Как валили Spamhaus и почему крупнейшая DDoS-атака осталась незамеченной сетянами? Евгений Золотов

Как валили Spamhaus и почему крупнейшая DDoS-атака осталась незамеченной сетянами?

Евгений Золотов

Опубликовано 01 апреля 2013

Царь-колокол, который не звонит, Царь-пушка, которая не стреляет… Помните эту шутку про российскую гигантоманию в ущерб функционалу? Сегодня у нас есть возможность добавить к списку ещё один пункт: Царь-DDoS. Огромная, фантастическая по размаху интернет-атака, способная, как считают некоторые, остановить всю глобальную компьютерную сеть, но по факту вреда почти не причинившая. Она длилась больше недели, стартовав 18 марта, только к 23-му набрав полную силу и обрушив на головы жертв беспрецедентные объёмы трафика. Так почему половина экспертов, анализирующих сейчас случившееся, предлагают, образно выражаясь, причислить атаку к «царской» категории: устрашающая, но безвредная?

Сокращения DoS и DDoS, если вы вдруг подзабыли, расшифровываются как denial of service и distributed denial of service — простая и распределённая атаки типа «отказ в обслуживании». Смысл их всегда в том, чтобы вынудить атакуемую систему временно прекратить обслуживание клиентов. Для DoS-атаки любые средства хороши, и по возможности злоумышленники стараются проникнуть внутрь, «вырубить» жертву через уязвимости в программах. Но DDoS всегда предполагает давление извне: обычно цель грубо заливают бессмысленной информацией, чрезмерно нагружая или компьютеры, или интернет-магистрали. Генератором трафика тут, как правило, выступают бот-сети: тысячи персоналок, превращённых в «зомби» без ведома их владельцев. DDoS-тактика эффективна (мало какой компьютер или корпоративная сеть способны выдержать дружный натиск даже нескольких сотен атакующих), надёжна (все узлы атакующей бот-сети разом не отключишь), анонимна (автор атаки за толпой зомби не виден). Ничего удивительного, что именно её чаще всего выбирают для нападения на «серьёзные» цели: банки, корпорации, госучреждения.

В нашей истории объект атаки и задачи тоже были вполне серьёзными. Считается, что повод для крупнейшей DDoS всех времён и народов подала годовалая склока между некоммерческой организацией Spamhaus и голландским провайдером-либералистом Cyberbunker. Первая занимается составлением «чёрных списков» спамерских IP-адресов: фильтруя, к примеру, почту, приходящую от узлов из такого списка, можно уменьшить количество спама в своём ящике — и списки Spamhaus защищают сегодня свыше 1,7 млрд. почтовых ящиков по всему миру. Напротив, Cyberbunker, квартирующая в подземном убежище, выстроенном пятьдесят лет назад на случай атомной войны, предоставляет хостинг под любые проекты, за исключением детской порнографии и терроризма (именно там одно время размещались The Pirate Bay и WikiLeaks). И, конечно, не брезгует спамерами. Вот уже полтора года тянется вялотекущая война между сторонами, но нынче весной она переросла в активные боевые действия. В ответ на очередную «дерзость» Spamhaus (она методично блокирует IP-адреса оппонента) представитель Cyberbunker прозрачно намекнул, что их терпение иссякло («не вам решать, что можно делать в Сети, а чего нельзя!»). После чего, якобы, компания заручилась поддержкой чёрных хакеров из Восточной Европы и нанесла удар.

_{Сравнительная диаграмма, демонстрирующая интенсивность трафика недавних рядовых DDoS-атак и атаки против Spamhaus (графика: Arbor Networks). Впрочем, утверждая, что в середине марта было зафиксировано крупнейшее кибернападение, важно понимать, что далеко не каждый удар по корпоративным ИТ-системам попадает в прессу. Большинство крупных компаний не горят желанием обнародовать такие происшествия. Со Spamhaus нам просто повезло}

Атака, начавшаяся 18 марта, была и обычной, и новаторской одновременно. Серверы Spamhaus (а днями позже и компаний, ей помогавших) стали заливать избыточными объёмами трафика — однако трафик порождали оригинальным способом, известным как DNS-отражение или DNS-усиление. Идея проста, как всё гениальное: открытому для запросов со стороны DNS-серверу (активисты, ратующие за уничтожение таких серверов, насчитывают их свыше 20 миллионов по всему миру, см. The Open DNS Resolver Project) направляется кратенькая просьба, предполагающая сравнительно длинный ответ (в 60-100 раз длиннее). Но обратный IP-адрес в заявке подделывается: вместо него вписывается IP жертвы. В результате DNS-сервер отправляет ответ по указанному адресу — и жертве, хоть она ничего и не запрашивала, волей-неволей приходится полученные данные обрабатывать.

А теперь представьте, что запрос отправляется не одному DNS-серверу, а сотне, тысяче одновременно. В руках атакующего оказывается невероятно длинный рычаг, которым он и прижимает жертву. Лаборатория Касперского сравнила происходящее с попыткой завалить почтой одного получателя, когда отправленные ему тонны корреспонденции выводят из строя целое почтовое отделение. А в компании CloudFlare, которую Spamhaus наняла для отражения атаки, происходившее сравнили со взрывом атомной бомбы: маленькое по габаритам устройство легко причиняет гигантский ущерб. И «цепную реакцию» DNS-усиления точно так же трудно остановить, если она запущена: DNS-серверы нельзя отключить, потому что они нужны миллионам рядовых сетян, а отыскать организаторов атаки сложно, потому что DNS-запросы отправляются не ими лично, а нанятой бот-сетью.

В пике поток данных, обрушивающихся на Spamhaus, достигал 300 гигабит в секунду. Чтобы оценить эту цифру, вспомните, например, что крупнейшая атака на американские банки в конце прошлого года едва превышала 60 Гбит/сек, а взятая наугад рядовая DDoS в 2012-м измерялась всего единицами гигабит. Давление со стороны атакующих было так велико, что хоть расследованием по горячим следам занялись пять киберполицейских подразделений из разных стран, их имена не разглашались — из опасения, что ударят и по ним. Госучреждения вообще, как правило, обладают слабенькой ИТ-инфраструктурой, которая валится после первого тычка: это впервые показали ещё теракты 11 сентября 2001 года и с тех пор регулярно подтверждается в периоды стихийных бедствий (см. «ИТ и ураган Ирина»).

_{Кстати, отдельное удовольствие — наблюдать, как эксперты и пресса путаются в показаниях. CloudFlare называет пиковой цифру в 300 гигабит в секунду, а вот Александр Лямин из отечественной Highload Labs в интервью западным изданиям говорит уже о 300 гигабайтах. На графике, построенном CloudFlare в первые часы после начала атаки, видно, что правильный вариант — гигабиты}

Что ж, после такого естественно было ожидать страшных историй о трагических последствиях не только для Spamhaus, но и для всей Сети. Тем интересней, что ничего особенного не случилось. Сайт Spamhaus.org какое-то время был недоступен, но чёрные списки спамеров — растиражированные десятками серверов на разных континентах — оставались доступными даже во время атаки. Говорят, в некоторые моменты «тормозила» вся глобальная сеть: Akamai Technologies (постоянно наблюдающая за состоянием интернета) зафиксировала «пробки» на интернет-магистралях России и Англии; кто-то сообщал о перебоях в работе потокового медиасервиса Netflix. Но мнения экспертов относительно причин этого расходятся. Как раз в эти дни был оборван крупный подводный интернет-кабель у берегов Египта, часть магистралей находилась в ремонте, велась трансляция важного матча по футболу и т.д. Так что некоторое замедление работы Сети было чем объяснить помимо атаки. Кроме того, Renesys и Keynote Systems, также занятые мониторингом здоровья Сети, вообще никаких отклонений не заметили.

Так почему же беспрецедентная по размаху атака оказала стремящееся к нулю влияние? Благодарить нужно децентрализацию и диверсификацию интернет-архитектуры. Если бы всё вышеописанное происходило на одном интернет-канале, с парой серверов по разные стороны (злоумышленник — жертва), то последствия, конечно же, были бы очевидны. Однако серверы Spamhaus разнесены по континентам, атакующие машины тоже находились в разных точках планеты — и в результате DDoS-трафик оказался «размазан» по десяткам и сотням интернет-каналов.

Суточный трафик глобальной Сети сегодня превышает одну тысячу петабайт, или восемь миллиардов гигабит, если я посчитал правильно. DNS-рычаг, задействованный Cyberbunker, обеспечил всего лишь 25 миллионов гигабит в свои лучшие сутки: впечатляющая, но совершенно недостаточная для какого-либо заметного воздействия на Сеть цифра.

Лучше того, случившееся со Spamhaus позволяет сделать прелюбопытный вывод. Эволюция глобальной Сети, кажется, привела интернет к состоянию, когда её недостатки компенсируются её же достоинствами. Если угодно, Сеть выработала метаиммунитет — защитный механизм, заставляющий её динамически, самостоятельно перераспределять свои ресурсы в стремлении обеспечить бесперебойную работу. Ведь все эти дни никто не лечил интернет специально, он сам переварил крупнейшую в своей истории атаку. Похоже, из неуклюжего зародыша Сеть, наконец, превратилась в логичный, самодостаточный организм, который, по крайней мере, не может навредить себе сам. Это пока ещё не абсолютная неуязвимость (люди-люди, человеки!), но уже кое-что, согласитесь.

К оглавлению