Атака на Кребса: отрасль в шоке

Атака продемонстрировала, что в мире существуют ботнеты, которые благодаря своим размерам в состоянии вызвать перебои в работе всего Интернета


14:47 28.09.2016   |   3290 |  Джон Данн |  Computerworld, Великобритания

Рубрика Индустрия



Вся отрасль информационной безопасности в крайней степени обеспокоена не столько масштабами DDoS-атаки, сколько ее глубиной, формой и сложностью.

DoS-атака мощностью 620 Гбит/с, которая обрушилась на прошлой неделе на сайт блогера Брайана Кребса, освещающего вопросы компьютерной безопасности, была весьма необычной. Об этом сообщила предоставлявшая Кребсу хостинговые услуги компания Akamai, которая в конечном итоге тоже стала жертвой атаки. (Akamai — ведущий мировой провайдер платформ доставки контента и приложений. — Прим. ред.)

Пиковая нагрузка на оборудование Akamai составляла от 600 Гбит/c до 700 Гбит/с. Этого оказалось вполне достаточно, чтобы вызвать серьезные неприятности как у Akamai, так и у ее клиентов, чей интернет-трафик оказался блокирован.

Атака была весьма мощной и массовой, но и сама Akamai, и другие представители отрасли ИТ-безопасности обеспокоены не столько ее масштабами, сколько глубиной, формой и сложностью.

«Атака не прекращалась ни на минуту, ее волны набегали одна за другой, обрушивая на нас сотни миллионов пакетов в секунду, – сообщил вице-президент Akamai по управлению продуктами Джош Шауль в беседе с обозревателями Techworld. – Ничего подобного прежде нам видеть не доводилось. Удар по системе был очень силен».

Все еще ошеломленный Шауль назвал DDoS-атаку на Кребса беспрецедентной. В отличие от предыдущей крупной DDoS-атаки, объектом которой в 2013 году стала кибергруппа Spamhaus, в нынешней ситуации трафик не подвергался ни усилению, ни отражению. Все ограничивалось традиционными прямыми пакетами.

«Это был огромный ботнет, – продолжал Шауль. – Прямая атака. Поразительно, насколько скоординированными были действия атакующих. Присутствовало ли там три миллиона ботов или десять миллионов? Не знаю. Скажу лишь, что их было очень много. Наступление велось с использованием самых разных сетевых протоколов».

И это не преувеличение. Сеть ботов, состоящая из миллионов скомпрометированных компьютеров, представляет в мире киберпреступности особую ценность. Применение такого оружия против небольшого сайта блогов явно является чрезмерным и подвергает риску эффективность будущих атак, ведь выявленные IP-адреса и компьютеры будут заблокированы и подвергнуты чистке.

Либо Кребс кому-то крепко насолил (у блогера есть собственные предположения относительно личностей «мстителей»), либо произошло еще что-то неординарное.

По мнению Шауля, речь, возможно, идет о своеобразной разрушительной рекламе, которая порождает требуемые заголовки новостей: «Зачем кому-то тратить деньги и направлять на нас столь мощный ботнет? К чему устраивать подобный демарш и обнаруживать себя лишь оттого, что Брайан что-то там сказал? Моя версия заключается в том, что люди рекламировали новый сервис заказных DDoS-атак. Совершив атаку, они объявили тем самым, что соответствующий сервис уже существует и готов к использованию».

Если это так, то запуск действительно не остался незамеченным. Во-первых, атакующие «убедили» Akamai отключить Кребса, который регулярно публиковал статьи, разоблачающие интернет-преступников. Впрочем, он уже успел обрести новый «дом» в Google Project Shield и вернулся в Сеть.

В Akamai пояснили, что долгое время спокойно отражали DDoS-атаки, направленные на Кребса, но в данном случае затраты были бы слишком велики, поэтому и принято другое решение. Все очень просто.

Во-вторых, стало ясно, что в мире существуют ботнеты, размеры которых вызывают перебои в работе Интернета. Атака на Spamhaus характеризовалась в свое время как «замедление Интернета». Довольно забавное описание, основанное на неубедительных доказательствах. А вот атака на Кребса, похоже, стала первым реальным признаком проблем, публично признанных отраслью.

Раздувать масштабы атаки, наверное, в интересах Akamai, но Шауль вряд ли лукавит, когда говорит о том, как «наблюдал, сколь беспомощны попытки Интернета совладать с атакой».

Сегодня становится ясно, что в мире существуют силы, достаточно мощные чтобы сконцентрировать трафик с целью нанесения реального ущерба. У них есть необходимые объемы и масштабы. Конечно, отрасль будет адаптироваться, но лучше все-таки озаботиться принятием мер как можно раньше.

«Атака наглядно продемонстрировала, какие ресурсы нам нужны, – добавил Шауль. – Пришла пора менять существующие модели».


Теги: Информационная безопасность DDoS-атаки
На ту же тему: