Как сделать ддос-атаку и сесть на семь лет. Что такое DDoS атака - суть и происхождение Наказание за ддос
Распределенные сетевые атаки часто называются распределёнными атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, например, инфраструктуре, которая обеспечивает условия для работы сайта компании. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все... и вызвать отказ в обслуживании.
Стандартные цели DDoS-атак:
- Сайты интернет-магазинов
- Онлайн-казино
- Компания или организация, работа которой связана с предоставлением онлайн-услуг
Как работает DDoS-атака
Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:
- Существенное замедление время ответа на запросы.
- Отказ в обслуживании всех запросов пользователей или части из них.
Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.
Использование сети зомби-компьютеров для проведения DDoS-атак
Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в , атака может быть слишком мощной для веб-ресурса жертвы.
Природа современных DDoS-угроз
В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:
- Полицейские расследования, которые привели к аресту преступников по всему миру
- Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам
Компании предлагают внести поправки в главу 28 УК «Преступления в сфере компьютерной информации».
Как рассказали РБК daily, поправки будут направлены на внесение:
— дополнительных квалифицирующих признаков, в том числе по организации и совершению DDоS-атак , за фишинг (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям) и спам ,
— обозначение состава преступлений и уточнения доказательной базы по ним,
— установления мест совершения преступления.
Предполагается, что эти поправки помогут урегулировать вопрос с киберпреступностью. Как сообщила ведущий аналитик РАЭК Ирина Левова «в настоящее время проект поправок в главу 28 УК РФ на стадии согласования концепции , проект поправок к отдельным законодательным актам, направленный на противодействие спаму, - на финальной стадии».
Комментарий специалиста:
Максим Янкевич, руководитель интернет-проектов:
«Сама идея ловить и наказывать за DDoS-атаки и подобные действия, пожалуй, здравая. Сейчас, по сути, в DDoS`е нет противозаконного. Сервера не разрушают физически, не пытаются взломать программный код, несанкционированно получить закрытые данные. Просто обращаются к серверу намного чаще, чем, скажем, вчера.
Это — как если в час дня под вашими окнами начнут одновременно ходить тысячи людей, орать, возможно, кто-то будет звонить в дверь. Неприятно, может быть даже страшно, но не противозаконно.
Другой вопрос: кого нужно наказывать? Непосредственными исполнителями являются пользователи зараженных компьютеров (привет «Лаборатории Касперского»), но уж они-то точно не виноваты.
Интересно, что данные по мощнейшей атаке на ЖЖ (сайт www.livejournal.com), которая по иронии судьбы произошла на следующий день после обсуждаемой инициативы, показывают, что атака проходила не из России. Участники ботнета: Европейские страны, Азия (включая юговосточную), Китай.
Владельцев ботнетов, конечно, следует ловить и что-то с ними делать. Но не факт, что и они из России.
Кроме того, отдельный вопрос — это заказчики. Будут ли они найдены, если вдруг инициатива пройдет, ведомо немногим».
________________________________________________________________________________
По прогнозам аналитиков в этом году предполагается дальнейшее увеличение количества и мощности DDoS-атак и атак на финансовый сектор, также ожидается новая волна использования приемов социальной инженерии для распространения вредоносного ПО, хищения персональной информации и интернет-мошенничества.
Заказать Ддос-атаку много ума не надо. Заплатил хакерам и думай о панике конкурентов. Сначала с кресла директора, а потом с тюремной койки.
Объясняем, почему обращаться к хакерам - последнее дело честного предпринимателя и чем это грозит.
Как сделать Ддос-атаку знает даже школьник
Сегодня инструменты для организации Ддос-атаки доступны для всех желающих. Порог вхождения для начинающих хакеров низкий. Поэтому доля коротких, но сильных атак на российские сайты выросла . Похоже, что хакерские группы просто отрабатывают навыки.
Показательный случай. В 2014 году Образовательный портал Республики Татарстан подвергся Ддос-атакам. На первый взгляд, в нападении нет смысла: это не коммерческая организация и спросить с неё нечего. На портале выставляют оценки, расписание занятий и так далее. Не более. Эксперты «Лаборатория Касперского» нашли группу «Вконтакте», где студенты и школьники Татарстана обсуждали как сделать Ддос-атаку .
Сообщество юных борцов с системой Республики Татарстан
Производные запросы от « как сделать Ддос-атаку Татарстан» привели специалистов по кибербезопасности к интересному объявлению. Исполнителей быстро нашли и им пришлось возместить ущерб.
Раньше вырывали страницы в дневниках, а теперь взламывают сайты
Из-за простоты Ддос-атак за них берутся новички без моральных принципов и пониманий своих возможностей. Такие могут и перепродать данные о заказчике. Омоложение исполнителей Ддос-атак - мировая тенденция.
Весной 2017 года тюремный срок получил британский студент. Когда ему было 16 лет, он создал программу для Ддос-атак Titanium Stresser. На её продаже британец заработал 400 тысяч фунтов стерлингов (29 миллионов рублей). С помощью этой Ддос-программы провели 2 миллиона атак на 650 тысяч пользователей во всём мире.
Подростками оказались участники крупных Ддос-группировок Lizard Squad и PoodleCorp. Юные американцы придумали собственные Ддос-программы , но использовали их для атаки на игровые серверы, чтобы получить преимущества в онлайн-играх. Так их и нашли.
Доверять ли репутацию компании вчерашним школьникам, каждый решит сам.
Наказание за Ддос-программы в России
Как сделать Ддос-атаку интересуются предприниматели, не желающие играть по правилам конкуренции. Такими занимаются сотрудники Управления «К» МВД России. Они же ловят исполнителей.
Российское законодательство предусматривает наказание за кибер-преступления. Исходя из сложившейся практики, участники Ддос-атаки могут попасть под следующие статьи.
Заказчики. Их действия обычно подпадают под - неправомерный доступ к охраняемой законом компьютерной информации.
Наказание: лишение свободы до семи лет или штраф до 500 тысяч рублей.
Пример. По этой статье осудили сотрудника отдела технической защиты информации администрации города Курган. Он разработал многофункциональную Ддос-программу Мета. С её помощью злоумышленник собрал персональные данные на 1,3 миллиона жителей города. После - продавал банкам и коллекторским агентствам. Хакера получил два года лишения свободы.
Исполнители. Как правило, наказываются по статье 273 УК РФ - создание, использование и распространение вредоносных компьютерных программ.
Наказание. Лишение свободы до семи лет со штрафом до 200 тысяч рублей.
Пример. 19-летний студент из Тольятти получил получил 2,5 года условного срока и штраф 12 млн рублей. С помощью программы для Ддос-атак он пытался обрушить информационные ресурсы и сайты банков. После атаки студент вымогал деньги.
Неосторожные пользователи. Несоблюдение правил безопасности при хранении данных карается по статье 274 УК РФ - нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.
Наказание: лишение свободы до пяти лет или штрафом до 500 тысяч рублей.
Пример. Если в ходе доступа к информации каким-либо образом были похищены деньги, статью переквалифицируют в мошенничестве в сфере компьютерной информации (). Так два года в колонии-поселении получили уральские хакеры, получившие доступ к серверам банков.
Нападки на СМИ. Если Ддос-атаки направлены на нарушение журналистских прав, действия подпадают под - воспрепятствование законной профессиональной деятельности журналиста.
Наказание: лишение свободы до шести лет или штрафом до 800 тысяч рублей.
Пример. Эту статью часто переквалифицируют в более тяжёлые. Как сделать Ддос-атаку знали напавшие на «Новую газету», «Эхо Москвы» и «Большой город». Жертвами хакеров становятся и региональные издания.
В России суровое наказание за использование Ддос-программ . Анонимность от Управления «К» не спасёт.
Программы для Ддос-атак
По информации экспертов, для атаки на средний сайт достаточно 2000 ботов. Стоимость Ддос-атаки начинается от 20 долларов (1 100 рублей). Количество атакующих каналов и время работы обсуждаются индивидуально. Встречаются и вымогательства.
Такое письмо может прийти на почту каждому. Фото roem.ru
Приличный хакер перед атакой проведёт пентест. Военные назвали бы этот метод «разведка боем». Суть пентеста в небольшой контролируемой атаке, чтобы узнать ресурсы защиты сайта.
Интересный факт. Как сделать Ддос-атаку знают многие, но сила хакера определяется ботнетом. Часто злоумышленники крадут у друг друга ключи доступа к «армиям», а потом перепродают. Известный приём - «положить» wi-fi, чтобы тот принудительно перезагрузился и вернулся к базовым настройкам. В таком состоянии пароль стоит стандартный. Далее злоумышленники получают доступ ко всему трафику организации.
Последний хакерский тренд - взлом «умных» устройств для установки на них программ-майнеров криптовалюты. Эти действия могут квалифицироваться по статье об использовании вредоносных программ (ст. 273 УК РФ). Так сотрудники ФСБ задержали системного администратора Центра управления полетами. Он установил на рабочее оборудование майнеры и обогащался. Вычислили злоумышленника по скачкам напряжения.
Хакеры проведут Ддос-атаку на конкурента. Потом могут получить доступ к его вычислительной мощности и замайнить биткоин-другой. Только эти доходы заказчику не достанутся.
Риски заказа Ддос-атаки
Подведём итог, взвесив достоинства и недостатки заказа Ддос-атаки на конкурентов.
Если конкуренты насолили бизнесу, хакеры не помогут. Они сделают только хуже. Агентство «Digital Sharks» нежелательную информацию законными способами.
Все чаще в официальных сообщениях хостинг-провайдеров то тут, то там мелькают упоминания об отраженных DDoS-атаках. Все чаще пользователи, обнаружив недоступность своего сайта, с ходу предполагают именно DDoS. И действительно, в начале марта Рунет пережил целую волну таких атак. При этом эксперты уверяют, что веселье только начинается . Обойти вниманием явление столь актуальное, грозное и интригующее просто не получается. Так что сегодня поговорим о мифах и фактах о DDoS. С точки зрения хостинг-провайдера, разумеется.
Памятный день
20 ноября 2013 года впервые за 8-летнюю историю нашей компании вся техническая площадка оказалась недоступна на несколько часов по причине беспрецедентной DDoS-атаки. Пострадали десятки тысяч наших клиентов по всей России и в СНГ, не говоря уже о нас самих и нашем интернете-провайдере. Последнее, что успел зафиксировать провайдер, прежде чем белый свет померк для всех - что его входные каналы забиты входящим трафиком наглухо. Чтобы представить это наглядно, вообразите себе вашу ванну с обычным сливом, в которую устремился Ниагарский водопад.
Даже вышестоящие в цепочке провайдеры ощутили отголоски этого цунами. Графики ниже наглядно иллюстрируют, что происходило в тот день с интернет-трафиком в Петербурге и в России. Обратите внимание на крутые пики в 15 и 18 часов, как раз в те моменты, когда мы фиксировали атаки. На эти внезапные плюс 500-700 Гб.
Несколько часов ушло на то, чтобы локализовать атаку. Был вычислен сервер, на который она велась. Затем была вычислена и цель интернет-террористов. Знаете, по кому била вся эта вражеская артиллерия? По одному весьма обычному, скромному клиентскому сайту.
Миф номер один: «Объект атаки - всегда хостинг-провайдер. Это происки его конкурентов. Не моих.» На самом деле, наиболее вероятная мишень интернет-террористов - обычный клиентский сайт. То есть сайт одного из ваших соседей по хостингу. А может быть, и ваш.
Не все то DDoS…
После событий на нашей техплощадке 20 ноября 2013 и их частичного повторения 9 января 2014 некоторые пользователи стали предполагать DDoS в любом частном сбое работы собственного сайта: «Это DDoS!» и «У вас опять DDoS?»
Важно помнить, что если нас постигает такой DDoS, что его ощущают даже клиенты, мы сразу сами сообщаем об этом.
Хотим успокоить тех, кто спешит поддаваться панике: если с вашим сайтом что-то не так, то вероятность того, что это именно DDoS, составляет меньше 1%. Просто в силу того, что с сайтом очень много чего может случиться и это «много что» случается гораздо чаще. О методах самостоятельной быстрой диагностики, что именно происходит с вашим сайтом, мы поговорим в одном из следующих постов.
А пока - ради точности словоупотребления - проясним термины.
О терминах
DoS-атака (от английского Denial of Service) - это атака, призванная добиться отказа сервера в обслуживании по причине его перегрузки.
DoS-атаки не связаны с вредом для оборудования или хищением информации; их цель - сделать так, чтобы сервер перестал отвечать на запросы. Принципиальное отличие DoS в том, что атака происходит с одной машины на другую. Участников ровно два.
Но в действительности мы практически не наблюдаем DoS-атак. Почему? Потому что объектами атак чаще всего выступают промышленные объекты (например, мощные производительные серверы хостинг-компаний). А чтобы причинить сколь-нибудь заметный вред работе такой машины, нужны гораздо бОльшие мощности, чем ее собственные. Это во-первых. А во-вторых, инициатора DoS-атаки достаточно легко вычислить.
DDoS - по сути, то же самое, что и DoS, только атака носит распределенный характер. Не пять, не десять, не двадцать, а сотни и тысячи компьютеров обращаются к одному серверу одновременно из разных мест. Такая армия машин называется ботнетом . Вычислить заказчика и организатора практически невозможно.
Соучастники
Что за компьютеры включаются в ботнет?
Вы удивитесь, но зачастую это самые обычные домашние машины. Who knows?.. -
вполне возможно, ваш домашний компьютер увлечен на сторону зла .
Нужно для этого немного. Злоумышленник находит уязвимость в популярной операционной системе или приложении и с ее помощью заражает ваш компьютер трояном, который в определенный день и час дает вашему компьютеру команду начать совершать определенные действия. Например, отправлять запросы на определенный IP. Без вашего ведома и участия, конечно.
Миф номер два: « DDoS делается где-то вдалеке от меня, в специальном подземном бункере, где сидят бородатые хакеры с красными глазами.» На самом деле, сами того не ведая, вы, ваши друзья и соседи - кто угодно может быть невольным соучастником.
Это действительно происходит. Даже если вы об этом не думаете. Даже если вы страшно далеки от ИТ (особенно если вы далеки от ИТ!).
Занимательное хакерство или механика DDoS
Явление DDoS неоднородно. Это понятие объединяет множество вариантов действий, которые приводят к одному результату (отказу в обслуживании). Рассмотрим варианты неприятностей, которые могут преподнести нам DDoS’еры.
Перерасход вычислительных ресурсов сервера
Делается это путем отправки на определенный IP пакетов, обработка которых требует большого количества ресурсов. Например, для загрузки какой-то страницы требуется выполнить большое число SQL-запросов. Все атакующие будут запрашивать именно эту страницу, что вызовет перегрузку сервера и отказ в обслуживании для обычных, легитимных посетителей сайта.
Это атака уровня школьника, посвятившего пару вечеров чтению журнала «Хакер». Она не является проблемой. Один и тот же запрашиваемый URL вычисляется моментально, после чего обращение к нему блокируется на уровне вебсервера. И это только один из вариантов решения.
Перегрузка каналов связи до сервера (на выход)
Уровень сложности этой атаки примерно такой же, что и у предыдущей. Злоумышленник вычисляет самую тяжелую страницу на сайте, и подконтрольный ему ботнет массово начинает запрашивать именно ее.
Представьте себе, что невидимая нам часть Винни-Пуха бесконечно велика
В этом случае также очень легко понять, чем именно забивается исходящий канал, и запретить обращение к этой странице. Однотипные запросы легко увидеть с помощью специальных утилит, которые позволяют посмотреть на сетевой интерфейс и проанализировать трафик. Затем пишется правило для Firewall, которое блокирует такие запросы. Все это делается регулярно, автоматически и так молниеносно, что большинство пользователей ни о какой атаке даже не подозревает.
Миф номер три: «А таки на мой хостинг просходят редко часто, и я их всегда замечаю.» На самом деле, 99,9% атак вы не видите и не ощущаете. Но ежедневная борьба с ними - это будничная, рутинная работа хостинговой компании. Такова наша реальность, в которой атака стоит дешево, конкуренция зашкаливает, а разборчивость в методах борьбы за место под солнцем демонстрируют далеко не все.
Перегрузка каналов связи до сервера (на вход)
Это уже задачка для тех, кто читал журнал «Хакер» больше, чем один день.
Фото с сайта радио «Эхо Москвы». Не нашли ничего более наглядного, чтобы представить DDoS c перегрузкой каналов на вход.
Чтобы забить канал входящим трафиком до отказа, нужно иметь ботнет, мощность которого позволяет генерировать нужное количество трафика. Но может быть, есть способ отдать мало трафика, а получить много?
Есть, и не один. Вариантов усиления атаки много, но один из самых популярных прямо сейчас - атака через публичные DNS-серверы. Специалисты называют этот метод усиления DNS-амплификацией (на случай, если кому-то больше по душе экспертные термины). А если проще, то представьте себе лавину: чтобы сорвать ее, достаточно небольшого усилия, а чтобы остановить - нечеловеческие ресурсы.
Мы с вами знаем, что публичный DNS-сервер по запросу сообщает любому желающему данные о любом доменном имени. Например, мы спрашиваем такой сервер: расскажи мне о домене sprinthost.ru. И он, ничтоже сумняшеся, вываливает нам все, что знает.
Запрос к DNS-серверу - очень простая операция. Обратиться к нему почти ничего не стоит, запрос будет микроскопическим. Например, вот таким:
Остается только выбрать доменное имя, информация о котором будет составлять внушительный пакет данных. Так исходные 35 байт легким движением руки превращаются в почти 3700. Налицо усиление более чем в 10 раз.
Но как сделать так, чтобы ответ направлялся на нужный IP? Как подделать IP источника запроса, чтобы DNS-сервер выдавал свои ответы в направлении жертвы, которая никаких данных не запрашивала?
Дело в том, что DNS-серверы работают по протоколу обмена данными UDP , которому вовсе не требуется подтверждения источника запроса. Подделать исходящий IP в этом случае не составляет для досера большого труда. Вот почему такой тип атак сейчас так популярен.
Самое главное: для реализации такой атаки достаточно совсем небольшого ботнета. И нескольких разрозненных публичных DNS, которые не увидят ничего странного в том, что разные пользователи время от времени запрашивают данные в адрес одного хоста. И уже только потом весь этот трафик сольется в один поток и заколотит наглухо одну «трубу».
Чего досер не может знать, так это емкости каналов атакуемого. И если он не рассчитает мощность своей атаки верно и не забьет канал до сервера сразу на 100%, атака может быть достаточно быстро и несложно отбита. С помощью утилит типа TCPdump легко выяснить, что входящий трафик прилетает от DNS, и на уровне Firewall запретить его принимать. Этот вариант - отказ принимать трафик от DNS - сопряжен с определенным неудобством для всех, однако и серверы, и сайты на них при этом будут продолжать успешно работать.
Это лишь один вариант усиления атаки из множества возможных. Есть и масса других типов атак, о них мы сможем поговорить в другой раз. А пока хочется резюмировать, что все вышесказанное справедливо для атаки, чья мощность не превышает ширины канала до сервера.
Если атака мощная
В случае, если мощность атаки превосходит емкость канала до сервера, происходит следующее. Моментально забивается интернет-канал до сервера, затем до площадки хостинга, до ее интернет-провайдера, до вышестоящего провайдера, и так дальше и выше по нарастающей (в перспективе - до самых абсурдных пределов), насколько хватит мощности атаки.
И вот тогда это становится глобальной проблемой для всех. И если вкратце, это то, с чем нам пришлось иметь дело 20 ноября 2013 года. А когда происходят масштабные потрясения, время включать особую магию!
Примерно так выглядит особая магия С помощью этой магии удается вычислить сервер, на который нацелен трафик, и заблокировать его IP на уровне интернет-провайдера. Так, чтобы он перестал принимать по своим каналам связи с внешним миром (аплинкам) какие-либо обращения к этому IP. Любителям терминов: эту процедуру специалисты называют «заблэкхолить»
, от английского blackhole.
При этом атакованный сервер c 500-1500 аккаунтами остается без своего IP. Для него выделяется новая подсеть IP-адресов, по которым случайным образом равномерно распределяются клиентские аккаунты. Далее специалисты ждут повторения атаки. Она практически всегда повторяется.
А когда она повторяется, на атакуемом IP уже не 500-1000 аккаунтов, а какой-нибудь десяток-другой.
Круг подозреваемых сужается. Эти 10-20 аккаунтов снова разносятся по разным IP-адресам. И снова инженеры в засаде ждут повторения атаки. Снова и снова разносят оставшиеся под подозрением аккаунты по разным IP и так, постепенным приближением, вычисляют объект атаки. Все остальные аккаунты к этому моменту возвращаются к нормальной работе на прежнем IP.
Как понятно, это не моментальная процедура, она требует времени на реализацию.
Миф номер четыре: «Когда происходит масштабная атака, у моего хостера нет плана действий. Он просто ждет, закрыв глаза, когда же бомбардировка закончится, и отвечает на мои письма однотипными отписками». Это не так: в случае атаки хостинг-провайдер действует по плану, чтобы как можно скорее локализовать ее и устранить последствия. А однотипные письма позволяют донести суть происходящего и при этом экономят ресурсы, необходимые для максимально быстрой отработки внештатной ситуации .
Есть ли свет в конце тоннеля?
Сейчас мы видим, что DDoS-активность постоянно возрастает. Заказать атаку стало очень доступно и безобразно недорого. Дабы избежать обвинений в пропаганде, пруфлинков не будет. Но поверьте нам на слово, это так.
Миф номер пять: «DDoS-атака - очень дорогое мероприятие, и позволить себе заказать такую могут только воротилы бизнеса. В крайнем случае, это происки секретных служб!» На самом деле, подобные мероприятия стали крайне доступны.
Поэтому ожидать, что вредоносная активность сойдет на нет сама собой, не приходится. Скорее, она будет только усиливаться. Остается только ковать и точить оружие. Чем мы и занимаемся, совершенствуя сетевую инфраструктуру.
Правовая сторона вопроса
Это совсем непопулярный аспект обсуждения DDoS-атак, так как мы редко слышим о случаях поимки и наказания зачинщиков. Однако следует помнить: DDoS-атака - это уголовно наказуемое преступление. В большинстве стран мира, и в том числе в РФ.
Миф номер шесть: « Теперь я знаю про DDoS достаточно, закажу-ка праздник для конкурента - и ничего мне за это не будет!» Не исключено, что будет. И если будет, то мало не покажется.
- Завязка истории с DDoS платежной системы Assist
- Волнующая развязка
В общем, заниматься порочной практикой DDoS никому не советуем, чтобы не навлечь гнев правосудия и не погнуть себе карму. А мы в силу специфики деятельности и живого исследовательского интереса продолжаем изучать проблему, стоять на страже и совершенствовать оборонительные сооружения.
PS: у нас не находится достаточно теплых слов, чтобы выразить всю нашу признательность, поэтому мы просто говорим «Спасибо!» нашим терпеливым клиентам, которые горячо поддержали нас в трудный день 20 ноября 2013 года. Вы сказали много ободряющих слов в нашу поддержку в
После DDoS-атак на ЖЖ, которые называют едва ли не самыми крупными за всю историю сервиса, только ленивый не узнал о существовании силы, которая может обрушить сайт, даже такой мощности, как ЖЖ. Президент России Дмитрий Медведев назвал атаки на блогосервис возмутительными и незаконными. А через несколько дней атаке подвергся и сайт «Новой газеты», которая на время DDoS «ушла» в заработавший ЖЖ и там выложила свои тексты.
Найти человека, который «положит» по вашей просьбе любой сайт, несложно. Конечно, в «Директе» вы их рекламу не встретите, но на разных форумах она есть. В качестве контактов - номера ICQ, к оплате принимают электроные деньги. Например, в одном объявлении обещают полную анонимность, мониторинг объекта (гарантируют, что объект «внезапно не встанет»), обещают даже научить азам «DDoS-искусства». Чтобы разместить объявление на форуме, нужно пройти своеобразный тест от админа... завалить парочку сайтов.
DDoS - как они это делают?
Я поговорила на эту тему с человеком, который называет себя специалистом по организации DDoS-атак, он представился как Toxa. z. x. Его реклама в одном из форумов встретилась на первой странице выдачи Яндекса по запросу «DDoS услуга». Он называет это «услуги по устранению сайтов и форумов ваших конкурентов при помощи DDoS-атаки». Постоянным заказчикам предлагает индивидуальные условия, принимает заказы на срок от 12-ти часов. «В среднем, цены на DDoS от $40 в сутки, - написано в форуме, - Принимаем на исполнение любой ресурс. В случае неудачи делаем манибек».
Он говорит, что заказывают разные сайты - и интернет-магазины, и форумы, и сайты типа компромат. ру, и просто конкурентов. В качестве теста для форума он в свое время вырубил сайты «Дома 2» и uCoz. Говорит, что в месяц зарабатывает порядка 600 тысяч рублей, правда, не только DDoS, но и взламыванием почтовых ящиков (эта услуга, по его словам, стоит 1000-2000 рублей за ящик). «По поводу цели заказа - никогда не задаюсь этим вопросом, да и не думаю, что каждый заказчик расскажет о своей цели», - говорит он.
Сколько стоит DDoS?
«Стоимость много от чего зависит: 1. Сложность атаки, т. е. от того, как защищен сайт (антиддос сервера и другие защиты). 2. От важности ресурса, т. е. если сайт не частного владельца, а связан тем или иным образом с политикой, государством и прочим, то цена, соответственно, возрастает. 3. Ну и от того, насколько покажет себя ЛОХОМ клиент: ну вот закажете вы мне сайт, который я положу 10 ботами (стоит такая работа максимум 20$ в сутки)... Я ж, соответственно, этого не скажу, я скажу, что сайт сложный и стоить будет от 50$ и выше, если клиент скажет, что его устраивает, то я скажу, что точную цену назову после теста, а после теста я, соответственно, завышу еще и скажу 60$... Если же клиент более-менее понимает что-то, то он скажет, что я завышаю цену и объяснит мне почему... и тогда я скажу реальную цену.
Клиенты всякие попадаются. Некоторые сразу же рассказывают о защите сайта, дают советы как их лучше и легче положить, а некоторым просто нужно, чтобы сайт не работал. Есть клиенты, которые вообще не понимают, что это такое и думают, что DDoS - это какой-то способ взлома сайта, т. е. после они получат админ-доступ к нему».
Кого «ддосили»?
«Ддосили» крупный информационный портал. DDoS продолжался 2 дня, после начали появляться известия об этом в новостях, в следствии чего от дальнейшей работы отказались. За эти 2 дня нами было получено $900 т. е. по $450 за сутки. После нашего отказа заказчик поднял цену до $4500 в сутки, но мы отказались, и никто так и не согласился. Хотя если считать только по сложности заказа, то стоил бы этот сайт максимум $90 в сутки«.
Почему отказались?
«Потому, что лучше сидеть голым у ноута, чем сидеть одетым на нарах...»
Кто мог стоять за атакой ЖЖ?
«Да, это был DDoS, нет, это не сам ЖЖ, стоять могу хоть я за этим, сложно не очень... По стоимости такая атака могла стоить - если брать из расчета на сутки - от $250 до 400, почасовая атака стоила бы гораздо дороже. Хотя до 400$ это я занизил. Это опять же из сложности исходил... а так + значимость сайта».
Про рынок DDoS-услуг
«В основном много народа, которые скачали паблик ботнеты и ими пытаются работать, в следствии чего просто кидают заказчика. Фирм, отраслей нету. Есть, наверное, в принципе легкие заказы, которые 1 человек и исполняет. Вообще ддосеров, которые способны на исполнение крупного заказа мало. Для меня лично это работа, но не основная, а одна из основных. Вообще я занимаюсь взломом email-адресов, ддосом, ну и по мелочи еще».
Специалист по DDoS-атакам также рассказал - чтобы себя «обезопасить», они оставляют только ICQ в качестве контактов и пользуются сторонними IP-адресами, например, со мной он разговаривал с итальянского IP. «Сам я сижу со съемного винчестера. При малейшем подозрении, что ко мне поднимаются гости, которых я не жду, этот винт будет отключен, разбит на мелкие осколки и закопан в подполье... Банки мы не грабим, миллионы со счетов не воруем, поэтому и не ищут нас пока». Защитить свой сайт, по мнению хакера, можно, только положив его на мощные антидос-сервера, от этого вырастет цена за DDoS, и, возможно, желающих этот сайт «положить» поубавится. «Если мне заплатят $150 тыс. в сутки, то я и Mail.ru положу», - оптимистично закончил разговор Тоха.
После этой ICQ-беседы Toxa. z. x показал на примере, как он взламывает ящики невинных пользователей. Я по его просьбе зарегистрировала ящик на Mail. ru и сказала ему логин. Он прислал мне письмо «от имени администрации портала Mail.ru», внутри была красиво сверстанная страничка, извещавшая о том, что я не получила какое-то письмо, потому что у меня переполнен ящик. И предложение кликнуть на ссылки. Там снова просили ввести логин-пароль, только это была вовсе не страница Mail. ru, а фишинговая страница (то есть похожая на настоящую), и данные, которые я ввела, сразу улетали Тохе. Он отдает их заказчику, тот беспрепятственно смотрит почту конкурента/жены/коллеги, а жертва даже не подозревает об этом. Есть и другие способы, например, посмотреть «Мой мир» человека и прислать ему письмо от имени «друга» со ссылкой на новые фотки. Дальше то же самое. 80% доверчиво кликают. Тоха предложил для подтверждения своей мощи «положить» по моей просьбе какой-нибудь сайт, но от такого предложения я отказалась.
Сайты в Рунете «досят» практически каждый день
«DDoS-атаки на сайты наших клиентов случаются через день, иногда каждый день, иногда и по два раза в день. Их видно через 2-3 минуты после начала атаки», - рассказал «АиФ» Сергей Баукин, руководитель департамента хостинга компании RU-CENTER, который занимает второе место по количеству клиентов среди российских хостинг-провайдеров.
В RU-CENTER стоит система мониторинга, которая отслеживает атаки на сайты клиентов. Если она замечает подозрительную активность, она оповещает об этом сотрудников с помощью писем, звуковых сигналов или выведением на экран. Получив такой сигнал, дежурная группа решает, действительно это DDoS или нет. Если от атаки страдает только один сайт, хостер предупреждает об этом клиента и предлагает ему алгоритм действий, который может помочь уйти от атаки. Но на виртуальном хостинге на одном сервере обычно лежит несколько сайтов, поэтому атака на один сайт может повлечь неприятности и для других. Если это случилось, сайт, на который ведется атака, переносят на отдельный сервер на время атаки, выделают ему отдельный IP, а запросы к этому сайту проводят через специальное оборудование, которое фильтрует DDoS-запросы от естественных. Кроме того, проводится анализ атакующих запросов, они заносятся в блок-листы.
На случай очень серьезной атаки у RU-CENTER есть договоренность с магистральными провайдерами, которые могут помочь отфильтровать запросы на своем оборудовании, разгружая при этом мощности самого хостера.
«Обычно до первого DDoSa клиент не предпринимает никаких действий по защите своего ресурса, - говорит Сергей Баукин, - А по-хорошему, думать о вероятности атаки нужно еще на этапе проектирования сайта, нужно оптимизировать потребление вычислительных ресурсов, памяти, дисковой активности, соединения с базой данных и т. д. При этом нужно соотносить риски возникновения DDoS-атаки и расходы на защиту от нее, потому что на защиту можно потратить очень много денег (вплоть до аренды выделенных серверов), но это будет необосновано. При грамотном подходе на виртуальном хостинге можно сделать относительно защищенную систему от „дешевой“ или „непрофессиональной“ атаки, хотя очень многое зависит от самого сайта».
DDoS в законе?
«Я искренне считаю, что DDoS-атака не является незаконным действием на территории Российской федерации, - рассказал „АиФу“ Михаил Салкин, юрист из Московского Правозащитного Центра. - Не потому, что это плохо или хорошо, а потому что действующий УК РФ не содержит такой статьи, которая бы предусматривала наказание за такое деяние, равно как и сам критерий DDoS атаки.
Сама по себе DDoS-атака безобидна, в том смысле, что одновременно к серверу организуется несколько обращений (запросов), и невозможно определить, какой запрос настоящий, а какой отправлен без цели получить ответ».
Михаил сравнивает это с почтой: «Если каждый гражданин в один день и в один час пойдет на почту чтобы отправить одинаковую жалобу президенту, то это так же нарушит нормальное функционирование почтовой службы. И не только письма президенту будут доставляться с задержкой, но и вся другая корреспонденция на почте. Однако за это наказывать граждан нельзя, так как иное бы повлекло нарушение права на письменное обращение в органы власти. Но что делать, если неадекватный гражданин пишет и пишет одно и то же - на это разработан регламент - ответить 5 (!!!) раз письменно, а затем можно его запросы игнорировать.
Вернемся к интернету. Преследовать в уголовном порядке владельца компьютера, через который осуществляются DDoS-запросы, недопустимо, так как его компьютер может совершать такие запросы из-за вредоносного программного обеспечения или неправильных действий пользователя. Так как «водительских прав» для входа в сеть не изобрели, допустимо предполагать, что не каждый участник в сети будет вести себя правильно и в соответствии с общепринятыми нормами.
Можно перенять принципы, принятые в зарубежных странах, которые позволяют приостанавливать доступ в сеть, в случае обнаружения таких многократных DDoS-запросов с уведомлением владельца компьютера о данном факте.
Можно ли привлечь к ответственности за атаки на ЖЖ и сайт «Новой газеты», кого в таком случае привлекать и за что?
«Если верить Лаборатории Касперского, что DDoS-атака организована с помощью бот-компьютеров, зараженных вирусами, то ответственность должны понести создатели такого вируса, а также те, кто производили такое распространение и его запуск. В соответствии со статьей 273 УК РФ за это предусмотрено наказание в виде лишения свободы до трех лет со штрафом до 200 000 рублей. А если будет доказано, что создание такого вируса повлекло повлекли тяжкие последствия (например из-за вируса отключился аппарат искусственного дыхания или бортовой компьютер самолета во время взлета, что привело к крушению и т. д.), то создатель вируса отправится за решетку от 3 до 7 лет.
Важный нюанс: уголовный кодекс действует только на территории РФ, его территориальных водах, континентальном шельфе и экономической зоне. Поэтому если вирус написал иностранец не на территории РФ, то оснований для применения уголовного закона нет».
Рынок DDoS-атак стимулируют в том числе сами владельцы сайтов, многие из них начинают искать исполнителей таких услуг, когда их собственный сайт подвергается DDoS, в отместку. Получается порочный круг, в выигрыше остаются только хакеры, которые пополняют свои виртуальные счета. Найти и купить эту услугу так же просто, как оплатить в сети доступ в интернет. Кажущиеся невысокими расценки опускают этот вид «деятельности» в ту же плоскость, где вы заказываете, например, SEO. Заплатил - получил результат, а насколько это морально и законно - дело десятое. И пока это остается «делом десятым» для пользователей, для бизнеса и для государства, нас «ддосят» и будут «ддосить».