Лезут без очереди

Мнение редакции может не совпадать с мнением автора

Ровно двадцать лет назад мир впервые столкнулся с первой DDoS-атакой, и в области кибербезопасности началась новая эпоха. С тех пор масштабы и возможности злоумышленников, организующие подобные атаки, существенно выросли, а сама эта деятельность стала заметным сегментом криминального бизнеса. По просьбе N + 1 о том, что такое DoS- и DDoS-атаки, кто их организует и зачем, а также каковы их перспективы в дальнейшем, рассказывает IT-аналитик Группы компаний «Инфосекьюрити» Александр Вураско.

22 июля 1999 года сервер Университета Миннесоты перестал обрабатывать запросы. Попытки достучаться до него не увенчались успехом, сервер молчал. Сперва админы не придали этому особого значения — такое случалось и раньше, но, проанализировав сетевой трафик, они поняли: университетский сервер находится под атакой, с какой еще никому не доводилось сталкиваться. Так началась эра DDoS.

Сервер был атакован при помощи вредоносного скрипта Trinoo, написанного молодым человеком из Нового Орлеана под ником phifli. Используя известный эксплойт, связанный с переполнением буфера, Trinoo заражал компьютеры под управлением Linux, что позволяло сформировать бот-сеть из сотен машин, готовых по команде хозяина атаковать целевой сервер, используя для этого методику UDP-флудинга.

Чем же была уникальна эта атака? Чтобы ответить на этот вопрос, нам придется сперва разобраться в том, что такое атака на отказ в обслуживании (denial of service, DoS). Целью такой атаки является нарушение нормальной работы атакуемой системы или затруднение доступа к сетевым ресурсам, для чего используются самые разные техники.

DoS-атаки имеют весьма богатую историю. Первое упоминание об успешной атаке относится к 1974 году, когда 13-летний школьник Дэвид Деннис вызвал перебои в функционировании терминалов Лаборатории компьютерных вычислений Университета Иллинойса.

В лаборатории было установлено несколько десятков терминалов PLATO, объединенных в единую сеть и использовавшихся для обучения студентов и совместной работы. Для обращения к внешним устройствам, подключенным к терминалам, использовалась команда EXT. Тонкость состояла в том, что в случае, если терминал, не имевший периферийных устройств, получал эту команду, его система зависала. Вернуть терминал к работе можно было лишь путем полной перезагрузки.

Дэвид изучил документацию PLATO и обнаружил эту любопытную особенность. Желая посмотреть на реакцию пользователей, столкнувшихся с массовым зависанием терминалов, он написал небольшую программу, посылавшую команду EXT на все доступные машины, и направился прямиком в лабораторию, где успешно испытал ее, вызвав одновременное зависание 31 терминала.

Очередь в поликлинику

Чтобы объяснить человеку, далекому от компьютеров, суть DoS- и DDoS-атаки, можно воспользоваться следующей аналогией.

Представьте, что вы сидите в очереди в поликлинике. Ваш черед уже почти подошел, когда появляется человек, который со словами «мне только спросить» заходит в кабинет терапевта и остается там на пару часов.

Очередь в недоумении, рабочий день заканчивается, а неизвестный наглец не стремится покидать кабинет. Это классическая DoS-атака.

Если же наглецов пришла целая толпа и они своими вопросами постоянно отвлекают врача и не дают двигаться очереди, то, сочувствуем, вы столкнулись с DDoS.

Но настоящий расцвет DoS-атак пришелся на вторую половину 90-х годов, когда появилось огромное количество утилит, позволявших «забить мусором» канал связи (что было несложно сделать в эпоху модемов и низкоскоростного интернета) или вызвать зависание, а то и перезагрузку удаленного компьютера.

Такие программы в народе назывались «нюками» (в честь популярной в то время утилиты WinNuke) и активно использовались в ходе сетевых войн пользователей онлайн-чатов. Появился даже специальный глагол — «нюкнуть». Многие «нюки» имели возможность проводить сразу несколько видов атак, а их интерфейс был понятен даже самым неискушенным пользователям.

Что любопытно, DoS-атаку можно осуществить и на свой собственный компьютер, вызвав его зависание или перезагрузку. Незадачливым юзерам, скачавшим новую «нюку» и желающим немедленно ее опробовать, не понимая сути работы программы, нередко советовали ввести 127.0.0.1 (адрес локального компьютера) в поле адреса атакуемой машины, что делало атакующего жертвой собственных действий.

DoS-атаки не обязательно осуществлялись с использованием специальных утилит. Для этого нередко применялись и штатные инструменты, входящие в состав операционной системы, такие, например, как известная любому компьютерщику команда ping.

DDoS-атаки стали дальнейшим развитием DoS-атак. В случае с DDoS атакуемый сервер подвергается воздействию со стороны большого числа компьютеров или других сетевых устройств одновременно, что позволяет значительно повысить интенсивность атаки и вызвать отказ даже крупных и хорошо защищенных систем.

Именно с такой распределенной атакой и столкнулся сервер Университета Миннесоты 22 июля 1999 года, когда 114 зараженных Trinoo компьютеров начали массово отправлять на него UDP-пакеты.

Стандартная атака с использованием бот-сети, как в случае с Trinoo, осуществляется следующим образом. На первом этапе атакующий формирует ботнет — сеть, состоящую из зомби-компьютеров, зараженных специальной вредоносной программой.

Заражение может осуществляться самыми разными способами: начиная от банальных писем с троянами и заканчивая сетевыми червями, способными самостоятельно находить уязвимые устройства и внедряться в систему. Инфицированные компьютеры передают свои данные в контрольный центр ботнета и ожидают дальнейших команд.

После того как ботнет успешно сформирован, атакующий через контрольный центр передает указание начать атаку, в результате чего зараженные машины запускают процесс отправки соответствующих пакетов на целевой сервер, стремясь вызвать его отказ или затруднить его работу.

Атака на сервер Университета Миннесоты, стала первой в целой череде DDoS-атак с использованием Trinoo. Спустя полгода, в начале 2000 года, аналогичным атакам подверглись уже куда более защищенные серверы, принадлежащие таким «монстрам», как CNN, Amazon, eBay и Yahoo. Руководил нападениями канадский хакер под псевдонимом Mafiaboy, создавший внушительную зомби-сеть.

Следующим ботнетом, пришедшим на смену Trinoo, стал MyTobworm. Созданный 18-летним хакером сетевой червь быстро распространился по миру и позволил осуществлять успешные атаки на самые крупные сетевые ресурсы того времени.

Как это нередко бывает, первые DDoS-атаки совершались из любопытства или хулиганских побуждений и не были направлены на извлечение выгоды. Однако они быстро пришлись по вкусу сетевым вымогателям, и вскоре на их основе сформировался целый сегмент криминального бизнеса.

Схема предельно проста: злоумышленники атакуют крупный сайт, вызывая перебои в его работе, и отправляют его владельцам письмо с требованием выкупа. С учетом того, что простой крупного коммерческого ресурса обходится его владельцам в круглую сумму, а защита от массированной DDoS-атаки — дело весьма непростое, владельцы нередко предпочитают откупиться от назойливых хакеров.

Естественно, вымогательство — лишь одно из направлений использования DDoS-атак. В наши дни они стали прикладным инструментом в процессе взлома компьютерных систем, орудием в конкурентной и политической борьбе, их применяют хактивисты и даже школьники, успешно выводящие из строя электронные дневники для того, чтобы родители не смогли увидеть их оценки.

DDoS-атаки могут использовать самые различные техники. Так, один из крупнейших ботнетов, предназначенных для DDoS-атак, под названием Mirai состоит из сотен тысяч зараженных умных устройств, в частности домашних и офисных IP-камер.

Массовое заражение умных устройств нередко происходит по причине того, что их владельцы после покупки оставляют дефолтные логины и пароли. Так что если вы не хотите, чтобы ваша IP-камера жила двойной жизнью и втайне от вас пыталась завалить сервер по другую сторону океана, не ленитесь придумать пароль посложнее, чем стандартная комбинация «admin-admin».

Впрочем, DDoS-атаки не обязательно связаны с ботнетами, они могут осуществляться и вручную. Как правило, для этого используются специальные программы, наследники тех самых «нюков» из 90-х. Сотни, а иногда и тысячи пользователей одновременно запускают утилиту, вбивают адрес жертвы, и результат не заставляет себя долго ждать. На некоторых интернет-форумах и пабликах в соцсетях специально создаются ветки, предназначенные для координации вот таких «ручных» DDoS-атак.

Иногда случаются и непредумышленные DDoS-атаки. Это происходит, когда кто-нибудь размещает на каком-нибудь популярном ресурсе ссылку на интересную статью или страницу, расположенную на не очень мощном сервере. Тысячи людей переходят по ссылке и… сервер падает, не сумев справиться с наплывом посетителей.

За последние 20 лет DDoS-атаки прошли сложный эволюционный путь. Рост пропускной способности каналов связи и производительности серверов повлек за собой увеличение интенсивности атак. Эксперты регистрируют все новые рекорды, а ботнеты наращивают свою мощь, пополняясь тысячами зомби-устройств.

Появились и по-настоящему тревожные звоночки, такие как атаки на корневые DNS-серверы, способные в глобальном масштабе нарушить работу системы адресации в Интернете, а при определенных условиях оставить без связи целые страны.

DDoS-атакам неоднократно предрекали смерть, но они не сдают своих позиций. В наши дни в сети существуют хакерские группировки, специализирующиеся исключительно на осуществлении подобных атак и за определенное вознаграждение предлагающие свои услуги всем желающим.

Несмотря на кажущуюся простоту подобных атак, они представляют серьезную угрозу нормальному функционированию интернет-инфраструктуры, увеличивают нагрузку на каналы связи и ежегодно становятся причиной миллионных убытков для мировой экономики. Сегодня в большинстве стран мира предусмотрена административная или уголовная ответственность за осуществление DDoS-атак, но рассчитывать на исправление ситуации пока не приходится.

Исчезнут ли DDoS-атаки в ближайшие десятилетия? Скорее всего нет, они давно уже стали неотъемлемой частью современного интернета. Джинн выпущен из бутылки, и мы едва ли загоним его назад.

Зато мы можем снизить коммерческую привлекательность этого преступного бизнеса, защитив свои компьютеры и умные устройства от троянов, стремящихся вовлечь их в ботнет. Еще важно не выплачивать выкуп злоумышленникам, тем самым подрывая экономическую основу их деятельности.

Сервер Университета Миннесоты находился под атакой на протяжении всего нескольких дней. Админы не спали ночами, настраивая сетевые фильтры, копаясь в логах и стуча в свои админские бубны. В итоге они победили и спокойно отправились спать. Но последствия этой атаки нарушают сон специалистов по кибербезопасности уже 20 лет.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.