Как спастись от атаки на сайт

DDoS-атаки (аббревиатура от английского Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») становятся в Рунете обычным делом. На этой неделе был восстановлен сайт «Новой газеты» — атака продолжалась четыре дня, еще три заняло «лечение». В декабре атаковали сайт газеты «Ведомости». Подвергался нападению «Коммерсант», постоянные атаки происходят на сайт compromat.ru.

В ходе DDoS-атак хакеры используют тысячи, десятки или даже сотни тысяч зараженных вирусами компьютеров. С них на сервер жертвы злоумышленники одновременно отправляют фальшивые запросы. Сайт не справляется с обработкой возросшего трафика и зависает.

Можно ли от всего этого застраховаться?

Атака на novayagazeta.ru, рассказал Forbes редактор сайта Сергей Асриянц, началась во вторник 26 января. На пике число запросов к сайту составляло полтора миллиона в секунду. Пока сайт не работал, «Новая газета» размещала свои статьи в «Живом Журнале» по адресу novayagazeta.livejournal.com. Журналисты гадают, зачем их сайт атакуют. В последнем номере была опубликована статья Юлии Латыниной «Рой, или Антибулочник» об устройстве современной России, ее многие перепечатали в блогах. Но на novayagazeta.livejournal.com Латынина заявила, что не связывает атаку с какой-то конкретной статьей.

Асриянц говорит, что «Новая газета» направила во все силовые структуры письма с требованиями разобраться в DDoS-атаке на следующий день после ее начала. Пока никакого ответа не поступало. Международный комитет защиты журналистов потребовал от Управления «К» МВД немедленно провести расследование этих атак, наказать виновных и восстановить работу сервера газеты, заявила на сайте комитета координатор его программы в Европе и Центральной Азии Нина Огнянова.

Впрочем, если милиция сумеет поймать хакеров, она создаст международный прецедент. До сих пор на скамью подсудимых организаторы мощных DDoS-атак попадали лишь один раз. В 2004 году милиция задержала россиян, которые устраивали атаки на сайты британских букмекеров. Но и тогда милиционеры и их британские коллеги не смогли разгадать, как именно проводились атаки. Просто жулики вымогали деньги у британских букмекеров, а полиция проследила цепочку платежей и вышла на получателей денег.

У правоохранительных органов разных стран пока нет эффективных способов борьбы с DDoS-атаками. В 2007 году американское Министерство юстиции и ФБР объявили о том, что обнаружили в США миллион зараженных вирусами компьютеров, и пообещали раскрыть неприятную правду владельцам этих компьютеров. Непонятно, как власти США могли найти адреса владельцев по IP-адресам их компьютеров, удивляется управляющий партнер компании «Ашманов и партнеры» Игорь Ашманов. Впрочем, эта мера не могла помочь в принципе: во всем мире около 70% компьютеров не защищены антивирусами, и найти новые машины для DDoS-атак не проблема, считает Ашманов.

Поймать можно только новичка-cкрипткидди (англ. script kiddy) — человека, который использует готовые программы для организации DDoS-атаки, не понимая принципа их действия, уверен Александр Лямин, ведущий специалист Центра телекоммуникаций и информационных технологий (ЦТиИТ) МГУ. Лямин руководит лабораторией высоких нагрузок, которая изучает DDoS-атаки. Он уверен, что настоящих профессионалов поймать практически нереально — технологии позволяют злоумышленникам замести следы.

Газете «Ведомости», атакованной в декабре, помогли в лаборатории высоких нагрузок ЦТиИТ МГУ, вспоминает руководитель отдела интернет-технологий «Ведомостей» Виктор Саксон. Помощь была бесплатной, лаборатория изучает таким образом DDoS-атаки и ищет методы борьбы с ними.

Александр Лямин говорит, что есть разные типы DDoS-атак и они требуют разных методов защиты. Простая DDoS-атака забивает каналы связи, и бороться с ней можно, расширяя канал или блокируя регионы-источники паразитного трафика — чаще всего это США, страны Юго-Восточной Азии и некоторые европейские государства. Но это тоже не панацея, уточняет Лямин. Недавно на один российский сайт шла атака из-за рубежа, а после блокировки зарубежного трафика атака возобновилась из России практически в прежнем объеме.

Злоумышленники также пытаются использовать слабые места интернет-сайтов и серверных компонент, и для борьбы с ними нужно правильно оптимизировать обе составляющие. Лямин обещает, что в блоге исследовательского проекта hll.msu.ru будут опубликованы конкретные способы защиты от DDoS-атак.

Основатель Compromat.ru Сергей Горшков говорит, что атакам противостоять можно, но 100%-ной защиты добиться невозможно — «это как проблема пушки и брони». В зависимости от популярности сайта и мощности атак защита может стоить от тысяч до десятков тысяч долларов в месяц. Виктор Саксон из «Ведомостей» говорит, что можно поставить специальное оборудование, например от Cisco, оно будет стоить около $40 000.

Надо учесть, говорит Александр Лямин, что иногда DDoS-атаками объясняют сбои сайтов, вызванные совсем другими причинами. Например, сайт оппозиционного еженедельника The New Times недавно «упал» после того, как на нем вышла интересная статья. Многие пересылали друг другу ссылки, упоминали статью в интернет-прессе, а в итоге сервер журнала не справился с наплывом посетителей.