За последние месяцы в российском интернете было зарегистрировано большое количество атак на сайты. В феврале и марте были атакованы сайты «Марша несогласных» и организации национал-большевиков. В первых числах мая были атакованы сайты радиостанции «Эхо Москвы» и газеты «Коммерсант». Во всех случаях использовался метод DoS-атаки.

Зачем проводится DoS-атака

Английская аббревиатура DoS расшифровывается как «Denial of Service» — «отказ в обслуживании». Целью DoS-атаки является создание таких условий работы сайта, при которых пользователь не может получить к нему доступ. Чаще всего, злоумышленники добиваются этого, забрасывая сайт огромным количеством «мусорных» запросов, и пользователи уже не могут пробиться к сайту: легитимные запросы тонут в «шуме».

DoS-атаки активно используются злоумышленниками для оказания давления на ресурс. Например, известны атаки на интернет-казино и онлайновые букмекерские компании. Поскольку вся деятельность такого казино происходит через интернет и каждый день простоя приносит серьезные убытки, злоумышленники угрожают владельцам DoS-атакой и требуют выплатить некоторую сумму. В случае отказа такие атаки действительно проводились. Известны случаи DoS-атак на сайты прямых конкурентов.

DoS-атака может быть организована и для оказания психологического или идеологического давления, чтобы заставить сайт изменить свой контент, который нежелателен для организатора атаки. Комментируя DoS-атаки на «Эхо Москвы» и «Коммерсант» Вебпланета пишет: «Версия о целенаправленной атаке тем более популярна, что в последнее время DDoS-атаки с политической окраской стали регулярной практикой, как например в случае c российско-эстонским первомайским скандалом или многодневной блокадой сайтов оппозиционных организаций, собиравших "Марши несогласных"».

Сайт "Эхо Москвы" под DoS-атакой. 3 мая 2007 года 12:30. Черной линией обозначено среднее число посетителей на сайте по часам. Синими прямоугольниками число посетителей - 3 мая, голубыми - 2 мая. Статистика Rambler.

Как это делается

Не смотря на то, что методы проведения DoS-атак хорошо известны специалистам, успешно противостоять такой атаке удается не всегда. Дело в том, что быстро и точно отделить «мусорные» запросы от легитимных крайне трудно. Принцип DoS-атак: «используй в дурных целях хороший контент» («legitimate content but bad intent»).

Наиболее часто сегодня используется распределенная атака — DDoS-атака (Distributed Denial of Service Attack). Такая атака опирается на сеть компьютеров-зомби или botnet. Компьютер (как правило, это домашняя машина, подключенная к выделенному каналу) может быть заражен троянской программой. Эта программа попадает на компьютер пользователя, чаще всего, при неосторожном обращении с электронной почтой, например, открытии вложений в письмо, или при посещении зараженного сайта, когда злоумышленник может, используя уязвимости браузера или операционной системы, установить на компьютер пользователя вредоносную программу. Такая программа может в течение долгого времени ничем деструктивным себя не проявлять. Но «троянский конь» «слушает» определенный чат и ждет команды к атаке. Компьютеры, зараженные троянскими программами и подчиняющиеся командам удаленного хозяина, и образуют botnet. Часто владелец компьютера даже не подозревает, что его машина заражена и полностью подконтрольна кому-то невидимому.

Команда к атаке отдается в чате. Хозяин пишет фразу, которая содержит адрес сайта-жертвы. Сеть зомби-машин начинает работать. Запросы идут из многих точек Сети, идут с высокой частотой, и сайт, который они атакуют, начинает задыхаться, перестает отвечать на легитимные запросы и, наконец, смолкает.

Схема распределенной атаки, использующей отражающие публичные серверы. При такой атаке Master control отдает команду Zombi, они забрасывают запросами публичные сервера — DNS-сервер, веб-сервер, почтовую машину и т.д., но в качестве обратного адреса указывают адрес жертвы – Victim, и отраженные ответы сыплются на жертву и топят ее. Схема из отчета SANS.

Согласно исследованию, проведенному в Технологическом институте Джорджии (Georgia Institute of Technology, USA), на сегодняшний день различные сети компьютеров-зомби (botnets) охватывают около 11% из 650 миллионов компьютеров, подключенных к интернету.

Как смягчить удар

Эффективной защиты от DoS-атак на сегодня не существует. Любой ресурс в любой момент может быть атакован злоумышленниками. Но существуют рекомендации, которые помогают смягчить удар. Один из методов защиты — это наращивание мощности серверов и пропускной способности каналов. Другой — дублирование информации на разных физических машинах. Это именно те методы, которые используются для защиты корневых DNS. Кроме того, применяются различные методы фильтрации запросов, причем фильтры и межсетевые экраны должны отражать атаку на самой ранней стадии — чем раньше мы сможем перехватывать «мусорные» запросы, тем лучше защищен наш ресурс. Но атаки все равно проходят, хотя, как утверждает антивирусная компания Symantec, за последний год число DoS-атак заметно снизилось. Но произошло это, не потому что найдено эффективное противоядие, а потому что злоумышленники пришли к выводу, что огромные botnets гораздо выгоднее использовать для рассылки спама, чем для атак. Тем не менее, как своего рода акции устрашения, DoS-атаки по прежнему эффективны.

Почем стоит «потопить» сайт

Провести DoS-атаку на сайт стоит не очень дорого. Ресурс Хакер.ru приводит такие расценки: «Ваше желание заDDoSить сайт сбудется примерно за 80–250 баксов за сутки, в зависимости от популярности ресурса». Newscientist приводит несколько большие цифры: атака с использованием большой зомби-сети стоит от 500 до 1500 долларов. Но атака с привлечением очень значительных ресурсов может стоить дороже.

Чего не надо делать

Главная сила любого организатора DoS-атаки — это подконтрольная ему сеть компьютеров-зомби. Троянские программы можно выловить и вычистить, но это бесполезно, если пользователь тут же подхватит новые. А антивирусные программы всегда на шаг отстают.

Чтобы не стать невольным соучастником DoS-атаки нужно соблюдать профилактичекое правило: не открывать вложение, даже если оно пришло со знакомого адреса. Троянская программа может прочесть адресную книгу вашего лучшего друга и послать вам вирус или троян от его имени. Лучше лишний раз уточнить, что это за вложение, а не торопиться смотреть соблазнительную картинку, потому файл с расширением jpg тоже может содержать вредоносный код. Кроме того, необходимо внимательно присматривать за исходящим трафиком с вашей машины: если он неожиданно вырастает в сотни или тысячи раз — значит вас используют.