Читаем Журнал «Вокруг Света» №07 за 2007 год полностью

DoS-атака может использоваться в конкурентной борьбе. Журнал New Scientist писал о случае, когда компания спутникового телевидения из Массачусетса оплатила атаку на сайты трех своих прямых конкурентов. Пока их сайты были заблокированы, пользователи обращались к той компании, до которой могли достучаться, то есть к заказчику атаки. Этот случай расследовало ФБР, и виновных удалось установить, что бывает далеко не всегда. DoS-атака может быть организована и для оказания психологического давления, чтобы заставить сайт изменить свой контент, который по каким-то причинам не нравится организатору атаки.

Как это делается

Несмотря на то что методы организации DoS-атак хорошо известны специалистам, успешно им противостоять удается не всегда. Дело в том, что быстро и точно отделить «мусорные» запросы от легитимных крайне трудно. Принцип DoS-атак: использовать хороший контент в дурных целях: «legitimate content but bad intent». DoS-атаки можно разделить на одиночные, которые проводятся с одного компьютера, и распределенные, в которых используются сети подчиняющихся злоумышленникам компьютеров-зомби (или botnets).

В качестве примера приведем два метода одиночных атак (их, конечно, гораздо больше). При установлении соединения между компьютером-клиентом и сервером сайта происходит обмен служебными пакетами — синхронизация. Для организации атаки клиент (обычно с поддельного IP-адреса) посылает серверу служебный запрос. Сервер сообщает о готовности и резервирует канал связи. А вот второго подтверждения от такого клиента сервер не дождется никогда. Таким образом, канал связи окажется занятым по крайней мере какое-то время. Поскольку каналов конечное число, а запросы на соединение идут непрерывно, и не один из них не подтверждается — все каналы оказываются занятыми, и получить доступ к сайту реальные пользователи не могут.

Другой метод сфокусирован для атак на публичные сайты. В этом случае компьютер-клиент направляет множество запросов на публичный сайт, по возможности очень мощный, например на почтовый сервер или крупный новостной портал, но в качестве обратного адреса указывает не свой, а адрес сайта-жертвы. Публичный ресурс отвечает сайту-жертве — ответы сыплются непрерывным потоком, сервер жертвы не справляется с нагрузкой и блокируется. У этого метода есть серьезное преимущество: публичный сайт, который становится фактически производителем спама, нельзя заблокировать — источник атаки полностью легитимен, но этот легитимный источник в результате «роняет» сайт.

Но наиболее часто сегодня используется распределенная атака — DDoS-атака (Distributed Denial of Service Attack). Такая атака опирается на сеть компьютеров-зомби (botnet’ов). Конечно, здесь bot — это усечение от слова robot, а net — «сеть», но любопытно, что в английском языке у слова bot есть и другое значение — «личинка овода», и это значение очень точно отражает метод работы botnet.

Согласно исследованию, проведенному в Технологическом институте Джорджии (Georgia Institute of Technology, USA), по состоянию на январь 2007 года различные сети компьютеров-зомби (botnets) охватывают около 11% из 650 миллионов компьютеров, подключенных к Интернету. Наиболее крупные botnets включают десятки тысяч компьютеров, разбросанных по всему миру. 26 июля 2004 года в результате распределенной атаки несколько часов были заблокированы поисковые порталы Google и Yahoo, а ведь Google — это десятки тысяч серверов, и чтобы добиться от Google отказа в обслуживании, нужно просто чудовищное количество «мусора». А между тем поисковик замолчал.

Компьютер (как правило, это домашняя машина, подключенная к выделенному каналу) может быть заражен троянской программой. Эта программа попадает на компьютер пользователя, как правило, при неосторожном обращении с электронной почтой, например открытии вложений в письмо, или при посещении зараженного сайта, когда злоумышленник может, используя уязвимости браузера или операционной системы, установить на компьютер пользователя вредоносную программу. Компьютеры, зараженные троянскими программами и подчиняющиеся командам удаленного хозяина, превращаются в botnet. Такая программа может в течение долгого времени ничем деструктивным себя не проявлять, а владелец компьютера даже не подозревает, что его машина заражена и полностью подконтрольна удаленному хозяину. Единственное, чем занят такой «троянский конь» — он «слушает» определенный чат или форум.