Веб-технологии- Может ли правительство предотвратить DDoS-атаки?

DDoS-атаки — неотъемлемая часть Веб. От них нельзя защититься полностью, но можно предпринять ряд мер, позволяющих снизить риски.

Уилл Хоган

8 декабря 2010 года группа хакеров выполнила серию атак типа «распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS) на веб-серверы Visa и PayPal. Другая атака произошла примерно в то же время: хакеры атаковали официальный веб-сайт шведского правительства. В целом, это были успешные атаки. Работа всех сервисов, предоставляемых этими сайтами, была серьезно нарушена.

Если ведущие глобальные компании, такие как Visa, не в состоянии предотвратить эти атаки, то под силу правительствам или государственным агентствам остановить такие атаки на свои веб-серверы? Ответ прост: «нет» или, может быть, «скорее всего, нет».

Чтобы понять, почему так трудно защищаться от такого типа атак, надо тщательно проанализировать, что представляет собой DDoS-атака и чем она отличается от рядовой DoS-атаки. После этого можно подумать о мероприятиях по защите своей инфраструктуры от таких атак.

Вал подключений

У всех компьютеров есть одна общая черта — максимально возможное число одновременных подключений. В каждый момент времени у компьютера или сервера под управлением Windows может быть не больше 65 535 одновременных подключений. Это интересное и имеющее особое значение ограничение, так как именно оно позволяет проводить стандартные атаки типа «отказ в облуживании», или DoS-атаки.

Если хакер или их группа сможет поддерживать 65 535 одновременных сеансов связи с сервером, это позволит им закрыть доступ к этому серверу всем остальным. Никто не сможет подключиться, пока не будет закрыта часть этих сеансов. При достижении этого порога на веб-сервере он не сможет поддерживать больше подключений — возникает отказ в облуживании.

Вообще говоря, есть два типа DoS-атак. Одни направлены на нарушение работы системы (такие как атака «ping смерти»). В других цель состоит в переполнении системы запросами на ресурсы (пропускную способность, процессорное время, дисковое пространство и т. п.). Атаки разных типов наносят разный вред.

Можно настроить маршрутизаторы так, чтобы они не реагировали на ping-запросы и не пересылали пакеты, направленные по широковещательным адресам. Современные устройства IP-фильтрации достаточно «сообразительны», чтобы предупреждать эти опасности, отбрасывая ping-запросы больше определенного размера. Эти устройства можно также настроить так, чтобы они принимали только ограниченное число подключений с одного IP-адреса.

Ограничение числа одновременных подключений эффективно предупреждает поток запросов DoS-атак, если это число невелико, например, пять или шесть подключений. Чтобы создать достаточное число запросов на ресурсы, потребуется очень большое число хакеров — больше, чем численность любой из их групп. По этой причине инициаторам DoS-атаки требуется альтернативное решение.

В DDoS хакеры обходять описанные ограничения. В процессе DDoS-атаки хакеры проводят DoS-атаку не с собственного компьютера, а используют сеть компьютеров, на которые им удалось установить «агента зомбирования». Такие сети (их еще называют сетями ботов) позволяют использовать зомбированные компьютеры для проведения DDoS-атак. Один хакер может контролировать несколько тысяч «агентов зомбирования», каждый из которых создает 5-6 подключений к веб-серверу без ведома своего пользователя, который совершенно не в курсе, как грязно используют его компьютер.

Действуя согласованно, небольшая группа хакеров может легко закрыть доступ любым легальным пользователям сайта или даже «уронить» всю систему. Современные технологии IP-фильтрации не позволяют предотвращать атаки такого типа, но неужели нельзя ничего поделать?

Вот перечень мер по предупреждению этих атак (а также причины, по которым эти меры могут не работать):

• Издать закон, обязывающий гарантировать, что все выпускаемые операционные системы и приложения должны быть защищены от всех атак. Идея, конечно, хорошая, но нереалистичная. Даже если это сделать, всегда найдется идиот, который откроет приложение к письму электронной почты неизвестного происхождения и, сам не зная того, установит у себя троянца.
• Установить приложение веб-сервиса на большом числе независимых серверов, размещенных в разных странах. Каждый из серверов может подвергаться атаке, но шансы того, что перестанут работать все, невелики.
• Установить приложение веб-сервиса на большом количестве независимых серверов в одном месте. На переднем плане установите массив оборудования балансировки нагрузки. Это решение может оказаться неподъемным в финансовом плане, но если сервис действительно важен, то сколько придется заплатить, чтобы организация не подвергалась атакам?

Время от времени DDoS-атаки все-таки случаются. Даже правительства не защищены от них. Летом 2010 года DDoS-атаке подвергся сайт ирландской организации по централизованному приему заявок на преддипломную практику. В 2009 году во время выборов в Иране официальный веб-сайт правительства Ирана был недоступен из-за атаки хакеров. В 2001 году министерство финансов США подверглось DDoS-атаке.

В настоящее время нет стопроцентного метода защиты от DDoS-атак. Однако с критически важными для работы веб-серверами надо что-то делать, нельзя сидеть сложа руки и ждать, когда хакеры сделают первый ход. Надо просто решить, какая стратегия больше всего подходит для защиты вашей компании.

Уилл Хоган (Will Hogan)* — управляющий директор Idappcom Ltd., компании, где разрабатывается программа Traffic IQ Professional. Подробнее см. веб-сайт idappcom.com.*