Читаем Цифровой журнал «Компьютерра» № 161 полностью

- Действительно, бывают и такие случаи. Дело в том, что на сегодняшний день злоумышленники, конечно, понимают, что, раскусив модель поведения бота, мы сразу видим, что она достаточно статична. И злоумышленник применяет другие тактики. Например, комплексные атаки, когда, с одной стороны, устраивается какая-то атака, исходящая от одной части ботнет-сети, — сервер бомбардируют какими-то определёнными запросами. Другая ботнет-сеть или её часть работает с другими запросами, третья – с третьими, и так далее. Три таких комплексных аномалии уже сложнее выявить. С одной стороны, вы смотрите – большое количество пользователей пытается открыть какую-то поисковую страницу, другое количество пользователей пытается стянуть какие-то картинки. И вот сразу понять и догадаться, что и те, и те – боты, а реальный пользователь один раз открыл страницу и больше ничего не сделал, сложнее.

Плюс ко всему прочему могут применяться атаки на сетевом уровне, как я говорил, — так называемый SYN-флуд, когда ещё необходимо помимо установленных сессий работать с приложениями и ещё раскидать эти мелкие пакеты, что в какой-то мере ещё дозагрузит ваше сетевое оборудование в любом случае. То есть ваше сетевое оборудование уже будет загружено в значительной степени, и вам надо будет разбираться ещё с дополнительными неприятностями.

Это напоминает матрешки: одну открыли, а там ещё одна, а в ней ещё одна. И вот бывали ситуации, когда моим коллегам приходилось достаточно долго выяснять, где же они заканчиваются.

- И на кого была такая ухищрённая атака направлена?

- Из недавних таких примеров – это комплексные атаки на интернет-магазин и туристический сайт. DDoS состоял из трёх компонентов. Шла небольшая атака в виде определённого запроса к сайту, к приложению, которое медленно обрабатывалось; это была атака просто на установление HTTP-сессии – так называемый connection-флуд. К тому же осуществлялся SYN-флуд, то есть бомбардировка мелкими пакетами, чтобы и сетевое оборудование тоже «не отдыхало». Дальше злоумышленник может просто варьировать эти вещи, и такие три одновременные неприятности уже достаточно весомы. - Ваш центр очистки с подобными вещами справляется?

- Да, конечно. Когда мы его строили, мы исходили из того, чтобы компании могли себя чувствовать под таким «зонтиком» достаточно комфортно.

- То, как работает центр очистки, не сказывается ли на сложности установки соединения для рядовых пользователей? Они испытывают какие-то замедления в работе?

- Скорее в теории, нежели в жизни. Речь может идти о задержках на сотые доли секунды. То есть человеку её ощутить практически невозможно.

Бывают ситуации, когда для каких-то пользователей по тем или иным причинам сайт может оказаться недоступен — в силу ложных срабатываний. Но это крайне редкая ситуация.

У нас была история, когда часть ботнет-сети располагалась внутри сетей той же компании, чей сайт подвергался атаке. Мы, как внешний наблюдатель, видели: источник атаки – всего один IP-адрес, за которым находится масса пользователей, как легитимных, так и нелегитимных. Когда мы обнаружили большое количество нелегитимных запросов именно с этого IP-адреса, мы пресекли доступ с него, не вникая в его подробности. Оказалось, что там есть легитимные пользователи, и они сидели за этим же прокси. Соответственно им их же ресурс оказался недоступен.

Такие ситуации бывают, но они достаточно редки, и есть определённые технологии, которые позволяют этого избежать, — те же самые белые списки. В случае их использования посетитель сайта проходит некоторые авторизационные процедуры, и движок отдаёт информацию нашей системе о том, что это — легитимный пользователь. Соответственно мы его помещаем в белый список и его уже не будем блокировать.

- А на каком уровне функционирует белый список?

- Белый список работает на уровне IP-адресов. Наша система готова в минуту для одного защищаемого IP-адреса загрузить порядка 500 тысяч IP-адресов. Помимо белого списка есть ещё черный список, общий размер списка – до 1 млн IP-адресов для одного защищаемого ресурса. Сегодня на один бизнес-ресурс в России столько народу одновременно не заходит.

- Если сравнивать DDoS и угрозы, не относящиеся к DDoS-атакам, то от чего больше ущерб? От DDoS-атак или от вирусов, взломов и тому подобного?