Rambler's Top100
Все новости Новости отрасли

Век огромных бот-сетей закончился

26 февраля 2013

Киберпреступники, профессионально занимающиеся DDoS-атаками, все реже используют огромные бот-сети из зараженных компьютеров для проведения атак, предпочитая более эффективные и простые в управлении веб-серверы.

По данным экспертов из американской компании Prolexic Technologies, в IV квартале 2012 года общее количество DDoS-атак выросло на 19% по сравнению с тем же периодом предыдущего года и на 27,5% по отношению к третьему кварталу. Средняя мощность атак за год выросла на 13% — с 5,2 до 5,9 Гбит.

Российские эксперты в области борьбы с DDoS-атаками согласны с западными коллегами: количество таких инцидентов растет, и они становятся более изощренными. Руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Афанасьев и генеральный директор компании Highload Lab (защита от DDoS-атак) Александр Лямин, рассказали, как атаки на «отказ в обслуживании» эволюционируют, кто является главными мишенями и чего ждать от данной угрозы в будущем.

До недавнего времени для проведения мощных DDoS-атак киберпреступники использовали в основном крупные бот-сети. Чем больше компьютеров заражено, тем более мощную атаку можно организовать — таким был основной мотив для строительства многомиллионной бот-сети. Однако поддерживать работоспособность достаточно крупной для мощных атак бот-сети — тяжелая задача, ведь злоумышленникам постоянно необходимо следить за тем, чтобы в онлайн-доступе было нужное количество зараженных компьютеров.

Это, в свою очередь, означает, что потребуются постоянные траты на покупку новых «загрузок», то есть новых зараженных компьютеров взамен тех, что по каким-либо причинам выпали из бот-сети. В условиях постоянного роста числа компьютеров, на которых установлены коммерческие антивирусные продукты, эта задача становится все более хлопотной. В ответ на эту тенденцию хакеры ищут новые инструменты для атак, отмечает Алексей Афанасьев.

«Если дорого и некомфортно иметь гигантский ботнет, его постоянно пополнять и поддерживать, то злоумышленник ищет более простые способы расположить источники своего нападения. Все чаще это выделенные серверы», — сказал эксперт.

По словам Афанасьева, рост числа программного обеспечения для виртуализации серверов и относительная простота его использования привели к появлению большого числа плохо сконфигурированных серверов, а также серверов, содержащих незакрытые уязвимости. Злоумышленники находят такие серверы, встраивают в них средства для осуществления DDoS-атак, и просто ждут «заказа».

С Афанасьевым согласен Александр Лямин, генеральный директор компании Highload Lab, занимающейся защитой от DDoS-атак. Он добавил, что распространение практики использования серверов в качестве источника вредоносного трафика связано с появлением новых анонимайзеров.

Теоретически отразить DDoS-атаку можно, имея информацию об источниках вредоносного трафика — то есть, IP-адресах, с которых к атакуемому сайту идет паразитный трафик. Однако использование инструментария для анонимизации затрудняет выявление таких источников и — как следствие — устранение самой атаки.

При этом даже при наличии информации об источниках вредоносного трафика, далеко не всегда удается отключить серверы, с которых он идет, отмечает Алексей Афанасьев. Злоумышленники территориально распределяют инфраструктуру для осуществления атак так, чтобы их было максимально трудно прекратить через обращение к провайдеру или дата-центру, в котором расположен атакующий сервер.

Как и прежде, больше всего атак происходит в периоды наибольшей бизнес-активности — в «высокие» сезоны в сфере торговли товарами и услугами. В году таких сезона два — с конца осени и до новогодних праздников, а также примерно с середины весны и до начала лета, в сезон отпусков. Чаще всего причиной атак становится недобросовестная конкуренция. Бывают, впрочем, и сферы бизнеса, которые находятся под угрозой DDoS круглый год.

Тот факт, что профессионалы переключили свое внимание с развертывания миллионных бот-сетей на поиск и заражение более мощных и удобных для DDoS-атак серверов, не означает, что ботнеты и угрозы от них остались в прошлом. Бот-сети из зараженных компьютеров мельчают и становятся более доступными для неподготовленных хакеров, отмечает Александр Лямин.

По его словам, сегодня организовать относительно заметную DDoS-атаку стало настолько просто, что это может сделать даже человек с минимальными представлениями о программировании. В результате чего растет количество относительно простых по принципу организации DDoS-атак, но эффективных против небольших компаний и сайтов. Такие атаки организованы далеко не профессионалами, но и они приносят результат как заказчикам в виде недобросовестных конкурентов из сферы малого бизнеса, так и исполнителям, получающим возможность заработать лишние несколько десятков долларов на карманные расходы.

Из наиболее интересных тенденций будущего DDoS-атак Лямин отмечает ботсети из мобильных устройств и «социальный» DDoS.

«Мобильные ботнеты уже существуют, но из-за низкой пропускной способности каналов мобильного интернета использовать их для DDoS-атак бессмысленно. А вот для реализации различных мошеннических схем с платными SMS и похищением персональных данных такие сети уже используются», — рассказал Лямин.

Впрочем, теоретически для атак мобильные бот-сети также могут быть применены. Но целью в этом случае будет не сайт компании или интернет-магазина, а сама мобильная сеть.

«Большое количество мобильных устройств теоретически позволяет организовать такую атаку. Если кому-то понадобится вывести из строя сеть сотовой связи, с помощью достаточно большого мобильного ботнета он сможет это сделать. Пока таких случаев зарегистрировано не было, но в индустрии эту угрозу видят, судя по тому, что средства защиты от подобных атак уже существуют», — рассказал эксперт.

Также эксперты ожидают нового витка в области так называемых социальных DDoS-атак, которые организовываются интернет-активистами, использующими торговую марку Anyonymous, ради выражения политического протеста. Хакеры из этого движения обычно используют для атак программу Low Orbital Ion Cannon, которая по осознанным и добровольным действиям пользователя превращает компьютер в инструмент для DDoS-атак. По словам Лямина, эта программа эволюционирует.

«Изначально LOIC была очень примитивной, и отфильтровать вредоносный трафик, который генерировался с ее помощью, было очень просто. В определенный момент она стала абсолютно неэффективной. Но сейчас мы видим новые вариации программы, в которых используются интересные технологии, позволяющие обойти известные защитные механизмы сайтов. Распознать такой трафик все еще довольно просто, но уже не так, как раньше», — сказал эксперт.

По мнению Лямина, в целом будущее DDoS-атак «безоблачно». Для действительно эффективного решения проблемы придется серьезно переработать основные протоколы передачи данных используемые сетью. По словам эксперта, к сожалению, внедряемый сейчас новый протокол IPv6 не вводит никаких новых механизмов для противодействия этому явлению. Лямин выразил надежду, что у инженерного сообщества получится сформулировать и реализовать необходимый набор инструментов к появлению следующей версии протокола IP, но произойдет это даже не в этом десятилетии.

Источник: Digit.ru

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.