DDoS война без правил и линии фронта

На правах рекламы: Электронных книги купить электронную книгу в интернет www.libring.ru.

Последние полгода выдались жаркими в геополитическом смысле. На первый план всех новостных колонок выходят события на Украине. Каждый день в период с октября 2013 г. по май 2014-го ситуация обостряется и, к сожалению, цена политического кризиса идет уже не только на миллиарды долларов, но и на сотни человеческих жизней. Традиционно самые активные «боевые действия» идут в киберпространстве. Вообще, если говорить о киберпространстве, то даже в мирное время можно сегодня констатировать не «холодную», а самую настоящую кибервойну между основными державами мира.

После единичных случаев кибердиверсий в 1980-х и 1990-х, с начала 2000-х гг. началась настоящая кибервойна без начала и конца, без каких-либо правил. Периодические протесты разных сторон ни к чему не приводят и не приведут, — раз даже в реальном мире наднациональные структуры (ООН, ОБСЕ и т.д.) оказываются бессильными под давлением мощных держав. Что говорить о киберпространстве, где доказательная база изначально добывается значительно сложнее и отсутствует понятие границ государства.

Возможно, читатели уже слышали про недавний (очередной) скандал между Китаем и США, связанный с кибершпионажем. Как обычно, никто ничего не признает. Отмечу лишь, что в подразделениях кибервойск США и Китая (самые яркие примеры: USCYBERCOM в США или НОАК 61398 в КНР) числятся сотни и тысячи военных специалистов, есть возможность задействовать подразделения ВВС, флота, разведки. Также, безусловно, растет уровень влияния хактевистов (группы хакеров по всему миру, действующие в основном по политическим мотивам и из желания прославиться).

Сегодняшняя конфликтная ситуация в соседнем государстве позволяет нам воочию наблюдать и проанализировать методы работы противоборствующих сил в киберпространстве, их основные задачи и цели в кризисах подобного уровня. Кроме того, она поможет спрогнозировать действия сторон и в случае более серьезных обострений. Все это, безусловно, поможет нам подготовиться и минимизировать негативное воздействие на наше киберпространство в кризисные моменты.

В данной статье я бы хотел оценить произошедшие события на примере самой громкой и одной из самых распространенных угроз в Интернете — DDoS-атаки.

Для начала приведу краткую сводку событий, связанных с DDoS. Разумеется, перечисляю наиболее известные и крупные инциденты, о которых было заявлено публично. Безусловно, можно привести десятки других, менее значимых. Так уж получилось, что Россия в данной ситуации оказалась вовлеченной в конфликт, поэтому все, что мы рассматриваем, характерно и для России, и для Украины с некоторыми оговорками. Также вовлеченными (или скорее вовлекающими) оказались страны НАТО.

Октябрь — декабрь 2013

• Атакован сайт партии Украины «Батышщина» (после инсталляции систем защиты от DDoS сами серверы были изъяты представителями силовых подразделений).

• Атакован сайт Центробанка России.

Январь — февраль 2014

• Атакованы информационные системы сайта «Почты России» и сайт «Ведомостей».

Март 2014

О Атакован официальный сайт Президента России (kremlin.ru), крымские сайты референдума (referendum2014.org.ua) и ряд форумов Севастополя и Крыма, сайты Банка России, МИД России, Альфабанка, ВТБ24.

• Атакованы российские биржевые площадки.

• Атакованы сети передачи данных провайдеров Интернета в России.

• Атакован сайт НАТО и NATO Cooperative Cyber Defense Center of Excellence (CCDCOE).

• Атакован сайт украинского информагентства УНИАН.

• Атакован сайт Верховного совета Крыма.

• Атакован сайт ТКС Банка. Апрель 2014

• Атакованы сайты «МК», Russia Today, «Новой Газеты».

Май 2014

• Атакован сайт информационного агентства «Украинские национальные новости».

• Атакован сайт «Известий».

• Атакован сайт ЦИК Украины.

По факту данных инцидентов можно сделать выводы

1. Большая часть значимых инцидентов произошла с ресурсами СМИ, официальными сайтами ведомств. То есть DDoS использовался как элемент информационной борьбы: лишить оппонента источника информации, парализовать работу с общественностью, снизить уровень коммуникации населения в информационном поле оппонента.

2. Достаточно «популярен» оказался финансовый сектор. Здесь в ряде случаев был элемент диверсии, хотя наверняка чаще это была нечистоплотная конкурентная борьба: «под шумок» навредить конкуренту.

3. Значительная часть инцидентов приписывается хактевистам. Основные хактевисты, «представляющие обе стороны»: Anonymous Ukraine, Юберсотня и Киберберкут.

4. Аномальная активность DDoS-атак точно совпала с началом эскалации политического кризиса на Украине. Этот эффект прослеживается четко. И по мере втягивания других сторон инциденты в аномальном количестве появляются и у них.

Статистика

Анализируя активность DDoS, всегда нужно учитывать тот факт, что из года в год интенсивность и сложность DDoS-атак растет. Поэтому нужно обязательно рассматривать текущую ситуацию, сравнивая ее с общей картиной в целом и отделить «нормальный рост» от «аномального роста» количества и/или объема DDoS-атак.

Пользуясь сервисом http://www.digitalattackmap.com/ (совместная разработка Arbor Networks и Google), можно получить наглядную картину по миру по объему и характеру DDoS.

Видно, что за год в мировом масштабе происходящие с октября 2013 г. на Украине события не имеют заметного влияния на общую картину. Заметный (многократный) рост объема DDoS-атак наблюдается только в многолетней перспективе.

Теперь посмотрим на картину по России: здесь видно резкое нарастание объема DDoS с начала 2014 г. (и в основном с марта, что совпадает с известными событиями в Крыму), и пик пришелся на март — апрель.

Примерно похожая картина наблюдалась на Украине, с той разницей, что всплески объема DDoS там наблюдались уже с октября 2013 г., причины чего также вполне понятны.

Учитывая, что DDoS в значительной степени генерировался хактевистами в ответ на нарастание напряженности и политического кризиса, то не удивительно, что на Украине крупные инциденты наблюдаются с октября 2013 г. (отказ от евроинтеграции и начало майдана).

По характеру и природе чаще наблюдались Volumetric DDoS-атаки.

Теперь, рассмотрим глубже характер инцидентов (поквартально в Q4 2013 г. и Q1 2014 г.) по России и Украине (здесь приведены данные системы Arbor Atlas):

Q4 2013 Украина

Количество DDoS атак: 9370.

Максимальная атака (в пике): около 69 Гбит/с (6 млн пакетов в секунду).

Q1 2014 Украина

Количество DDoS-атак: 1310.

Максимальная атака (в пике): около 211 Гбит/с (56 млн пакетов в секунду).

Q4 2013 Россия

Количество DDoS-атак: 11 635.

Максимальная атака (в пике): около 133 Гбит/с (13 млн пакетов в секунду).

Q1 2014 Россия

Количество DDoS-атак: более 7187.

Максимальная атака (в пике): около 125 Гбит/с (33 млн пакетов в секунду).

Выводы

Пользуясь данными диаграммами и статистикой, можно сделать следующие выводы:

1. И в России, и на Украине в сравнении Q1 2014 г. и Q4 2013 г. наблюдалось снижение общего числа DDOS-атак (в разы), но одновременно и многократно увеличилась интенсивность. Также увеличилась продолжительность DDoS-атак. То есть в среднем участники «боевых действий» прекратили размениваться по мелочам и перешли с мелких диверсий к серьезным и масштабным действиям в киберпространстве. По России, несмотря на то что (казалось бы) снизилось число инцидентов и даже максимально зарегистрированная DDoS-атака в Q1 2014 г. чуть уступает Q4 2013 г. (125 и 133 Гбит/с соответственно), общий объем крупных атак в Q1 2014 г. значительно (в разы) превышает Q4 2013.

2. Весьма показательно, что распределение атакуемых сервисов по номерам TCP/UDP портов в Q1 2014 г. смещается в сторону конкретных портов диапазона well known. То есть меньшая хаотичность при выборе сервисов и протоколов объясняется конкретными целями, в частности акцентом на Web-ресурсы СМИ и государственные структуры.

3. Большая нацеленность подтверждается и увеличением среднего времени (продолжительности) DDoS-атаки.

В целом ситуация наглядно продемонстрировала, как могут и будут использоваться DDoS-атаки в условиях острого политического и межгосударственного кризиса. DDoS явился полноценной частью информационной борьбы. В случае более серьезных конфликтов, думаю, DDoS начнет массово использоваться и против инфраструктуры операторов связи разных уровней (хотя уже сейчас, по средней мировой статистике, 2/3 атак — на Tier 2 и 1/5 — на Tier 1. Но как мы смогли убедиться на примере недавнего конфликта, в первую очередь меняется агрессивность атак, а не их количество). То есть задачи DDoS расширятся с задач информационной борьбы до задач кибердиверсий. Пока ситуация на Украине не соответствовала столь жесткому сценарию применения DDoS.

Безусловно, учитывая тенденции по среднему увеличению объема DDoS-атак и их сложности, следующие конфликты будут сопровождаться значительно более интенсивными DDoS-атаками. Обычно армии готовятся к войнам прошлого и оказываются не готовыми к войнам настоящего. Защитить или минимизировать эффект от киберугроз и DDoS, в частности, может государственная стратегия защиты операторов связи национального уровня. С технической точки зрения понадобятся системы очистки от DDoS, сопоставимые по производительности с пропускной способностью основных каналов операторов связи, иерархические системы подавления DDoS, способные инициировать очистку на уровень выше (Tier 1/2/3/Пред-приятие/ЦОД/Хостинг), продуманные концепции защищенной настройки сетевого оборудования.

Значительная часть основных операторов связи России уже развивает системы защиты от DDoS. Если говорить о хостинг-площадках, СМИ, финансовых и торговых площадках, государственных интернет-сервисах, то факт наличия серьезных угроз им уже очевиден: можно заключить, что они станут первой целью в кризисные периоды.