нагрузки).

    А сейчас, внимание, вопрос — насколько легко воспроизводится (или покупается) ваша технология? Не хочу оскроблять подозрением, но «не самое прибыльное использование ботнетов» может стать как раз самым прибыльным, если применить комбинацию «стекольщика и мальчика с рогаткой». Атака на пару недель (как в моем случае) гарантировано приводит клиента к «антиддосерам» (будем считать, что к нужным), после чего ботнет можно выключать, никуда не денутся. Особо суетливых можно для закрепления эфекта можно контрольно побеспокоить спустя какое-то время.

    Насколько бредовая бизнес-идея антиутопия?
    • +2
      Там выше есть описание.

      Мы не хостинг. Мы не предоставляем услуги хостинга и не планируем их предоставлять.
      Мы не рекомендуем заказчикам менять хостинг, за исключением тех случаев когда хостинг ведет себя неадекватно.

      В качестве примера приведу вам случай из сентября.
      К нам пришел небольшой е-коммерс торгующий, ну например кедровыми бочками. С обычной, ничем не выдающейся атакой.
      В пятницу атака повторилась. Пришел новый, ботнет. Фильтры его разучили за 5-7 минут. Проблема в том что эти первых нескольких секунд атаки мы пропускали ~9kRPS, cледующие 5 минут мы пропускали ~2kRPS вместо обычных 3-5RPS. На 7й минуте мы полностью отфильтровали атаку и вернулись к 3-5RPS.

      Что сделал хостинг:
      — заблокировал Qrator перманентно;
      — не реагировал на просьбы клиента снять блокировки;
      — самовольно изменил DNS записи клиента переведя трафик на свои фильтры;
      — растянулся вместе со всем своим ДЦ вечером воскресенья;
      — заблэкхолил IP клиента, фактически выключив его;
      — продолжал игнорировать все просьбы заказчика;
      — обеспечил клиенту «выходной в понедельник»;

      Не удивительно что клиент потерял все остатки лояльности к таким «Помошникам» и пришел просить порекомендовать ему адекватный хостинг. Мы порекомендовали Dataline.

      Что осталось за кадром: хостинг купил некую чудо-железку «запускаеш программу-управлялку и смотриш какой интенсивности и какой тип атаки происходит» и поскольку чудо-железка стоит чудо-денег, то всего навсего 1час работы с инцидентом у них стоит 9000RUR против 5000RUR у нас.

      На ваши-же упреки о вине жестянщиков в сегодняшнем прогнозе погоды я отошлю вас к обсуждению этого-же вопроса выше в теме и добавлю одно простое замечение: это достаточно обычное поведение атакующих при смене A записи в DNS жертвы — оставить часть атаки на старом IP для потстраховки, и перейти на новый. Маленьким шаред хостингам тут будет совсем невесело.
      • 0
        В вашем перечне «что сделал хостинг», кстати, могла повториться моя ситуация, вы об этом могли и не узнать, так ведь? Атака на них могла продолжалаться в обход нового адреса, это вы признаете. Что им реально делать-то? Тут проблему может решить только торговец бочками, обратившись к вам и утащив свой сайт подальше со старой площадки. Как минимум, потребуется сменить сервер. Так?
        • 0
          Да могла. Единственное что нам нужно от хостера — получить работающее приложение заказчика любом доступном IP адресе, и желательно оперативно. Все остальное мы оставляем на усмотрение самого хостинга, мы не эксперты в этом бизнесе и не считаем себя вправе давать рекомендации.
  • 0
    Все бы хорошо но есть несколько но:
    1. Это перенаправление через ДНС, примерно от 30 минут на распространение новых записей. (DNS провайдеры пишут вообще про 24 часа). Под атакой может быть критично.
    2. Трафик идет через «левый» ресурс неизвестно где, если задержки сервиса критичны, решение не подходит.
    3. Есть кучи других протоколов на которые сейчас направлен вектор атаки. (VOIP, DNS, SMTP).
    4. Есть кучи других атак на ресурс, ряд из которых в том числе служит для усиления DoS/DDoS атак. (SQL-Injection, XSS и т.п.), т.е. по хорошему нужен хороший IPS.
    5. Описанный вариант аналитики имеет право на жизнь, однако по факту в любом случае должен иметь фидбэк от оператора, т.к. есть куча пограничных операций, например промо-сайты, где есть только заглавная страница, т.е. никакой матрицы переходов нет в принципе. Новостные сайты, где контент постоянно обновляется и пользователи могут так-же не ходить дальше первой страницы, что делать в таком случае? Резать легитимных вместе с ботами? Я конечно догадываюсь, что есть еще варианты и методики работы )
    6. Борьба с флудом. 2 проблемы: а) доставка трафика до системы очистки и кто за этот трафик будет платить, как я понимаю в предложенном решении платит пользователь, и поверьте, удовольствие небольшое внезапно получить счет на оплату 10Гб/с атаки длительностью хотя бы в сутки. Я уже не говорю про наличие толстых каналов оператора защиты. б) Нужны достаточно мощные железки, либо серверная ферма чтобы эффективно чистить к примеру UDP флуд. К примеру у нас только одним из 3 систем компонент защиты стоит Radware, 10MPPS. Второй компонент 14 MPPS + внешние методы BGP FlowSpec, BGP Blackhole.
    7. Что делать если нужно поставить под защиту целую сеть?

    На самом деле вопросов больше чем ответов, да, для ОБЫЧНОГО конечного пользователя с небольшим сайтом и средними атаками «по больнице» решение имеет право на жизнь. Как только что-то нестандартное, большое, ресурсом начинают заниматься всерьез…
    • 0
      Linco, я в целом поддерживаю. Был опыт атаки внутри корпоративной сети, 8G давали на магистраль, естественно что весь трафик стекался к ЦОДам. Вот честно, IDSM2 просто умер и отказался форвардить трафик его пришлось выкинуть из сети, спасло только одно FWSM + MARS (да старый добрый марс), который и помог нам оптимально написать правила для FW и вычислитить трафик. Кстати, сделал для себя еще очень важную заметку, если в сети доступны любые loopback роутеров и не работает CoPP то роутерам хана, если работает CoPP то роутерам хана полюбому. Это я в плане защиты IGP говорю, для нас слава богу решение было заложено в начале стройки сети, использовали IS IS и не вязались к loopback + VRF из которых боты не смогли вырваться к GRT что бы его сложить. Кстати в сети был легкий фон на OSPF атаку, всякого рода hello пакеты на IP адреса роутеров, т.е. пытались подлезть к СР через NBMA атаку. В общем и целом, защитить сеть можно если есть голова на плечах и достаточно денег на инвестиции в производительное оборудование )

      Защиту приложений можно выделить в отдельную сферу, и данный материал дал небольшую пишу для размышлений в ключе интеграции приложений и систем обнаружения/защиты.

      P.S. извините если сморозил какие-то глупости — утро )
      • +1
        «если работает CoPP то роутерам хана полюбому» — действительно глупости пишите ;), либо уж поясните на примере.

        Советую ознакомится с RFC 6192, довольно свежий и очень полезный документ, тем более для SP.
        • 0
          Эм с СоРР я как раз не ошибся. Есть небольшой нюанс его работы — Process Swithing. Сами понимаете сделать так чтобы RP не отвечал на запросы вполне реально, кстати это можно рассматривать в контексте атаки на распределнные коробки с DFC которые как заявляют имеют возможность обрабатывать ACL на ASICе карты в рамках интересов СоРР. САми посмотрите, если светиться loopback на котором терминируется BGP сессии, и в CoPP будут правила для фильтрации трафика этих сессий то теоретически есть возможно вызвать  input query congestion для loopback тем самым получить отказ в обработке BGP. ДА можно должго рассуждать насчет скоросте работы шины от карты до PFC и от PFC до CSP но факт остается фактом CP надо защищать на границе сети но не коробке.
          • 0
            Либо вы сами запутались, либо пытаетесь запутать других, третьему не бывать:).

            Пример: на роутере с поднятым процессом BGP имеется слушающий сокет на 179 TCP. Если вы зарядите SYN флуд на 179 порт лупбэк интерфейса и при этом CoPP будет не настроен, то получите профит и не только потому что SYN пакеты будут Process Switching. Тут несколько вариантов развития событий: переполненный backlog, умирание процессора супервизора от интераптов на высоком pps. И если backlog не дает устанавливать новые сессии от BGP пиров, то высокий pps (больше 100kpps не нужно) к процессору уложит все шасси.

            Решить данную проблему как раз и призван CoPP, фильтруя пакеты на ASIC в forwarding plane, не давая умереть какому-нибудь слабенькому CPU 700MHZ у того же SUP720.
            • 0
              Да я немнго заплутал %) И вот где:
              На больших коробках с DFC СоРР уложить практически не реально за исключением попробывать переполнить по прерыванием ресурсы асика выделенные под него. Но
              то из области фантастики, а вот на мелких коробушках типа 72ХХ VXR это вполне себе вариант, т.к. там CoPP срачу лезет на process switching. Согласен с Вами подобные типы атак могут только прогресировать на аппаратно ушербных платформах.
      • 0
        >Кстати в сети был легкий фон на OSPF атаку, всякого рода hello пакеты на IP адреса роутеров, т.е. пытались подлезть к СР через NBMA атаку.

        Что, простите? Адрес назначения ospf hello пакетов 224.0.0.5, уж никак не «IP адреса роутеров». Из этого следует, что hello не маршрутизируются. Что-то Вы путаете.
        • 0
          Есть такая штука зовется Non Broadcast Multiaccess, в такой топлогии можно задавать адреса соседей мануально, придумано для сетей которые не поддерживают mcast по своей природе — Frame-relay например
          • 0
            Если у вас control plane вашей сети торчит наружу — это GAME OVER.
            • 0
              Это автоматический game over… От идиотизма вообще ничего не спасает… Тут CP обсуждается в контексте железок — отдельных боксов в сети.
          • +1
            Ну если у Вас где-то используется FR, то легче забить канал, чем завалить RP, ведь максимум порядка 50кппс 64байтных пакетов может влезть в канал. Да, при такой интенсивности RP станет тяжело, но первым исчерпается все же канальная емкость.
            • 0
              FR я привел для примера. У меня был случай когда SP давал VPLS на который мне надо было натянуть OSPF, мультикаст не ходил в принципе, вот и пригодилась NBMA топология…
    • +1
      >Все бы хорошо но есть несколько но:

      В ваших рассуждениях Все бы хорошо но есть несколько но:
      >1. Это перенаправление через ДНС, примерно от 30 минут на распространение новых записей. (DNS провайдеры пишут вообще про >24 часа). Под атакой может быть критично.

      Перенаправление DNS это в чистом виде SOA TTL value, держите его на уровне 5-30 минут, но вообще если у Вас есть риски получить атаку и 30 минут для Вас критично — ВЫ ОБЯЗАНЫ ПОДУМАТЬ ОБ ЭТОМ ЗАРАНЕЕ.
      Все наши тарифные планы и логика работы фильтров намекают что мы не скорая помощь. В случае если вы уже подключены к фильтрам — велика вероятность что о факте атаки вы узнаете только из репортов Qrator.

      >2. Трафик идет через «левый» ресурс неизвестно где, если задержки сервиса критичны, решение не подходит.

      Cпасибо за лестное прилагательное. Вы обратите внимание на топологию «левого» ресурса. Там вы не найдете «левых» хостингов с «левыми» каналами или «левых» эксченджей без SLA на трафик.

      Только крупные магистральные сети. Как вы думаете, почему?

      Потому что топологию у нас считает 2 человека. Это раз.
      Два — у нас уже открыты соединения к защищенным ресурсам, а RTT на открытие новых соединений от клиента к периметру нашей сети будет ниже, потому что мы расположены на магистралях. Эти меры более чем компенсируют возникающую задержку на обработку трафика, в чем вы можете убедиться посетив любой из «левых» ресурсов из нашего портфолио.

      >3. Есть кучи других протоколов на которые сейчас направлен вектор атаки. (VOIP, DNS, SMTP).
      Все TCP протоколы (включая SMTP) мы успешно кроем вплоть до L5, если есть спрос — готовы свять классификатор.
      С DNS все сложнее, поскольку он UDP. К сожалению ответить в комментарии не нахожу возможным, но эту задачу мы успешно решили.

      >4. Есть кучи других атак на ресурс, ряд из которых в том числе служит для усиления DoS/DDoS атак. (SQL-Injection, XSS и т.п.), >т.е. по хорошему нужен хороший IPS.

      Можно чуть подробнее здесь разьяснить? И как IPS может быть вообще хорошим если он не понимает семантику приложения.

      >5. Описанный вариант аналитики имеет право на жизнь, однако по факту в любом случае должен иметь фидбэк от оператора, т.к. >есть куча пограничных операций, например промо-сайты, где есть только заглавная страница, т.е. никакой матрицы переходов нет >в принципе. Новостные сайты, где контент постоянно обновляется и пользователи могут так-же не ходить дальше первой >страницы, что делать в таком случае? Резать легитимных вместе с ботами? Я конечно догадываюсь, что есть еще варианты и >методики работы )
      Вы абсолютно правильно догадываетесь. Есть и другие варианты, например анализ частотности запросов или старые-добрые сигнатуры.

      >6. Борьба с флудом. 2 проблемы: а) доставка трафика до системы очистки и кто за этот трафик будет платить, как я понимаю в >предложенном решении платит пользователь, и поверьте, удовольствие небольшое внезапно получить счет на оплату 10Гб/с >атаки длительностью хотя бы в сутки. Я уже не говорю про наличие толстых каналов оператора защиты. б) Нужны достаточно >мощные железки, либо серверная ферма чтобы эффективно чистить к примеру UDP флуд. К примеру у нас только одним из 3 >систем компонент защиты стоит Radware, 10MPPS. Второй компонент 14 MPPS + внешние методы BGP FlowSpec, BGP Blackhole.
      Вот здесь вы вообще не угадали ниодной буквы. Какой-то адов theorycraft. Эффективно чистить ЛЮБОЙ трафик который можно описать битмаской требует сравнительно мало ресурсов — кластер Ломоносов тут совершенно непричем. Толстые каналы — да это MUST HAVE, поэтому в наших тарифах фигурирует ценник за легитимную полосу.

      Очень рад за обилие ваших «игрушек». Наши платформы умеют 8Mpps в текущей версии, но они стоят в стэке и финальные цифры получаются гораздо веселей, правда корпуса не такие нарядно-цветастые и лампочек меньше.

      >7. Что делать если нужно поставить под защиту целую сеть?
      Капитан подсказывает — «Проанонсировать ее по BGP?»

      >На самом деле вопросов больше чем ответов, да, для ОБЫЧНОГО конечного пользователя с небольшим сайтом и средними >атаками «по больнице» решение имеет право на жизнь. Как только что-то нестандартное, большое, ресурсом начинают заниматься >всерьез…
      Ваше утверждение верно с точностью до наооборот. Весь стэк технологий — это наша собственная разработка, отсюда невероятные возможности по интеграции с приложениями и сервисами заказчика, особенно когда это что-то нестандартное, большое и ресурсом занимаются всерьез.

      Ни один вендор или набор вендоров вам этого не обеспечит.

      Большие деньги — большие риски.
      Больше больших денег только политика — которая, как подсказывают классики, есть концентрированное выражение экономики.
      Мы занимались и оппозицей и госами, а так-же торговыми площадками и банками, СМИ и крупным e-commerce.
      Вот prooflink: online.wsj.com/article/SB10001424052970204707104578090793159318064.html

      А чем можете порадовать вы?
      Политика — это концентрированное выражение экономики.
      У меня к Вам встречный вопрос, что вы будете делать с атакой которую RADWARE пропустил? ;)
      • 0
        О как Вы близко к сердцу восприняли ) На самом деле ни в коей мере не хотел Вас обидеть или нивелировать достоинства Вашей системы, просто как и у любой системы в ней есть очевидные недостатки.
        В своем решении, мы постарались свести эти недостатки к минимуму, за счет использования кроме собственных наработок «больших» железок разных вендоров, которые лучше всего решают кусочек задачи.
        У нас так же есть собственные методы анализа и фильтрации, но мы считаем, что как минимум глупо считать, что мы самые умные и умнее множества профильных команд безопасников Arbor, Radware и т.п. которые десятки лет занимаются решением подобных задач имеют огромные финансирования и вообще строят на этом свой бизнес. Поэтому для решения каждой из проблем защиты от компьютерных атак мы стараемся подбирать лучшее оборудование+использовать свои наработки.
        Поэтому если Radware не отобьет атаку, ее отобьет один из других элементов комплекса вот и все. ) насколько я знаю Radware плохо реагирует на очень медленные атаки, видимо о них идет речь? )) (пакет раз в несколько минут)
        Зато на 99% атак он среагирует через 18 секунд, с высокой точностью фильтруя атаку, давая возможность администратору безопасности проанализировать дамп и отфильтровать максимум грязи на бордерах или дальше по миру.

        • 0
          Вы взяли текст годичной давности ориентированный на аудиторию журнала Хакер, и делаете какие-то выводы даже не посмотрев на предмет который обсуждаете.

          Ваш-же очевидный уже сейчас недостаток — theorycraft. Вы безусловно имеете представление о предмете, но оно явно поверхностно.

          Вообще дискуссия явно вышла за рамки пикировки в комментах, вы приходите лучше в гости на чай — расскажете о своей системе, а мы укажем вам на очевидные ее недостатки и покажем пару новых модных трюков ;)

          P.S. У RAD лучший из апплайансов L7, но его всеравно недостаточно, что мы наблюдали не далее как в это воскресенье ;)
          И уж тем-более сомнительна история с «анализом чего-то там администратором» потому что люди — это явная точка отказа, имея по 10-100 инцидентов в день — администраторов не напасешься.
        • 0
          Cергей, что-же вы сразу не сказали что «Спецсвязь».
          Тем-более заходите в гости! ;)
      • +1
        Правильно я вас понимаю, что латентность вырастет ненамного, если пускать свой трафик через вас?

        Например, насколько может вырасти латентность доступа к сайту, расположенного у Хецнера (в Германии)

        1) под атакой
        2) без атаки

        ?
    • 0
      а накидайте плиз магистралов которые поддерживают BGP FlowSpec?
  • 0
    Если не это не бизнес секрет то можно в двух предложениях посоветовать куда копать для больше инфы по самой инфраструктуре для новичков открывающих дело в этой сфере
  • –5
    Добрый день! Не могли бы связаться со мной по ящику cto@setup.ru?
  • 0
    Вы можете сравнить себя с www.kaspersky.ru/ddos-prevention?
  • 0
    на заре интернета… в 2003 году

    Эээ, а как же flood в IRC в 95м?
    • 0
      Знакомство с ними для меня лично началось во время проекта IT Territory в 2003 году

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка