LiveJournal снова подвергся DDoS-атакам
DDoS-атака на крупнейший блогхостинг LiveJournal, начавшаяся в понедельник, продолжается, из-за чего доступ к с сервису по-прежнему затруднен. Накануне представители Живого Журнала заявили, что им удалось справиться с DDoS-атакой на сервис и его работа полностью восстановлена. Однако в ночь на среду трудности с доступом к блогхостингу возобновились. В среду днем по-прежнему недоступна главная страница LiveJournal, а также страницы авторов-"тысячников".
"Мы подтверждаем атаку и в данный момент с ней боремся", – сообщили Газете.Ру в пресс-службе компании SUP, владеющей ЖЖ.
"Я предполагаю, что сейчас в атаке на LiveJournal задействован ботнет (сеть зараженных компьютеров) численностью в десятки тысяч, а может быть, и сотню тысяч компьютеров. Кроме того, очевидно, что хакеры используют технологию постоянной замены IP-адревсов, что усложняет борьбу с атакой", - сообщил РИА "Новости" директор группы компаний Hosting Community Павел Васильев. По его мнению, стоимость такой атаки может превышать стоимость обычной атаки в разы. Представители компании Group IB, специализирующейся на информационной безопасности, оценивают мощность атаки в 20 гигабит в секунду, при этом пропускная способность ЖЖ составляет 1,6 гигабита в секунду. Несколько популярных блогеров заявили о намерении провести в пятницу уличную акцию в поддержку Живого Журнала. "В пятницу в 12.00 состоится митинг обманутых блоггеров около офиса СУПа. Акция пройдет в формате народного схода. Будет красиво", - сообщил в твиттере блогер и фотограф Илья Варламов. "Акция будет мирной, но кровавой. Обещаем живых козлов", - добавил Варламов. Козел Фрэнк - виртуальный символ Живого Журнала.
За последнее время против LiveJournal было совершено несколько мощных DDoS-атаки. "Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта", - сообщила изданию AdIndex эксперт "Лаборатории Касперского" Марина Гарнаева. "Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: http://navalny.livejournal.com. 26 марта боты получили команду старта атаки на еще один ресурс известного борца с коррупцией — http://rospil.info, а 1 апреля атаке подвергся сайт http://www.rutoplivo.ru", - утверждает Гарнаева.
Кибератака, начавшаяся примерно в 15.00 по московскому времени 30 марта, стала крупнейшей в истории сервиса. Нагрузка на сайт превышала обычную в десятки раз, из-за чего серверы LiveJournal отказывали в обслуживании 70 процентов посетителей сайта. 4 апреля DDoS-атака началась примерно в 14.30 по московскому времени, при этом список атакуемых блогеров расширился до тридцати четырех, а также непосредственно сам сайт LiveJournal.
"Специалистам в русскоязычной блогосфере должно быть очевидно, что в списке находятся блоги самых разных людей, пишущих о совершенно разных вещах и являющихся одними из самых популярных авторов, так называемыми "тысячниками". Было ли это попыткой "размыть" реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире — нам неизвестно", - отметила эксперт "Лаборатории Касперского". По ее словам, в списке целей ботнета из общего ряда выбивается атака на сайт kredo-m.ru – компании, которая занимается изделиями из дерева и мебелью. "Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу", - считает Гарнаева.
1 апреля специалист по сетевым проектам и один из самых популярных блогеров в стране Антон Носик в колонке на сайте "Сноб" высказал предположение о возможной причастности прокремлевских молодежных движений к кибератакам на оппозиционных блогеров. "Если внимательно присмотреться к списку лиц и структур, против которых вели борьбу черные пиарщики "Наших" через свои блоги и медиаканалы за последнее пятилетие, то мы легко заметим пересечение, вплоть до полного совпадения по целям и срокам, между PR-активностью сурковских протеже и налетами киберпреступного синдиката. DDoS-атаки на серверы и сообщества НБП происходили одновременно с кампанией травли лимоновцев, развернутой нашистами. О причастности этой организации к атакам на серверы "Коммерсанта" и "Газеты.Ru" прямым текстом высказывались в открытой печати и тогдашний главред газеты Андрей Васильев, и нынешний ее гендиректор Демьян Кудрявцев", – отметил Носик.
Справка
DDoS-атаки
Суть DDoS-атаки
DDoS-атака (distributed denial-of-service attack) - это распределенная атака типа отказ в обслуживании. В настоящее время DDoS-атака становится одним из самых распространенных и опасных видов сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и госструктурам миллиарды долларов и таят в себе серьезную угрозу для любой компьютерной системы, нарушая или же полностью блокируя обслуживание законных пользователей, сетей, систем и иных ресурсов. Результат таких атак - длительные простои, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер.
Сама технология DoS-атак известна уже достаточно давно. Еще до того, как появились программные средства для распределенных DoS-атак, существовали коммерческие "закрытые" программы, способные управлять распределенными пересылками пакетов с множества машин на один определенный адрес. Таким образом можно было определить, какой объем трафика сеть вообще способна "переварить", выяснить, должна ли пропускная способность адресатов быть улучшена, насколько надежно будет функционировать система при запланированной нагрузке. При разработке инструментария DDoS выяснилось, что наиболее губительной оказывается пересылка пакетов, имеющих ошибочную структуру. Особенно так называемых ICMP-пакетов (Internet control messaging protocol). Эти пакеты предназначены для управления конфигурацией сети. В случае, если подобный пакет оказывается ошибочным, довольно большое время тратится на его обработку и - после принятия решения о его ошибочности - на возврат пакета посылающему. То есть, по сравнению с обычным сетевым пакетом, возрастали как время обработки пакета, так и общий трафик сети.
Большинство DDoS-атак также базируется на использовании уязвимостей в основном интернет-протоколе TCP/IP, в частности, на способе обработки системами запроса SYN. Широкое распространение DDoS-атак показало несостоятельность традиционно применявшихся в глобальной Сети технологий обеспечения безопасности. Ситуация усугубляется тем, что взломщики, чтобы сохранить свою анонимность, используют ложные исходные адреса. Таким образом значительно затрудняется выявление реальных злоумышленников. Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows NT/XP и общего роста Интернета. Операционная система Windows - мишень для абсолютного большинства взломщиков. Многие средства DDoS общедоступны, а для их использования не требуется высокой квалификации. Впрочем, типовая атака отказа в обслуживании может использоваться и как компонент весьма замысловатой многоступенчатой атаки.
Типы DDoS-атак
Существует два основных типа атак, вызывающих отказ в обслуживании. Во-первых, взломщик может посылать жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке. Этот тип атаки наиболее эффективен, поскольку сервер можно привести в неработоспособное состояние с помощью всего нескольких сетевых пакетов. И в большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима ее перезагрузка администратором.
Второй (более распространенный) тип атак использует "метод грубой силы": то есть производится настоящее "наводнение" системы или локальной сети большим количеством "мусорной" информации, которое невозможно обработать вовремя. Допустим, система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет вдвое больше. Если "настоящие" пользователи попытаются подключиться к этой же системе, то они, естественно, получат отказ в обслуживании, поскольку свободных ресурсов уже не останется (происходит переполнение буфера). Но при такой атаке злоумышленник должен постоянно пополнять систему "лживыми" пакетами. После того как он перестает это делать, проведение атаки прекращается, и система (в большинстве случаев) просто возобновляет нормальную работу. Как правило, при проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего это сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем (производится их предварительное "зомбирование", например, с помощью разосланных со спамом вирусов или троянов). Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов (с множества компьютеров, разбросанных по всему миру), становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений. Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействованы тысячи компьютеров, то блокировать их становится чрезвычайно трудно.
Жертвы DDoS-атак у нас и за рубежом
Сетевое сообщество было вынуждено обратить на DDoS-атаки самое пристальное внимание в начале февраля 2000 года, когда одновременно было атаковано множество крупнейших американских коммерческих серверов - Amazon.com, CNN.com, Buy.com, Yahoo!, ZDNet, E-Trade.com, eBay.com - и еще целый ряд популярных сайтов.
В октябре 2002 года произошла атака на корневые серверы Интернета - семь из тринадцати оказались временно недоступными.
21 февраля 2003 года произошло DDoS-нападение на LiveJournal.com. Сервис два дня был то недоступен вовсе, то работал кое-как, с пятого на десятое.
10 и 14 октября 2003 года атаки DDoS были организованы на сеть Zenon/Internet компании "Зенон Н.С.П.". К техническим средствам сети, участвующим в оказании услуг пользователям, было направлено огромное число запросов на установление соединения (порядка 500 тысяч в секунду), причем запросы формировались в тысячах точек как со стороны внешних, так и со стороны внутрироссийских каналов.
Подобным атакам подвергались и продолжают подвергаться сети сотен компаний. Естественно, они не обходят стороной и компании, оказывающие интернет-услуги, вызывают затруднения или невозможность их использования. Эта беда коснулась и сайта microsoft.com, и ресурсов российских компаний - Valuehost, .masterhost и других. С мощными DDoS-атаками порой возникают проблемы у операторов национального масштаба, например, РТКомм.Ру.
В Интернете уже давно бушуют конфликты - от дилетантских взломов сайтов небольших фирм или "неприятных" интернет-изданий до хакерского проникновения в сети транснациональных корпораций и крупных госструктур. В последние годы преступники используют DDoS-атаки также для вымогания денег у онлайновых казино, банков или для атак на конкурентов. Частота DDoS-атак постепенно увеличивает с 1-2 в месяц до 1-2 в неделю. Все чаще DDoS-атаки используют в своих целях организованные преступные группировки. В Рунете уже появилась своеобразная "услуга", когда киберпреступники предлагают заблокировать доступ пользователей Интернета к тому или иному сайту за сотню-другую баксов в сутки. Однако серьезные организаторы DDoS-атак свою деятельность не афишируют, а заказчиков им поставляют криминальные структуры.
Преступления в сфере компьютерных технологий отличаются прежде всего своей безнаказанностью. Так, по данным Национального отделения ФБР по компьютерным преступлениям, от 85% до 97% компьютерных посягательств не выявляются либо не предаются огласке. По оценкам других экспертов, латентность компьютерных преступлений в США достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более 90%.
Причина такой ситуации в том, что многие организации по тем или иным мотивам разрешают конфликт своими силами, не обращаясь к правоохранительным органам. Чаще всего сказывается боязнь огласки и, как следствие, потери репутации в деловых кругах. Другой распространенный вариант - опасения топ-менеджеров, что начавшееся расследование вскроет их собственные грязные делишки. В результате пострадавшие от DDoS-атак бизнес-структуры в большинстве случаев решают эту проблему исключительно организационно-техническими методами.
Использованы материалы:
Анатомия DDoS-атаки
Краткое описание DDoS-атак
Распределенные DDoS-атаки: чем одолеть лавину?
Как защититься от DDoS-атак
Цена DDoS-атаки
Информация об атаках на сеть Zenon/Internet
Крупные провайдеры признаны источниками DDoS-атак