Об авторе: Рамиль Хантимиров, CEO и сооснователь StormWall, российского провайдера сервиса защиты от DDoS-атак.
Под ударом: кого атакуют хакеры
С конца февраля и по сей день российские интернет-ресурсы подвергаются очень мощным по силе и продолжительности DDoS-атакам. В качестве целей атак сегодня выступают самые разные ресурсы: сайты госорганов и государственных информационных систем, банков и коммерческих предприятий, игровых и развлекательных сервисов, СМИ, спортивных и общественных организаций, образовательных и медицинских учреждений.
Охват и интенсивность атак огромны. Атакам подверглись сайты Кремля, правительства РФ, Госдумы, Совета Федерации, практически всех федеральных и многих муниципальных министерств и ведомств, арбитражных судов России. Какое-то время были недоступны порталы Госуслуг и Система быстрых платежей (СБП). «Легли» сайты Роскосмоса, РЖД и целого ряда других крупных компаний. От DDoS-атак пострадали сайты и сервисы очень многих крупных и средних банков, российского регистратора доменов Ru-Center, а также многих интернет-провайдеров и хостеров. «Свое» получили и популярные СМИ — международные (например, телекомпания RT), федеральные (в том числе ТАСС и РИА Новости, телеканал «Звезда») и региональные. Средняя продолжительность массированных DDoS-атак при этом выросла с нескольких минут до нескольких дней.
Поднявшаяся лавина атак продолжилась и в мае. Так, из-за DDoS-атаки на Единую государственную автоматизированную информационную систему учета алкоголя (ЕГАИС) у производителей спиртных напитков и их партнеров-оптовиков возникли проблемы с отгрузкой продукции. А в результате комбинированной атаки, сочетавшей в себе DDoS-воздействие с другими методами кибератак (подобные атаки нередко относят к отдельному классу угроз — Advanced Persistent Threat, APT), два дня не был доступен ключевой российский сервис видеохостинга Rutube.
Ситуация с отражением кибератак усугубляется тем, что многие популярные в России международные провайдеры сервисов защиты Anti-DDoS временно приостановили работу или ушли с рынка, в результате чего российским компаниям с пришлось срочно переключаться на новых DDoS-защитников.
Впрочем, весенние DDoS-атаки удивили не только своей мощью, размахом и продолжительностью, но и разнообразием. По нашим наблюдениям, самым распространенным видом DDoS-атак этой весной стал HTTP-флуд различных типов. Вторыми по распространенности стали атаки на DNS.
HTTP-флуд, великий и ужасный
Видов HTTP-флуда, применяемого злоумышленниками против российских интернет-ресурсов, довольно много — от простых нелегитимных запросов до попыток подстроиться под легитимные запросы браузеров, атак на различные сервисы BFF и интерфейсы API. Мощность атак временами достигает 700 тыс. HTTP-запросов в секунду.
Самыми распространенными видами HTTP-флуда стали DDoS-атаки с использованием ботнетов, скачанных пакетов инструментария для DDoS-атак и вредоносных скриптов, запускаемых в браузерах. Наиболее продвинутые злоумышленники применяли ботнеты — эти атаки оказывались и самыми мощными. Менее продвинутые скачивали рекомендованный другими пользователями пакет DDoS-инструментария, разворачивали его в контейнерах на своих ПК или арендованных виртуальных серверах, после чего запускали скрипты, инициирующие атаки.
Третий по распространенности вид DDoS-атак — с использованием инфицированных веб-страниц. Весной в Сети появилось множество сайтов с вредоносными скриптами JavaScript, запуская которые, браузеры посетителей начинают атаки на заранее подготовленные списки ресурсов. Некоторые из этих сайтов создаются специально, другие целенаправленно заражаются вредоносными скриптами. Ссылки на сайты распространяются через различные социальные сети и популярные мессенджеры, в том числе Telegram. В качестве приманки или наживки эти сайты предлагают, например, различные варианты браузерных игр: для заглянувшего «на огонек» пользователя запускается игра (на одном из сайтов встретилась игра «2048»), после чего в фоновом режиме инициируется атака с пользовательского браузера на интернет-ресурсы российских организаций. Что неприятно, атаки с таких сайтов не прекращаются: браузер, «подхвативший» JavaScript однажды посетивший такой сайт, снова и снова атакует ресурсы, намеченные злоумышленниками в качестве целей.
Среди интересных по технике видов атак можно отметить, например, флуд с использованием реальных браузеров, которые скоординированно «заходят» на сайт-жертву, снова и снова отправляя HTTP-запросы. Чтобы отфильтровать такие атаки, приходится применять особые методы, поскольку действиями браузеров непосредственно управляют люди, а не боты.
Атаки на DNS
Этой весной наблюдалось огромное количество атак на DNS. К сожалению, многие организации не позаботились заранее о защите DNS-серверов, поэтому в случае DDoS-атаки на клиента, чей DNS-провайдер был слабо защищен, наблюдались серьезные проблемы и у других клиентов того же самого DNS-провайдера, поскольку он оказывался доступен лишь частично. В подобных ситуациях проблематичной становилась и замена IP-адреса на защищенный: смена записи вместо нескольких минут занимала по несколько часов — как раз из-за того, что доступность незащищенного DNS-сервера в период атаки была существенно снижена.
Классика и экзотика DDoS
Разумеется, среди DDoS-атак мы видим много классических методов: это и SYN-флуд, и различные виды UDP-флуда, и атаки с усилением (апмлификации). Вместе с тем, почти не встречаются пакетные атаки — вероятно, потому, что они не так эффективны как, например, HTTP-флуд.
Появились весной и достаточно экзотические случаи: мы фиксировали атаки, которые шли с IP-адресов Google Cache, записанных в DNS. Дело в том, что узлы Google Cache, которые устанавливают у себя провайдеры, фиксируются в Reverse DNS (RDNS), и именно данными из RDNS пользуется DDoS-защита, чтобы определить, не пришел ли к сайту поисковый робот одной из известных поисковых систем — Google, «Яндекс» или любой другой. Злоумышленники, атаковавшие с адресов Google Cache, по-видимому, рассчитывают на то, чтобы ввести DDoS-защиту в заблуждение.
Совсем экзотика — первая на нашей памяти кибердиверсия. Некий провайдер решил уничтожить трафик, идущий на наш защищенный адрес /32, для чего стал анонсировать этот адрес в своей сети c Community на Blackhole и распространять анонс через своих провайдеров и пиринговые соединения в точках обмена трафика (IX). Разобравшись в ситуации, мы оперативно связались с центрами сетевых операций (NOC) и точками обмена трафиком, к которым был подключен этот провайдер, и договорились, чтобы они перестали принимать от него префиксы, ведущие к уничтожению трафика.
Защищайтесь, сударь!
Как показал опыт последних месяцев, не имея подключенной, проверенной и эффективной DDoS-защиты, поддерживать и развивать интернет-ресурсы уже нельзя, и в этом убедились многие отечественные компании. Даже те, кого раньше никогда не атаковали, в нынешней ситуации становятся мишенями для злоумышленников только потому, что они — российские организации. Поэтому тем компаниям и проектам, кто еще не подключил защиту от DDoS-атак, лучше все же ее подключить.
Впрочем, само по себе подключение к сервисам защиты Anti-DDoS далеко не всегда избавляет от проблем, связанных с DDoS-атаками. Очень важно добиться того, чтобы ваши интернет-ресурсы вместе с подключенными к ним сервисами защиты стали устойчивыми к DDoS-воздействиям. Для этого нужно, во-первых, правильно выбрать провайдера таких сервисов — надежного, проверенного, профессионального. Во-вторых, нужно провести совместно с ним определенную работу по выявлению уязвимых, с точки зрения DDoS-рисков, мест в ваших интернет-ресурсах и по возможности их устранить. И поскольку возможности злоумышленников неуклонно растут, а по стоимости DDoS-атаки уже доступны даже школьникам, необходимо — в-третьих — обеспечить регулярные проверки уровня защищенности ваших ресурсов — они позволят вам убедиться в том, что имеющаяся защита в достаточной степени обезопасит ресурсы от самых актуальных на текущий момент атак.