На конференции РИТ++ («Российские интернет-технологии») прошёл круглый стол с участием представителей «Яндекса», Microsoft, Mail.ru и «1C-Битрикс». Одной из наиболее интересных тем, обсуждавшихся на нём, стали ботнеты и DDoS — распределённые атаки типа «отказ в обслуживании». От такой атаки, к примеру, недавно пострадал сервис Livejournal. В чём причина атак, и что нужно делать, чтобы их не было?
В первую очередь обсудили тот самый случай с Livejournal, однако ничего конкретного никто о нём так и не узнал: ни кто, ни зачем начал атаку, и было ли это атакой вообще, а не внутренними проблемами «ЖЖ» (компания SUP, владеющая сервисом, тем не менее настаивает на том, что это всё же была атака).
Что до DDoS в целом, то главной причиной его популярности была названа дешевизна ботнетов. Представитель Microsoft назвал интересную статистику: самые дорогие ботнеты стоят 20-30 тыс. долларов, их размер доходит до 2 млн машин. Купить и использовать ботнет может любой желающий.
Грубо говоря, ботнет — это нелегальная платформа для распределённых вычислений, причём дешёвая. Насколько? Увы, сравнить её стоимость с легальными платформами, вроде Amazon EC2 и Microsoft Azure, практически невозможно: это рынок с очень странной и категорически нелегальной экономикой: большую часть ботнетов покупают на краденые кредитные карты. Общий объём рынка представитель Microsoft оценил в 100 миллионов долларов.
Также мы узнали о взгляде Microsoft на причины появления ботнетов. Лишь один из десяти заражённых компьютеров получает вредоносный код из-за уязвимости в операционной системе. Остальные девяносто процентов устанавливаются пользователями самостоятельно.
Отсюда и очевидное средство борьбы с ботнетами: учить пользователей вовремя устанавливать заплатки к операционной системе и не скачивать исполняемые файлы с подозрительных сайтов.
Илья Сегалович из «Яндекса» высказал несколько другую точку зрения на проблему ботнетов и DDoS. Помахав перед аудиторией своим iPhone 4, он спросил: «Почему для этого устройства нет ботнетов?» Ответ вполне очевиден: распространение софта для iPhone контролируется его производителем, что отсекает возможность попадения в систему вредоносного кода по вине пользователя. Сегалович считает, что такая схема, обладая очевидными недостатками, имеет при этом куда больше достоинств.
Ещё Сегалович призвал посмотреть на корень проблемы ботнетов — их монетизацию. По его словам, сейчас сети заражённых компьютеров монетизируют в основном через финансовые и околопоисковые сервисы (вероятно, имелись в виду разнообразные методы накрутки). Если лишить авторов вирусов и хозяев ботнетов способа зарабатывать, проблема сразу станет куда менее острой.
Но для сервисов, уже страдающих от DDoS-атак, все эти методы не представляют никакого практического интереса: им нужен действенный способ немедленного решения проблемы. Пока что наиболее действенный метод — «ручное» отсечение непользовательского трафика.
По словам представителя Mail.ru, сервисы его компании постоянно подвергаются атакам, и вся защита производится именно вручную. Была предпринята попытка создать автоматизированную систему фильтрации, но успехом дело не увенчалось: алгоритм давал слишком много ложных срабатываний. В «Яндексе» также заняты разработкой автоматизированной системы борьбы с DDoS; по словам Сегаловича, над этим в компании работает целая группа математиков.