Як атакували «Живий Журнал »

Програмне забезпечення , яке гарантуватиме безперебійну роботу Livejournal , виявилося уразливим

Автор – генеральний директор Highloadlab

На початку квітня один з найпопулярніших сервісів блогів LiveJournal піддався атакам хакерів . Обидві атаки – 4 і 6 квітня – досягли своєї мети : сервіс був практично повністю недоступний для користувачів. На сьогоднішній день , труднощі в роботі з блог- платформою тривають. 50 На жаль , у фахівців немає точних відомостей про те , як проходила атака на Livejournal . com 4 квітня і які компоненти сервісу були атаковані . Вся інформація про атаку отримана в результаті незалежного аналізу стану сервісу і параметрів окремих ботів , що, звичайно , заважає скласти вичерпну картину атаки.

Так чи інакше , важливу роль в успіху цієї атаки , безсумнівно , зіграла уразливість програмного забезпечення , що гарантує безперебійну роботу Livejournal. Потрібно розуміти , що популярні і відомі інтернет -сервіси , на зразок Вконтакте.ру або Хабрахабра , постійно відчувають DDoS – атаки різної потужності. Наприклад , сайт highloadlab.com знаходиться під ударом DDoS -атак практично в цілодобовому режимі 7 днів на тиждень. Зловмисники тестують нові технології саме на відомих веб – сервісах , і популярні сайти в масі своїй готові – або повинні бути готові – до серйозних DDoS -атакам . Проблеми у таких сайтів з’являються тоді , коли при оновленні програмного забезпечення сайту не робиться відповідний акцент на ефективність і безпеку впроваджуваних змін . Чим же так небезпечні DDoS – атаки ?

DDoS – це підмножина класу атак на «відмова в обслуговуванні » , для якого характерний елемент розподіленості . У атаки немає єдиного джерела , вона здійснюється з різних країн і мереж , що значно ускладнює пошук і усунення джерела атаки. Принцип роботи цього класу атак завжди однаковий: знайти в інформаційній системі обмежений ресурс і вичерпати його , відтіснивши запити «звичайних » користувачів . Наприклад , використавши максимальну кількість з’єднань , яке може обслужити cервер , гарантовано заблокувати доступ до нього всім звичайним користувачам , тим самим « вимкнувши » його для аудиторії.

Відомі сотні різних методик проведення DDoS – атак. Можна виділити два найпопулярніших : DDoS , що проводиться із застосуванням « ботнету » , і новий , що набирає популярність , «соціальний» DDoS . У першому випадку власник комп’ютера або будь-якого підключеного до мережі пристрою стає співучасником злочину без його відома , в другому випадку ( wiki : LOIC ) люди добровільно приєднуються до атаки на який-небудь ресурс з метою заявити свій протест. Найбільш яскравими прикладами «соціального» DDoS можна назвати успішні атаки на найбільші платіжні та банківські системи , викликані переслідуванням WikiLeaks, а також атаку на онлайн -сервіси компанії Sony , що сталася одночасно з атаками на Livejournal і викликану судовими розглядами компанії з хакером Geohot . У випадку з Livejournal атака була проведена з використанням став класикою методу – за допомогою ботнету .

Ботнет – це безліч підключених до мережі інфікованих шкідливим програмним забезпеченням пристроїв – ботів ( сокращеннно від робот ) , об’єднаних в одну мережу . Повністю підконтрольна зловмисникам , вона може використовуватися для самих різних цілей : розсилки спаму , поширення шкідливого ПЗ і збільшення розмірів ботнету , махінацій з рекламою і партнерськими програмами і, звісно , DDoS – атак.

Те , що атаки на Sony і Livejournal були технологічними, сумніву не викликає . Обидві компанії мають потужну інформаційну інфраструктуру і штат досвідчених технічних фахівців , але і в тому і в іншому випадках атаки досягли мети – обслуговування користувачів було призупинено.

Але чому Sony швидко, протягом декількох годин , нейтралізувала загрозу , а LiveJournal відчуває проблеми вже кілька днів , втрачаючи аудиторію і репутацію ? Відповідь проста: Sony звернулася до компанії, що займається фільтрацією трафіку. Безумовно , це досить суб’єктивна оцінка , якщо врахувати , що ми працюємо саме в цій сфері. Проте важливим в даному випадку є те , що у нас є можливість професійно розповісти , що насправді відбувалося з ЖЖ і як найкраще було діяти з технологічної точки зору. Адже LiveJournal з якихось причин вирішив протидіяти атакам своїми силами , хоча нам відомо , що пропозиції від російських і зарубіжних компаній, що працюють на ринку подібного роду послуг , їм надходили і вартість цих послуг суттєво нижче втрат навіть від одного дня простою сервісу LiveJournal. < / p >

Вартість же ліквідації наслідків атаки і блокування подальших спроб вивести з ладу роботу сервісу залежить від декількох факторів.

перше, пряма залежність від обсягів трафіку. У ЖЖ сьогодні канал 2 гигабіта . У Росії гігабітний канал з гарантованою смугою коштує 320 000 рублів на місяць. За інформацією, опублікованою співробітниками SUP , об’єми легітимного трафіку LiveJournal становлять близько 400 мегабіт / c . Це означає , що вартість послуг з фільтрації трафіку не перевищує б $ 10 000 на місяць . Однозначно менше , ніж коштував день самої атаки , за інформацією самого LiveJournal.

друге, не менш важливо кількість запитів. Необхідно аналізувати кожен запит , а це обчислювальні потужності від очікувань клієнта за рівнем сервісу ( SLA) . Автоматика спрацьовує не завжди.

третє, важливо розуміти , коли буде виділений інженер , який займеться вирішенням проблеми , скільки часу у нього є. Адже це все зарплатний фонд . Фахівці нині дорого цінуються .

У сучасних технологічних DDoS – атаках ботнет повністю імітує поведінку «звичайних » користувачів , що значно ускладнює процес відсіву шкідливого трафіку – без поведінкового аналізу та його математичного моделювання не обійтися. І проводяться ці атаки не « очкариками » – одинаками , а професійними кримінальними угрупованнями з чітко розписаними ролями і функціями, що працюють позмінно і цілодобово. У таких умовах DDoS – атака починає нагадувати карткову гру Magic The Gathering , де суперники , дістаючи всі нові карти , постійно змінюють стратегію бою. У спеціалізованих компаній , як правило , вже існує спеціальне обладнання та алгоритми , які в автоматичному режимі відстежують зміни в стратегії атаки і вживають заходів до протидії .

Крім алгоритмики необхідні також обчислювальні і канальні потужності , оскільки швидкість атаки може досягати десятків гігабіт . У розпорядженні LiveJournal , судячи зі звітів його співробітників , було всього 2 гигабіта канальної ємності. Це в 5 разів більше , ніж нормальний трафік LiveJournal , але й цього виявилося недостатньо , щоб впоратися з першою атакою.

Коли нас запитують про потужності тієї чи іншої атаки , ми зазвичай відбувається жартами : « Атака пройшла успішно , потужність вибуху склала 18 мегатонн ». Насправді існує безліч методик атак , і кожна з них матиме свій набір метрик , що описують її потужність . Але єдино вірною метрикою ми вважаємо успішність . Якщо атака вивела ресурс з ладу , кількість гігабіт , мегапакетов або кілозапросов в секунду вже вдруге . Ідеальною , на наш погляд , є атака , при якій всі метрики інформаційної системи знаходяться в межах норми , але користувачі позбавлені доступу до інформації.

Контекст явища може бути політичним , соціальним , економічним . Ми живемо в світі , в якому все визначається доступом до інформації. DDoS – це ефективний спосіб блокувати або стримувати поширення певної інформації. У США останнім часом надзвичайно популярний термін Informational Warfare . DDoS як явище в наш час має політичний контекст в такій же мірі, в якій автомат Калашникова мав в XX столітті.

Технічна довідка

4 квітня Livejournal впровадив нову систему кешування даних. Практично відразу було відмічено , що ця система працює з наріканнями : знову опубліковані записи з’являлися в живих стрічках користувачів через значний час . Практично одночасно з цим на ЖЖ почалася DDoS – атака , що мала успіх , і надзвичайно складно розцінювати ці події як незалежні .

5 квітня Livejournal повернувся до стабільної роботи , однак багато дослідників DDoS -атак продовжили спостереження за сервісом з метою аналізу потенційної загрози . 6 квітня сервіс знову припинив роботу через атаки. У цей момент вдалося встановити наступне :

– незважаючи на повну непрацездатність заголовної сторінки Livejournal.com і всіх блогів ЖЖ , сервіси , розташовані в тому ж датацентрі , на тому ж інтернет -каналі (наприклад , pics.livejournal . com ) , працювали без нарікань , отже , атака була спрямована не на вичерпання розміру інтернет-каналу ,

– через допоміжні сервери Livejournal можна було отримати доступ до баз даних записів і користувачів ЖЖ , отже , атака була спрямована не на базу даних Livejournal.

7 квітня Livejournal знову відчував деякі короткострокові проблеми з працездатністю , регулярно повертаючи помилку HTTP 500.

Таким чином , можна з певною часткою впевненості заявити , що атакуючі скористалися проломом саме в реалізації системи кешування записів .

Автор – генеральний директор Highloadlab

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.