Читаем Цифровой журнал «Компьютерра» № 19 полностью

"Есть определённые особенности текущего времени: это растущая конкуренция на рынке, которая заставляет вирусы (и, как следствие, ботнеты) «воевать» за ресурсы машины; эта конкуренция неизбежно ведет к войне ботнетов между собой, — говорит Вычижанин. — В ближайшие годы мы будем наблюдать эту постоянно увеличивающуюся борьбу за ресурсы конечного пользователя", — пояснил Вычижанин.

Разработчики ботнета руководствуются принципом: «Ботнет должен работать». Это означает, что за ботнетом необходим присмотр — и инвестиции тоже: нужны деньги на программирование, обновление тел вредоносных программ, мониторинг ситуации с управляющими центрами и т.п. В общем, всё «по-взрослому».

Паниковать, впрочем, не стоит. Много лет именитые специалисты по сетевой безопасности твердили, что вот ещё совсем чуть-чуть, и сетевые злоумышленники создадут какой-нибудь особо крупный ботнет и отправят весь интернет в тартарары. Они преувеличивали. "У современного интернета довольно хорошо обстоит дело с распределённостью, он почти не содержит ключевых «узловых» точек, атака на которые могла бы вывести из строя всю конструкцию,"- говорит технический директор Mail.Ru Владимир Габриелян.

"Сетевые атаки можно разделить по атакуемой цели, — говорит Владимир Габриелян. — Во-первых, целью атаки может быть отказ в обслуживании сетевой инфраструктуры, и тогда внешний ресурс становится недоступным элементарно из-за неработающей сети. Во-вторых, целью атаки может быть просто увеличение нагрузки на сервера интернет-проекта до такой степени, что он просто перестанет обслуживать клиентов и отвечать на запросы, хотя с внешней стороны с сетью всё, вроде бы, в порядке."

По словам Михаила Вычижанина, проще всего противодействовать нераспределённым атакам, жёстко сегментированным и низкоуровневыми по пропускной способности. Их обычно устраивают начинающие злоумышленники — пресловутые script kiddies. Впрочем, «лёгкие» DDoS-атаки могут сигнализировать о тестирование какой-то части зараженного функционала более серьёзными противниками.

"Тяжелее всего бороться с географически и технологически распределенными атаками на разные типы протоколов, с изменением URI-части HTTP в определённые промежутки времени, DNS-запросами различных типов, максимально моделирующими и приближающими ботнет к поведению конечного пользователя-человека," — поясняет Вычижанин. Как правило, средний уровень атаки растёт вместе с ростом пропускной способности каналов, — как магистральных, так и локальных и пользовательских; несколько лет назад атака с входящим трафиком в 1 Гб/c считалась высокоуровневой, сегодня что-то подобное будет отнесено к атакам среднего уровня.

Защита от DDoS-атак производится разными способами, но, как правило, это фильтрация входящего трафика и блокировка сегментов Сети, из которых ведётся «бомбардировка», а также наращивание пропускной способности канала, чтобы входящий трафик не мог «смыть» целевой сервер.

Отдельная история — это «борьба» с DDoS-атаками у российских хостеров. Было время, когда фактически единственным инструментом борьбы с такими атаками было отключение доступа к сайту для иностранных пользователей. «Этот способ будет работать, ну, максимум, ещё год, пока российский ботнет не появится,» — говорит гендиректор «Оверсан-Скалакси» Дмитрий Лоханский.

Помимо «отключения Запада», обычное дело — выставление счетов самим же пострадавшим от атак клиентам за перерасход трафика. "У нас есть знакомые, которым выставляли по 3 тысячи долларов за ночь по итогам атаки DDoS, — рассказывает Павел Варнавский, финансовый директор «Оверсан-Скалакси». — Нет, есть, конечно, способы с этим бороться. Трафик у тебя бесплатный, если ты соблюдаешь соотношения 1:4 (4 доли российского и 1 доля западного трафика). DDoS обычно идет с Запада. То есть, когда он приходит, он кардинально нарушает соотношение, оттуда и цена."

Как рассказал Варнавский, защита их клиентов от DDoS-атак осуществляется с помощью программно-аппаратного комплекса с оборудованием Juniper, Cisco и F5 Networks, которое располагается перед своеобразным суперкомпьютером, и обрабатывает входящий трафик. Внутри стоит ещё одна система — уже их разработки — она дофильтровывает трафик, идущий к конечным клиентам.

Необходимость в собственной разработке связана с тем, что все крупные системы рассчитаны на канальных операторов, которые могут массированно отфильтровать тонны трафика. «А когда, допустим, если у клиента есть ресурсы лишь на обработку 100-200 Мбит, — говорит Варнавский, — и он подвергается немасштабной DDoS-атаке , то оборудование Cisco может просто не заметить этого клиента.»

В этом, как утверждает Варнавский, принципиальное отличие от существующих в России услуг «защита от DDoS». При этом клиенты оказываются «закрыты» не только от DDoS, но и от внутрисетевых атак.