Оружие массового поражения.

Между тем, это одна из самых молодых хакерских технологий - ее осуществление стало возможно только в связи с действительно повсеместным распространением Интернета и проникновением его в самые разные сферы общественной жизни. Не случайно о DoS-атаках широко заговорили только после того, как в декабре 1999 года при помощи этой технологии были "завалены" web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Хотя первые сообщения о чем-то похожем появились еще в 1996 году, до "рождественского сюрприза" 1999 года DoS-атаки не воспринимались специалистами по компьютерной безопасности как серьезная угроза, исходящая из Сети. Однако спустя год, в декабре 2000-го, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DDoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки стали уже обычным делом. По имеющейся информации, хакеры потратили год на существенную модернизацию своего инструментария, а ведь существующие схемы защиты от DoS-атак и без того недостаточно совершенны.

Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или какого-либо манипулирования ею. Основная их цель - парализовать работу узла-жертвы. Собственно говоря, это просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы крупных корпораций стоят пресловутые антиглобалисты. Действительно: одно дело швырнуть кирпич в витрину "Макдональдса" где-нибудь в Мадриде или Праге, и совсем уже другое - "завалить" сайт этой суперкорпорации, давно уже ставшей своеобразным символом глобализации мировой экономики. DoS-атаки опасны еще и тем, что для их развертывания кибертеррористам не требуется обладать какими-то особенными знаниями и умениями. Сегодняшний уровень развития соответствующего хакерского инструментария таков, что раздобыть и использовать по назначению программы, необходимые для организации и начала DoS-атаки, - дело нескольких часов для человека, более-менее ясно представляющего себе, что такое Интернет и как он функционирует. Все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Сети. Зато последствия могут быть весьма плачевными - жертва такой атаки может на несколько часов, а порой и дней, лишить своих клиентов привычного сервиса. Наверное, не нужно объяснять, чем это чревато для тех же интернет-СМИ или узлов электронной коммерции. Причем защититься от такой атаки весьма сложно.

Анатомия атаки.

В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему миру. В результате обслуживающие узел серверы оказываются парализованы и не могут обслуживать запросы обычных пользователей. При этом пользователи компьютеров, с которых направляются ложные запросы, и не подозревают о том, что их машина тайком используется злоумышленниками. При проведении атаки DDoS множество компьютерных систем одновременно начинает генерировать DoS-атаки, направленные на общую цель. Такое распределение нагрузки по сотням, а то и тысячам систем оказывается одним из самых лучших способов решения задач, требующих интенсивного использования системных ресурсов - а атаки DDoS относятся именно к таким задачам. При этом распределение рабочей нагрузки среди множества систем не только позволяет увеличить разрушительное действие атаки, но и существенно усложняет действия по защите от нее, а также не позволяет выявить истинный адрес атакующего узла.

Первоочередная задача злоумышленников состоит в том, чтобы получить доступ к достаточному числу узлов сети, чтобы разместить на них агентов атаки DDoS (так называемых "зомби"). Поскольку это сугубо подготовительный этап, хакеру неважно, какие узлы будут использоваться для атаки, и он просто перебирает все подряд в поисках наименее защищенных. Найти таковые обычно не составляет большого труда - благо, безалаберных сисадминов на планете достаточно. При этом современные инструментальные средства, созданные и используемые хакерами, по большей части, автоматизируют данную работу, а также организацию и инициализацию атак. Узлы, на которых размещены агенты DoS-атаки, называются "скомпрометированными".

Обычно при проведении масштабных DDoS-атак злоумышленниками создается трехуровневая архитектура - так называемый "кластер DDoS". Это иерархическая структура, на самой вершине которой находится одна или несколько управляющих консолей. Управляющая консоль - это, собственно, и есть тот самый компьютер, с которого хакер запускает атаку на систему. Управляющая консоль формирует команды, поступающие на следующий иерархический уровень - уровень главных контроллеров. Их на одну консоль может приходиться от десятка до нескольких сотен - в зависимости от масштабов атаки. Это также скомпрометированные web-узлы, но они не участвуют непосредственно в самой атаке. Каждый контроллер, в свою очередь, координирует действия большого количества (порядка нескольких тысяч) агентов-"зомби" - это уже третий уровень кластера. И уже "зомбированные" узлы берут на себя функции по непосредственному проведению атаки на узел-мишень. Проследить эту систему в обратном направлении практически невозможно. Анализ трафика "жертвы" приведет к узлу-агенту, и даже узел-контроллер становится отыскать непросто, не говоря уже об атакующей консоли.

Какими они бывают?

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

Smurf - ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и "затапливают" сеть, в которой находится сервер-мишень.

ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к "связыванию" сетевых ресурсов.

TCP flood - отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов.

TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Специалисты по информационной безопасности выделяют семь основных групп (т.н. "семейств") инструментальных средств для организации DoS-атак. Однако на практике наиболее часто используются средства трех семейств - trinoo, Tribe Flood Network (TFN и TFN2K) и Stacheldracht.

Исторически первым средством для организации DoS-атак стало trinoo. Это достаточно примитивная, по современным меркам, разработка, и она способна запускать атаку только вида UDP flood. Причем, для взаимодействия главного контроллера и агентов используются нешифрованные протоколы TCP и UDP. Благодаря своей простоте, программы "семейства" trinoo легко обнаруживаются и обезвреживаются современными средствами защиты и не представляют угрозы узлам, владельцы которых заботятся об элементарных мерах безопасности.

Намного более серьезное оружие хакеров - средства организации распределенных атак TFN и TFN2K. Они позволяют одновременно инициировать атаки нескольких типов - Smurf, UDP flood, ICMP flood и TCP SYN flood. Пересылка команд и параметров при этом умело спрятана в передаваемых данных - чтобы не вызвать подозрений у защитного ПО. TFN и TFN2K требуют от хакера намного более высокой квалификации, но и практическая эффективность их намного выше (включая и защиту самого хакера от обнаружения).

Представитель новейшего поколения средств организации DoS-атак - Stacheldracht ("колючая проволока"). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само ПО встроена функция автомодификации.

Защита и предупреждение.

В случае DoS-атаки трафик, предназначенный для переполнения атакуемой Сети, необходимо "отсекать" у провайдера услуг Интернет, потому что на входе в Сеть сделать это уже будет невозможно - вся полоса пропускания будет занята.

Угрозу DoS-атак можно снизить несколькими способами. Во-первых, необходимо правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Эти функции должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно в подобных случаях ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.

Как уже говорилось, вычислить кибертеррористов, организовавших DoS-атаку, крайне сложно. Это все равно, что искать отправителя письма, в котором неправильно указан обратный адрес. Для защиты от DoS-атак администраторы узлов-мишеней должны тесно сотрудничать со своими интернет-провайдерами, а те, в свою очередь, - с операторами магистральных сетей. Но и самый надежно защищенный web-узел неспособен выдержать многогигабайтовый трафик.

В плане же менеджмента волна DoS-атак служит хорошим стимулом для разработки корпоративных планов быстрого реагирования. Такие планы особенно важны для компаний, занимающихся электронной коммерцией, так как в данном случае доступность их web-узлов - критический фактор.