Что интересно: термин "DDoS" прочно вошел в обиходный лексикон. Во всяком случае, новостные порталы уже давно перестали расшифровывать эти четыре буквы широкой публике. Всем уже понятно: если "DDoS" – то кому-то сейчас плохо, что-то важное не работает, сотрудники скучают, а телефоны техподдержки пострадавшей организации требуют водяного охлаждения по причине массовых звонков недовольных клиентов. Причём в подавляющем большинстве случаев за подобной атакой стоит чей-то злой (а часто ещё и корыстный) умысел.
DDoS-атаки со временем становятся всё более жёсткими, технически грамотными, периодически применяют совершенно необычные методы нападения, выискивают новые цели и ставят очередные (анти-)рекорды. Мир меняется, становится "всё и всегда онлайн", число старых-добрых компьютеров теперь в разы меньше разных прочих "умных" устройств, подключённых к сети. Вот, читаем новости: с помощью таких железок уже случился массовый DDoS российских банков. А до этого ботнет из камер и домашних роутеров Мирай ставил рекорды по мощи кибергрязевого потока. Раньше элементами ботнетов были зомби-компьютеры, скоро будут зомби-холодильники, электровеники и кофеварки с пылесосами.
Что будет дальше?
Да ничего хорошего, мы же знаем что было в прошлом и что из этого вышло. Посему, наверное, имеет смысл оглянуться и окунуться в историю DDoS-атак, чтобы подготовиться к ледяному дыханию будущего.
Вот моя очень субъективная "горячая восьмёрка" распределённых вредоносных атак, вошедших в историю. От каждой из них какой-нибудь важный и значительный кусок сети или значимый сервис с грохотом падал. Сразу надо признаться, что не все они "чисто DDoS" в современном понимании, но элемент распределенности атаки, повлекшей отказ в обслуживании, присутствует в каждой.
1. Червь Морриса (1988)
Роберт Таппан Моррис, автор исторического червя
Автор червя, аспирант Роберт Моррис, запустил своё зловредное изделие чисто в исследовательских целях. Однако в код программы закралась ошибка, в результате которой червяк не мог определить "чистые" и уже заражённые системы. Вместо разовой атаки удалённых компьютеров вредонос перезаписывал себя на одни и те же системы снова и снова. И потом ещё и ещё. И так по кругу. В результате сеть хватил кондрат, всё упало и остановилось. Все 60 тысяч узлов сети. Заражённая сеть Арпанет, прообраз мировой паутины, заддосила сама себя.
Сам Моррис явился с повинной, покаялся и был приговорен к 400 часам исправительных работ и штрафу в 10 тысяч долларов.
2. Melissa (1999)
Дэвид Смит, автор почтового вируса, оставившего Microsoft и Intel без электронной почты
Просто почтовый червь в документах MS Office. Если пользователь открывал файл, то вирус рассылал себя по электронной почте 50 получателям из адресной книги жертвы.
Причем тут DDoS, вы спросите?
Вот эти-то 50 емейлов от каждой жертвы и вызвали совершенно грандиозную эпидемию, нараставшую как снежный ком. Распределенная атака бахнула по всему миру! Правда, получилось нападение не на какой-то конкретный ресурс, а на всю глобальную систему электронной почты. Червь сумел значительно увеличить почтовый трафик и заставил многие компании (включая Microsoft) просто отключать свои почтовые сервера.
Сей вирусописатель также был успешно пойман и осужден.
3. DDoS атака на Amazon, eBay, Yahoo, CNN и так далее (2000)
Этот DDoS образца 2000-го года до сих пор немного поражает несоответствием гигантского ущерба относительно скромному наказанию.
История такая: 15-летний хакер по кличке MafiaBoy завалил чуть ли не все главные порталы в Интернете, включая крупнейший поисковик Yahoo (Гугл тогда был среди начинающих). Ущерб от его действий составил около 1.2 млрд. долларов. Сделал он это из простых и понятных в то время соображений – из желания продемонстрировать кибермиру, что он самый крутой. Никаких пошлых денег - чистое и безоблачное подростковое эго, помноженное на общую дырявость Интернета. В силу возраста хакера канадское правосудие назначило наказание: 8 месяцев лишения свободы в исправительном учреждении для несовершеннолетних.
4. Code Red (2001)
В те уже далекие времена киберпреступности как таковой ещё не было. Малвара ещё не зарабатывала криминальные деньги. Она в те времена тупо вредоносила.
Ярким представителем эпохи был червь Code Red, нападавший на веб-серверы Microsoft IIS. Он прославился фразой "Hacked by Chinese" (то есть "взломан китайцами"), а также тем, что на некоторое время вывел из строя сайт Президента США.
Червь умел делать три вещи:
а) заменять полезное содержимое страниц следующей сакраментальной фразой:
б) Распространять себя на новые веб-серверы.
в) Устраивать DDoS-атаку на предустановленный набор веб-адресов, включая тот самый сайт Белого дома, который ему удалось вполне успешно завалить в заранее указанное время, прошитое в коде червя.
Предполагается, что он поразил больше миллиона (!!!) веб-серверов по всему миру, что составляло существенную часть Интернета. Жил только в памяти жертв, файлов не создавал. Кто написал Code Red и с какой целью он (она, они) выпустил(-а/-и) его вредоносить так и осталось загадкой.
Важно заметить: дыру в веб-сервере, которую эксплуатировал этот червяк, Microsoft пропатчил за месяц до эпидемии. В общем, граждане, не забывайте обновлять свои бортовые системы вовремя.
5. SQL Slammer (2003)
Маленький, но ОЧЕНЬ зловредный кусочек кода всего в 376 байт (не кило-, не мега- и не гига-, а просто байт) сумел в январе 2003 г. за 15 минут заразить сотни тысяч серверов по всему миру, увеличить на четверть глобальный трафик, а заодно оставить Южную Корею без Интернета и мобильной связи (!) на несколько часов, заддосив её всю целиком. Причём дыра в Microsoft SQL Server 2000, которую он использовал, была к моменту пандемии полгода как пропатчена. Но, как показывает практика, выпущенный патч отнюдь не равен патчу установленному. Дырявых систем оказалось в большом изобилии и компьютерный мир тряхнуло очень основательно. У нас тем субботним утром эпидемию встретил лицом к лицу в одиночку дежурный Гостев, проработавший к тому моменту в компании один месяц. Принял, так сказать, боевое крещение - на всю жизнь запомнил!
Скачок трафика выглядел приблизительно так
Кроме всего прочего, эпидемия червяка нарушила работу 13 тысяч банкоматов Bank of America, и, судя по всему, он активно (хоть и косвенно) способствовал тому, что в августе того же 2003-го года 50 млн. человек в Северной Америке остались без электричества.
6. Эстония (2007)
В 2007-м году правительство Эстонии решило перенести из центра Таллина Бронзового солдата – мемориал советскому воину и захоронение советских солдат, погибших в боях за освобождение республики от нацистов. Местное русскоязычное сообщество возражало против переноса, и когда он состоялся, то конфликт перерос в жёстокие столкновения с полицией и массовыми задержаниями.
Параллельно случился исторический DDoS. Это не был крупнейший DDoS в истории, но впервые криминальные спамерские ботнеты угрожали национальной безопасности государства: эстонский сегмент Интернета упал фактически полностью. Банки, Интернет-провайдеры, газеты, правительственные сайты – на какое-то время остановилось всё. Ходят слухи, что за атакой стояли российские власти, но у нас подтверждения этому нет. Что мы точно знаем - что в атаке участвовали криминальные ботнеты и даже отдельные пользователи из голого энтузиазма.
Главный урок атаки на Эстонию состоит в том, что киберпреступность стала угрозой национального и международного масштаба. И что цифровой дом, который мы построили, - сделан из говна и палок довольно уязвимый.
7. DDoS юга России (2007)
Гораздо менее глобально известная, но важная история. Жарким летом 2007-го года Краснодарский край, Адыгея, а заодно и Астрахань остались без нормально работающего Интернета. Он то был, то его не было, причём в рабочее время его чаще не было. От DDoS-а целиком упал крупнейший региональный провайдер. Естественно, паника, инженеры бегают кругами, дымятся роутеры и мозги, ругань, клиенты, в том числе самые высокопоставленные и важные, начинают спрашивать, когда, собственно, Интернет дадут, правоохранительные органы задумываются, кого надо арестовывать и за что.
Атаки шли волнами больше месяца, и их мощность доходила до умопомрачительных по тем временам 10 Гбит/с. Атака была необычной, в ней использовались не только и не столько ботнеты, но и файлообменные пиринговые сети, что и в мировой практике на тот момент практически не встречалось - только в рамках исследовательских проектов. Злодеи установлены не были.
Для России этот DDoS стал поворотным и знаковым. Упал Интернет большого сегмента, и, хоть ты тресни, ничего сделать не получалось довольно долго. До этой истории угроза DDoS особо никого не интересовала, а после она стала остроактуальной и важной проблемой. Появились технологии, телекомы начали активно внедрять всякие специализированные железки. Мы, кстати, тоже по стопам этой атаки включились - разработали свое решение.
8. Политический DDoS в России (2011-2012)
С декабря 2011г. по март 2012г. в России случился большой политический сезон - выборы в Госдуму, выборы Президента, уличные демонстрации, а заодно по рунету прокатилась перестрелка DDoS-м. Ддосили оппозиционные сайты, ддосили проправительственные ресурсы, ЖЖ то лежал, то возвращался к жизни. Интересного во всей этой кутерьме были две вещи:
а) Впервые киберпреступные методы настолько широко, откровенно и массово применялись для достижения политических целей.
б) Для нас многие атаки стали сюрпризом. Мы боремся с малварой и видим множество ботнетов, но многие ДДоСы той поры мы вообще не засекли. И это было очень странно. В общем, то был важный урок для нас.
Что будущее нам готовит?
На 2011-м DDoS не закончился, а, скорее, наоборот. За последние десятилетия выросла целая криминальная отрасль DDoS-атак, полностью коммерческая. Мотивация простая – деньги, "преступление как услуга", заваливание или торможение ресурсов на заказ. И хактивисты тоже активно используют DDoS, да и всякие кибервоенные по всему миру, наверняка, такие инструменты в арсенале имеют.
Сегодня трудно представить эпидемию типа Slammer-а (три раза плюю через плечо, потому что в мире, где миллиарды "умных" и дырявых устройств подключены к интернету и обмениваются данными, возможно всякое). Но злодеи тоже не дремлют, и недавний ДДоС на "Интернете вещей" – хорошее подтверждение. Наша зависимость от Интернета и "умных" устройств растёт, а вместе с зависимостью растёт и потенциальный ущерб от любых аварий и отключений, включая рукотворные.
В общем, пока что мир так и застыл - немного в тёмном прошлом, немного в опасном будущем. А между ними – тревожное настоящее. Поводы для осторожного оптимизма есть, но, боюсь, что мы ещё увидим немало неприятных атак.
DDoS-атаки со временем становятся всё более жёсткими, технически грамотными, периодически применяют совершенно необычные методы нападения, выискивают новые цели и ставят очередные (анти-)рекорды. Мир меняется, становится "всё и всегда онлайн", число старых-добрых компьютеров теперь в разы меньше разных прочих "умных" устройств, подключённых к сети. Вот, читаем новости: с помощью таких железок уже случился массовый DDoS российских банков. А до этого ботнет из камер и домашних роутеров Мирай ставил рекорды по мощи кибергрязевого потока. Раньше элементами ботнетов были зомби-компьютеры, скоро будут зомби-холодильники, электровеники и кофеварки с пылесосами.
Что будет дальше?
Да ничего хорошего, мы же знаем что было в прошлом и что из этого вышло. Посему, наверное, имеет смысл оглянуться и окунуться в историю DDoS-атак, чтобы подготовиться к ледяному дыханию будущего.
Вот моя очень субъективная "горячая восьмёрка" распределённых вредоносных атак, вошедших в историю. От каждой из них какой-нибудь важный и значительный кусок сети или значимый сервис с грохотом падал. Сразу надо признаться, что не все они "чисто DDoS" в современном понимании, но элемент распределенности атаки, повлекшей отказ в обслуживании, присутствует в каждой.
1. Червь Морриса (1988)
Роберт Таппан Моррис, автор исторического червя
Автор червя, аспирант Роберт Моррис, запустил своё зловредное изделие чисто в исследовательских целях. Однако в код программы закралась ошибка, в результате которой червяк не мог определить "чистые" и уже заражённые системы. Вместо разовой атаки удалённых компьютеров вредонос перезаписывал себя на одни и те же системы снова и снова. И потом ещё и ещё. И так по кругу. В результате сеть хватил кондрат, всё упало и остановилось. Все 60 тысяч узлов сети. Заражённая сеть Арпанет, прообраз мировой паутины, заддосила сама себя.
Сам Моррис явился с повинной, покаялся и был приговорен к 400 часам исправительных работ и штрафу в 10 тысяч долларов.
2. Melissa (1999)
Дэвид Смит, автор почтового вируса, оставившего Microsoft и Intel без электронной почты
Просто почтовый червь в документах MS Office. Если пользователь открывал файл, то вирус рассылал себя по электронной почте 50 получателям из адресной книги жертвы.
Причем тут DDoS, вы спросите?
Вот эти-то 50 емейлов от каждой жертвы и вызвали совершенно грандиозную эпидемию, нараставшую как снежный ком. Распределенная атака бахнула по всему миру! Правда, получилось нападение не на какой-то конкретный ресурс, а на всю глобальную систему электронной почты. Червь сумел значительно увеличить почтовый трафик и заставил многие компании (включая Microsoft) просто отключать свои почтовые сервера.
Сей вирусописатель также был успешно пойман и осужден.
3. DDoS атака на Amazon, eBay, Yahoo, CNN и так далее (2000)
Этот DDoS образца 2000-го года до сих пор немного поражает несоответствием гигантского ущерба относительно скромному наказанию.
История такая: 15-летний хакер по кличке MafiaBoy завалил чуть ли не все главные порталы в Интернете, включая крупнейший поисковик Yahoo (Гугл тогда был среди начинающих). Ущерб от его действий составил около 1.2 млрд. долларов. Сделал он это из простых и понятных в то время соображений – из желания продемонстрировать кибермиру, что он самый крутой. Никаких пошлых денег - чистое и безоблачное подростковое эго, помноженное на общую дырявость Интернета. В силу возраста хакера канадское правосудие назначило наказание: 8 месяцев лишения свободы в исправительном учреждении для несовершеннолетних.
4. Code Red (2001)
В те уже далекие времена киберпреступности как таковой ещё не было. Малвара ещё не зарабатывала криминальные деньги. Она в те времена тупо вредоносила.
Ярким представителем эпохи был червь Code Red, нападавший на веб-серверы Microsoft IIS. Он прославился фразой "Hacked by Chinese" (то есть "взломан китайцами"), а также тем, что на некоторое время вывел из строя сайт Президента США.
Червь умел делать три вещи:
а) заменять полезное содержимое страниц следующей сакраментальной фразой:
б) Распространять себя на новые веб-серверы.
в) Устраивать DDoS-атаку на предустановленный набор веб-адресов, включая тот самый сайт Белого дома, который ему удалось вполне успешно завалить в заранее указанное время, прошитое в коде червя.
Предполагается, что он поразил больше миллиона (!!!) веб-серверов по всему миру, что составляло существенную часть Интернета. Жил только в памяти жертв, файлов не создавал. Кто написал Code Red и с какой целью он (она, они) выпустил(-а/-и) его вредоносить так и осталось загадкой.
Важно заметить: дыру в веб-сервере, которую эксплуатировал этот червяк, Microsoft пропатчил за месяц до эпидемии. В общем, граждане, не забывайте обновлять свои бортовые системы вовремя.
5. SQL Slammer (2003)
Маленький, но ОЧЕНЬ зловредный кусочек кода всего в 376 байт (не кило-, не мега- и не гига-, а просто байт) сумел в январе 2003 г. за 15 минут заразить сотни тысяч серверов по всему миру, увеличить на четверть глобальный трафик, а заодно оставить Южную Корею без Интернета и мобильной связи (!) на несколько часов, заддосив её всю целиком. Причём дыра в Microsoft SQL Server 2000, которую он использовал, была к моменту пандемии полгода как пропатчена. Но, как показывает практика, выпущенный патч отнюдь не равен патчу установленному. Дырявых систем оказалось в большом изобилии и компьютерный мир тряхнуло очень основательно. У нас тем субботним утром эпидемию встретил лицом к лицу в одиночку дежурный Гостев, проработавший к тому моменту в компании один месяц. Принял, так сказать, боевое крещение - на всю жизнь запомнил!
Скачок трафика выглядел приблизительно так
Кроме всего прочего, эпидемия червяка нарушила работу 13 тысяч банкоматов Bank of America, и, судя по всему, он активно (хоть и косвенно) способствовал тому, что в августе того же 2003-го года 50 млн. человек в Северной Америке остались без электричества.
6. Эстония (2007)
В 2007-м году правительство Эстонии решило перенести из центра Таллина Бронзового солдата – мемориал советскому воину и захоронение советских солдат, погибших в боях за освобождение республики от нацистов. Местное русскоязычное сообщество возражало против переноса, и когда он состоялся, то конфликт перерос в жёстокие столкновения с полицией и массовыми задержаниями.
Параллельно случился исторический DDoS. Это не был крупнейший DDoS в истории, но впервые криминальные спамерские ботнеты угрожали национальной безопасности государства: эстонский сегмент Интернета упал фактически полностью. Банки, Интернет-провайдеры, газеты, правительственные сайты – на какое-то время остановилось всё. Ходят слухи, что за атакой стояли российские власти, но у нас подтверждения этому нет. Что мы точно знаем - что в атаке участвовали криминальные ботнеты и даже отдельные пользователи из голого энтузиазма.
Главный урок атаки на Эстонию состоит в том, что киберпреступность стала угрозой национального и международного масштаба. И что цифровой дом, который мы построили, - сделан из говна и палок довольно уязвимый.
7. DDoS юга России (2007)
Гораздо менее глобально известная, но важная история. Жарким летом 2007-го года Краснодарский край, Адыгея, а заодно и Астрахань остались без нормально работающего Интернета. Он то был, то его не было, причём в рабочее время его чаще не было. От DDoS-а целиком упал крупнейший региональный провайдер. Естественно, паника, инженеры бегают кругами, дымятся роутеры и мозги, ругань, клиенты, в том числе самые высокопоставленные и важные, начинают спрашивать, когда, собственно, Интернет дадут, правоохранительные органы задумываются, кого надо арестовывать и за что.
Атаки шли волнами больше месяца, и их мощность доходила до умопомрачительных по тем временам 10 Гбит/с. Атака была необычной, в ней использовались не только и не столько ботнеты, но и файлообменные пиринговые сети, что и в мировой практике на тот момент практически не встречалось - только в рамках исследовательских проектов. Злодеи установлены не были.
Для России этот DDoS стал поворотным и знаковым. Упал Интернет большого сегмента, и, хоть ты тресни, ничего сделать не получалось довольно долго. До этой истории угроза DDoS особо никого не интересовала, а после она стала остроактуальной и важной проблемой. Появились технологии, телекомы начали активно внедрять всякие специализированные железки. Мы, кстати, тоже по стопам этой атаки включились - разработали свое решение.
8. Политический DDoS в России (2011-2012)
С декабря 2011г. по март 2012г. в России случился большой политический сезон - выборы в Госдуму, выборы Президента, уличные демонстрации, а заодно по рунету прокатилась перестрелка DDoS-м. Ддосили оппозиционные сайты, ддосили проправительственные ресурсы, ЖЖ то лежал, то возвращался к жизни. Интересного во всей этой кутерьме были две вещи:
а) Впервые киберпреступные методы настолько широко, откровенно и массово применялись для достижения политических целей.
б) Для нас многие атаки стали сюрпризом. Мы боремся с малварой и видим множество ботнетов, но многие ДДоСы той поры мы вообще не засекли. И это было очень странно. В общем, то был важный урок для нас.
Что будущее нам готовит?
На 2011-м DDoS не закончился, а, скорее, наоборот. За последние десятилетия выросла целая криминальная отрасль DDoS-атак, полностью коммерческая. Мотивация простая – деньги, "преступление как услуга", заваливание или торможение ресурсов на заказ. И хактивисты тоже активно используют DDoS, да и всякие кибервоенные по всему миру, наверняка, такие инструменты в арсенале имеют.
Сегодня трудно представить эпидемию типа Slammer-а (три раза плюю через плечо, потому что в мире, где миллиарды "умных" и дырявых устройств подключены к интернету и обмениваются данными, возможно всякое). Но злодеи тоже не дремлют, и недавний ДДоС на "Интернете вещей" – хорошее подтверждение. Наша зависимость от Интернета и "умных" устройств растёт, а вместе с зависимостью растёт и потенциальный ущерб от любых аварий и отключений, включая рукотворные.
В общем, пока что мир так и застыл - немного в тёмном прошлом, немного в опасном будущем. А между ними – тревожное настоящее. Поводы для осторожного оптимизма есть, но, боюсь, что мы ещё увидим немало неприятных атак.
2016-11-21 15:11 (UTC)
совпадение?
не думаю
2016-11-21 16:08 (UTC)
2016-11-21 21:20 (UTC)
2016-11-21 16:07 (UTC)
Спасибо.
Где больше всего вирусописателей?
В Китае или в РФ?
2016-11-22 07:53 (UTC)
2016-11-21 21:17 (UTC)
Так это было из-за DDoS-атаки? Мне помнится вы писали, что ЖЖ никто не DDoS-л.
2016-11-22 01:25 (UTC)
2016-11-22 08:41 (UTC)
2016-11-22 09:41 (UTC)
а вы случаем не из антифа? или это селигерские организовывали?
2016-11-22 11:09 (UTC)
2016-11-22 14:02 (UTC)
2016-11-22 14:50 (UTC)
2016-11-23 00:58 (UTC)
2016-11-22 21:19 (UTC)
Да, помним:
2016-12-04 09:20 (UTC)