Цитата:
В Центре телекоммуникаций и технологий Интернет МГУ имени М.В. Ломоносова (ЦТТИ МГУ), уже не первый десяток лет занимающемся проблемами Интернета в России и в мире, этим летом стартовал масштабный и крайне востребованный проект по изучению и противодействию распределенным атакам типа "отказ в обслуживании" (DDoS). Пообщаться с создателями проекта вживую рунетчики смогут на октябрьской конференции Highload, пока же Александр Лямин - руководитель Лаборатории Высоких нагрузок и ведущий специалист ЦТТИ МГУ - рассказал о начинании читателям "Вебпланеты".
В какой стадии находится сейчас ваш проект? Что сделано на практике? Есть ли у вас работающие технологии ЗАЩИТЫ от DDoS-атак, или это больше исследовательский проект?
Инициативная группа была официально создана чуть более месяца назад, но это скорее формальная дата. К этому событию мы пришли с хорошо подготовленным "домашним заданием", собрали первоклассную команду специалистов из тематических областей: безопасников, cетевиков, веб-разработчиков; провели анализ накопленного коллективом опыта и определили основные технологические моменты.
Фактически день официального открытия - 15 июля 2009 г. Это, прежде всего, возможность принять на нашей технологической площадке любые сторонние ресурсы находящиеся под атакой, при условии что они не размещают запрещенных законодательством РФ материалов.
За месяц мы успели собрать и отразить несколько десятков атак на различные веб-ресурсы. На данный момент, даже учитывая то, что информация о нас распространялась исключительно по "сарафанному радио", мы стабильно собираем суточную аудиторию в 100-150 тыс. ботов. Под защитой у нас находятся 3-4 веб-ресурса единовременно.
Технологии у нас есть и они работают. Но в манифесте, четко обозначена именно исследовательская направленность:
- в краткие сроки собрать и классифицировать информацию о наиболее
характерных для России разновидностей DDoS;
- получить оценки связанных с ними рисков;
- выработать рекомендации по их разрешению и предотвращению.
У ряда провайдеров и интернет-сервисов уже есть свои механизмы защиты от DDoS. Чем они плохи?
- Основная проблемы таких механизмов - недоступность для владельцев веб-проектов.
Защита провайдеров направлена на обслуживание собственной инфраструктуры. Проблемы возникающие у клиентов в абсолютном большинстве случаев решается просто отключением сайта. Даже в случае с крупными клиентами, арендующими ни один десяток серверов и юнитов, ситуация не сильно меняется: если ресурс устоит под атакой, оплату DDoS-трафика никто не отменит, как только атака станет создавать ощутимую нагрузку инфраструктуре хостера - последует отключение.
Поведение провайдеров вполне объяснимо -- содержание инфраструктуры борьбы с DDOS стоит десятки тысяч долларов в месяц.
В чем отличие вашего проекта от уже существующих проектов коллективной защиты от DDoS - например, Stopddos.ru, который появился более года назад и мы о нем не раз писали?
Главное отличие - мы предоставляем защиту. И делаем это бесплатно.
Любой веб-проект находящийся под атакой может в кратчайшие сроки получить помощь. Никаких прямых или косвенных затрат, специальных технических знаний от владельцев не потребуется. В течении часа с момента обращения сайт продолжит свою нормальную работу.
Помимо защиты, мы готовы делиться своими знаниями и наработками. Данные собранные в результате исследований будут общедоступны. Мы уже заявились на участие в отраслевой конференции HighLoad проходящей с мастер-классом посвященному методам противодействия DDoS-атакам.
Кроме того, в ближайшие несколько дней стартует блог по адресу hll.msu.ru в котором мы будем размещать подробную информацию о текущих атаках, методах атакующих и возможных способах противодействия им.
Как мы поняли, вы предлагаете решать проблему путем взаимодействия с вами операторов/провайдеров/хостеров (тунеллирование трафика, его мониторинг и далее). Кто из провайдеров уже участвует или собирается участовать в вашей инициативе?
Исследовательский проект и все, предоставляемые в его рамках, услуги осуществляются
на нашей технологической площадке. Другое дело, что нам интересно защищать и консультировать не только владельцев сайтов, но и поставщиков услуг.
Готовы ли они вообще к такому сотрудничеству? Ведь это может создать им лишние проблемы - и нагрузка лишняя, и "подслушивание трафика" третьей стороной...
В России пока не существует правовой базы регулирующей технологии использующие DPI(deep packet inspection), да и само "подслушивание трафика" достаточно емкая задача. Мы используем в основном заголовки запросов. В качестве доступной аналогии можно привести пример конверта Почты России: мы смотрим на то что написано на конверте, включая служебные отметки почты, но не заглядываем внутрь.
Сотрудничаете ли вы с антивирусными компаниями и другими практикующими специалистами по безопасности? Есть мнение, что они неохотно делятся своими секретами.
Как правило экспертиза антивирусных компаний начинается и заканчивается в пределах емкого слова wintel (windows+intel). У нас в команде есть специалисты по безопасности, и мы конечно-же общаемся с ведущими российскими специалистами в данной области, идет постоянный обмен опытом и знаниями.
Мы, безусловно, хотим в будущем заняться более глубоким изучением способов распространения и управления, но на данный момент предпочитаем фокусироваться именно на противодействии.
Давайте рассмотрим конкретный пример: DDoS-атаки на Twitter, Facebook и "Живой журнал", которые происходили 6-10 августа. На сегодняшний день никто так и не рассказал ничего об источниках атак. Хотя по анализу трафика (мусорных запросов) можно было бы выяснить, в каких странах расположены компьютеры-зомби. А по анализу кода троянов на зараженных машинах можно найти, откуда загружаются команды для ботнета. Ну и так далее. Почему до сих пор никто этого не сделал? Можете ли вы что-то рассказать об источниках атак в данном конкретном случае?
Анализировать географию распространения зомби машин имеет смысл только во время атаки, с целью повышения эффективности противодействия. Постфактум эта информация практически бесполезна.
Что касается анализа кода троянов - современные ботнеты используют для управления HTR технологии, так-же известные как "onion routing". Даже при условии наличия в ваших руках живого тела бота, такие технологии эффективно сводят ваши шансы к обнаружению управляющего центра к нулю.
Использовать полученную информацию для установления и привлечения к уголовной ответственности практически невозможно. В мировой практике отсутствуют случаи, когда такие данные позволили задержать исполнителей или заказчиков атак такого уровня.
В вашем "манифесте" есть пункты, касающиеся создания "адекватной сетевой инфраструктуры" и "модификации существующих сетевых протоколов". Что конкретно имеется в виду? Сколько времени это может занять и каких ресурсов (денег, людей) потребует? Кто именно должен этим заниматься, по-вашему? Интернет вообще-то совсем не российская разработка. Даже получить новый домен верхнего уровня Россия не может
без одобрения ICANN.
Простая иллюстрация. Вы можете отправить пакет со своего компьютера c поддельным адресом отправителя, и скорее всего этот пакет дойдет до адресата, и более того он на него ответит. Можно прийти к веб-серверу и представиться роботом яндекса, и вам поверят. Интернет в имплементации ipv4 не создавался для того чем он сейчас является,
отсюда и явные изъяны в дизайне, которые и эксплуатируют злоумышленники. Процессоры стали сказочно быстрыми, и такая дорогая операция как например цифровая подпись каждого http запроса уже не кажется столь фантастической, как это казалось в 1975.
Все наработки и предложения, полученные в ходе исследовательского проекта, будут направленны на обсуждение в IETF.
Как финансируется ваш проект, посвященный защите от DDoS? Это какая-то государственная программа, или там участвует частный бизнес? Чего бы вам самим больше хотелось - первого или второго? Наверное, если вы в МГУ, то предполагается государственный бюджет. С другой стороны, напомним, что в России нет "государственных" антивирусов, операционных систем и так далее.
Не кажется ли вам, что DDoS-атаки вообще могут уйти в прошлое? Ведь ботнеты можно использовать гораздо эффективнее - например, скликивать рекламу, или взламывать пароли, или даже играть на бирже с опережением. С чем вы тогда будете бороться?
В отличие от "взламывания паролей" или "игры на бирже" DDoS-атака практически не потребляет системных ресурсов компьютера зомби, и как следствие не вызывает подозрений у пользователя инфицированной системы и вполне может происходить одновременно со "скликиванием рекламы".
При этом, DDoS-атака остается одним из самых простых и эффективных инструментов монетизации. Существуют практически легальные схемы (как вариант - реселинг западных услуг защиты от DdoS), которые позволяют быстро и, главное, стабильно получать деньги.
а в ИжГТУ специлисты есть такие?