Давайте на минуточку вспомним, кого мы привыкли видеть в качестве жертв DDoS-атак? Это, как правило, всевозможные организации – банки, корпорации, государственные агентства. Ещё чаще атаке подвергаются всевозможные сайты и сервера компаний, которые перешли кому-то дорогу, например, не чистым на руку интернет-дельцам. Впрочем, чего душой кривить, в нашей действительности заказчиком атаки могут быть и структуры, близкие к государственным.
Напомню, что DDoS – это распределённая атака какого-либо объекта, задача которой состоит в том, чтобы вывести атакуемую систему из строя, заставив ее прекратить работу и, соответственно, обслуживание. Обычно организаторы атак стараются «уронить» жертву за счёт каких-либо уязвимостей в системе. DDoS всегда предполагает загрузку сетевых каналов жертвы огромным количеством бессмысленного трафика, который, собственно и «вешает» систему. Трафик генерируют за счет ботнет-сетей, участниками которых становятся обычные домашние ПК и лэптопы, зараженные злоумышленниками. DDoS-атаки популярны, благодаря своей эффективности и анонимности – зачастую организатора атаки крайне трудно выявить, а уж отключить сотни тысяч компьютеров-ботов и вовсе невозможно. Поэтому, такие атаки являются излюбленным методом злоумышленников, применяемым в тех случаях, когда надо вывести из строя провинившуюся компанию или сервис.
Методы борьбы с DDoS постоянно совершенствуются и, в основном, сводятся к предотвращению таких атак, к тому, чтобы выявить их и локализовать на ранней стадии. Но до недавнего времени решения класса «DDoS Prevention» были доступны только для сайтов, сервисов и отдельных серверов организаций, поскольку именно они чаще всего являлись объектами атаки. Однако, недавно компания Arbor Network опубликовала ежегодный отчет Worldwide Security Report, в рамках которого подчеркнула весьма неприятную тенденцию – объектами всё большего количества атак становятся… дата-центры!
Исследование, проведённое Arbor Network, показало, что среди 220 опрошенных сервис-провайдеров и профессионалов индустрии ЦОДов, абсолютное большинство считает DDoS-атаки наибольшей угрозой для отрасли. Пиковая атака, зафиксированная исследователями составляла 309 гигабит в секунду, в то время как в предыдущих отчетах уровень атак не превышал 100 гигабит. Более 70% действующих дата-центров подвергались DDoS-атакам в 2013 году и 10% из них выдерживали до 100 атак в месяц. Достаточно внушительные числа, чтобы говорить не о факте, а о тенденции.
Тем более, что тенденция эта особенно неприятна именно для дата-центров. Если сайт или сервис во время атаки, в наихудшем случае, потеряет часть аудитории, и без того не слишком лояльной (поскольку лояльная продолжит пользоваться сервисом и после вынужденного простоя), то дата-центр – это дом не только для всевозможных бизнес-инструментов отдельной компании, но и вместилище десятков, а то и сотен всевозможных облачных сервисов, арендовавших вычислительные мощности. О том, насколько сильно DDoS-атаки бьют по карману операторов ЦОД, проще всего рассказать в цифрах.
По данным Ponemon Institute, 18% отключений ЦОДов вызваны именно DDoS-атаками. Основатель этой исследовательской организации, Ларри Понемон (Larry Ponemon), говорит, что такие атаки стали нередким явлением в последнее время и восстановить работу дата-центра после них сложнее, чем после аварий, вызванных другими причинами. Поскольку для локализации проблемы такого рода требуются новые технологии, а также экспертиза, которой пока не располагает большинство компаний. DDoS-атаки оказались одной из самых дорогих, с точки зрения восстановления, причин аварий в ЦОДах – средняя стоимость нормализации работы дата-центра после такой атаки составляет 822 000 долларов. Это вторая по наносимому ущербу проблема после аварий, вызванных выходом из строя серверного оборудования. Такие аварии обходятся, в среднем, в 959 000 долларов. Для сравнения, приведу стоимость восстановления после ошибок персонала – «всего» 380 000 долларов. Высокая стоимость восстановления после DDoS-атаки вызвана абсолютно позитивной тенденцией. Дело в том, что за последние годы построено множество дата-центров с высокой степенью отказоустойчивости, а поэтому стоимость каждой минуты простоя значительно возросла. Если точнее, то возросла она на 40%. В 2010 году минута простая ЦОДа обходилась в $5617, то в конце 2013 эта цифра равнялась уже 7908 долларам. Вот такая не вполне позитивная арифметика.
Словом, удручающая арифметика потерь нам теперь понятна, но что же стало причиной повышенного внимания вредителей к ЦОДам? Системный архитектор Arbor Networks, Даррен Анстри (Darren Anstree) связывает DDoS-атаки на дата-центры с чрезмерно активным, по его мнению, освещением атаки Spamhaus, случившейся в марте 2013 года. Что это за Spamhaus такой? Коллега Евгений Золотов уже рассказывал об этом выдающемся, но относительно безвредном злодеянии на страницах Компьютерры:
В нашей истории объект атаки и задачи тоже были вполне серьёзными. Считается, что повод для крупнейшей DDoS всех времён и народов подала годовалая склока между некоммерческой организацией Spamhaus и голландским провайдером-либералистом Cyberbunker. Первая занимается составлением «чёрных списков» спамерских IP-адресов: фильтруя, к примеру, почту, приходящую от узлов из такого списка, можно уменьшить количество спама в своём ящике — и списки Spamhaus защищают сегодня свыше 1,7 млрд. почтовых ящиков по всему миру. Напротив, Cyberbunker, квартирующая в подземном убежище, выстроенном пятьдесят лет назад на случай атомной войны, предоставляет хостинг под любые проекты, за исключением детской порнографии и терроризма (именно там одно время размещались The Pirate Bay и WikiLeaks). И, конечно, не брезгует спамерами. Вот уже полтора года тянется вялотекущая война между сторонами, но нынче весной она переросла в активные боевые действия. В ответ на очередную «дерзость» Spamhaus (она методично блокирует IP-адреса оппонента) представитель Cyberbunker прозрачно намекнул, что их терпение иссякло («не вам решать, что можно делать в Сети, а чего нельзя!»). После чего, якобы, компания заручилась поддержкой чёрных хакеров из Восточной Европы и нанесла удар.
Spamhaus стала одной из самых масштабных DDoS-атак в истории, причем атаке подвергались именно сервера Cyberbunker, разместившей свой ЦОД в подземном убежище. Таким образом, злоумышленники всего мира вдруг увидели, что при определённом масштабе нет смысла устранять следствие (сайт или приложение), когда можно вывести из строя причину (дата-центр). И с тех пор жертвами атак стали не только сайты или организации, но и целые инфраструктурные кластеры. Ведущий аналитики 451 Research, Эрик Хансельман (Eric Hanselman) считает, что причиной повышенного внимания организаторов атак к ЦОДам стало том, что сервис-провайдеры начали афишировать свою инфраструктуру или, по крайней мере, то место, где они арендуют мощности. Эта информация, разглашаемая исключительно как маркетинговое уверение в надежности сервиса, сыграла с надежностью злую шутку, обнажив связь между грандами SaaS-отрасли и ЦОДами, в которых они располагаются.
Вот такие точки зрения на проблему предлагают нам именитые исследователи. Но, видится мне, истина где-то посередине. И заключается она в том, что ЦОДы атаковали всегда, просто в последнее время компании перестали строить дата-центры для себя и коммерческие ЦОДы стали в разы популярнее. И заказчикам DDoS-атак стало понятно, что атакуя коммерческие дата-центры, они «валят» сразу несколько облачных сервисов и хостингов при аналогичной стоимости организации атаки. А если разница существенна, то почему бы и не доплатить пять-десять тысяч американских банкнот за куда более масштабное злодеяние?