ПРОДВИЖЕНИЕ Молодежный Информационный Ресурс
  • Как атаковали «Живой Журнал»

    Апр 11

    В начале апреля один из самых популярных сервисов блогов LiveJournal подвергся хакерским атакам. Обе атаки — 4 и 6 апреля — достигли своей цели: сервис был практически полностью недоступен для пользователей. На сегодняшний день, трудности в работе с блог-платформой продолжаются.
    К сожалению, у специалистов нет точных сведений о том, как проходила атака на Livejournal.com 4 апреля и какие компоненты сервиса были атакованы. Вся информация об атаке получена в результате независимого анализа состояния сервиса и параметров отдельных ботов, что, конечно, мешает составить исчерпывающую картину атаки.Так или иначе, важную роль в успехе этой атаки, несомненно, сыграла уязвимость программного обеспечения, гарантирующего бесперебойную работу Livejournal. Нужно понимать, что популярные и известные интернет-сервисы, наподобие ВКонтакте.ру или Хабрахабра, постоянно испытывают DDoS-атаки различной мощности. Например, сайт highloadlab.com находится под ударом DDoS-атак практически в круглосуточном режиме 7 дней в неделю. Злоумышленники тестируют новые технологии именно на известных веб-сервисах, и популярные сайты в массе своей готовы — или должны быть готовы — к серьезным DDoS-атакам. Проблемы у таких сайтов появляются тогда, когда при обновлении программного обеспечения сайта не делается должный акцент на эффективность и безопасность внедряемых изменений. Чем же так опасны DDoS-атаки?

    DDoS — это подмножество класса атак на «отказ в обслуживании», для которого характерен элемент распределенности. У атаки нет единого источника, она осуществляется из различных стран и сетей, что значительно затрудняет поиск и устранение источника атаки. Принцип работы этого класса атак всегда одинаков: найти в информационной системе ограниченный ресурс и исчерпать его, оттеснив запросы «обычных» пользователей. Например, использовав максимальное количество соединений, которое может обслужить cервер, гарантированно заблокировать доступ к нему всем обычным пользователям, тем самым «выключив» его для аудитории.

    Известны сотни различных методик проведения DDoS-атак. Можно выделить два самых популярных: DDoS, проводимый с применением «ботнета», и новый, набирающий популярность, «социальный» DDoS. В первом случае владелец компьютера или любого подключенного к сети устройства становится соучастником преступления без его ведома, во втором случае (wiki: LOIC ) люди добровольно присоединяются к атаке на какой-либо ресурс с целью заявить свой протест. Наиболее яркими примерами «социального» DDoS можно назвать успешные атаки на крупнейшие платежные и банковские системы, вызванные преследованием WikiLeaks, а также атаку на онлайн-сервисы компании Sony, произошедшую одновременно с атаками на Livejournal и вызванную судебными разбирательствами компании с хакером Geohot. В случае с Livejournal атака была проведена с использованием ставшего классикой метода — посредством ботнета.
    Ботнет — это множество подключенных к сети инфицированных вредоносным программным обеспечением устройств — ботов (сокращеннно от робот), объединенных в одну сеть. Полностью подконтрольная злоумышленникам, она может использоваться для самых разных целей: рассылки спама, распространения вредоносного ПО и увеличения размеров ботнета, махинаций с рекламой и партнерскими программами и, конечно, DDoS-атак.
    То, что атаки на Sony и Livejournal являлись технологичными, сомнения не вызывает. Обе компании имеют мощную информационную инфраструктуру и штат опытных технических специалистов, но и в том и в другом случаях атаки достигли цели — обслуживание пользователей было приостановлено.

    Но почему Sony быстро, в течение нескольких часов, нейтрализовала угрозу, а LiveJournal испытывает проблемы уже несколько дней, теряя аудиторию и репутацию? Ответ прост: Sony обратилась к компании, занимающейся фильтрацией трафика. Безусловно, это достаточно субъективная оценка, если учесть, что мы работаем именно в этой сфере. Однако немаловажным в данном случае является то, что у нас есть возможность профессионально рассказать, что в действительности происходило с ЖЖ и как лучше всего было действовать с технологической точки зрения. Ведь LiveJournal по каким-то причинам решил противодействовать атакам своими силами, хотя нам известно, что предложения от российских и зарубежных компаний, работающих на рынке подобного рода услуг, им поступали и стоимость этих услуг существенно ниже потерь даже от одного дня простоя сервиса LiveJournal.
    Стоимость же ликвидации последствий атаки и блокирования дальнейших попыток вывести из строя работу сервиса зависит от нескольких факторов.

    Во-первых, прямая зависимость от обьемов трафика. У ЖЖ сегодня канал 2 гигабита. В России гигабитный канал с гарантированной полосой стоит 320 000 рублей в месяц. По информации, опубликованной сотрудниками SUP, обьемы легитимного трафика LiveJournal составляют порядка 400 мегабит/c. Это значит, что стоимость услуг по фильтрации трафика не привышала бы $10 000 в месяц. Однозначно меньше, чем стоил день самой атаки, по информации самого LiveJournal.

    Во-вторых, не менее важно количество запросов. Необходимо анализировать каждый запрос, а это вычислительные мощности от ожиданий клиента по уровню сервиса (SLA). Автоматика срабатывает не всегда.

    В-третьих, важно понимать, когда будет выделен инженер, который займется решением проблемы, сколько времени у него есть. Ведь это все зарплатный фонд. Специалисты нынче дорого ценятся.

    В современных технологичных DDoS-атаках ботнет полностью имитирует поведение «обычных» пользователей, что значительно усложняет процесс отсева вредоносного трафика — без поведенческого анализа и его математического моделирования не обойтись. И проводятся эти атаки не «очкариками»-одиночками, а профессиональными криминальными группировками с четко расписанными ролями и функциями, работающими посменно и круглосуточно. В таких условиях DDoS-атака начинает напоминать карточную игру Magic The Gathering, где соперники, доставая все новые карты, постоянно меняют стратегию боя. У специализированных компаний, как правило, уже существует специальное оборудование и алгоритмы, которые в автоматическом режиме отслеживают изменения в стратегии атаки и принимают меры к противодействию.

    Помимо алгоритмики необходимы также вычислительные и канальные мощности, поскольку скорость атаки может достигать десятков гигабит. В распоряжении LiveJournal, судя по отчетам его сотрудников, имелось всего 2 гигабита канальной емкости. Это в 5 раз больше, чем нормальный трафик LiveJournal, но и этого оказалось недостаточно, чтобы справиться с первой атакой.

    Когда нас спрашивают о мощности той или иной атаки, мы обычно отшучиваемся: «Атака прошла успешно, мощность взрыва составила 18 мегатонн». На самом деле существует множество методик атак, и каждая из них будет иметь свой набор метрик, описывающих ее мощность. Но единственно верной метрикой мы считаем успешность. Если атака вывела ресурс из строя, количество гигабит, мегапакетов или килозапросов в секунду уже вторично. Идеальной, на наш взгляд, является атака, при которой все метрики информационной системы находятся в пределах нормы, но пользователи лишены доступа к информации.

    Контекст явления может быть политическим, социальным, экономическим. Мы живем в мире, в котором все определяется доступом к информации. DDoS — это эффективный способ блокировать или сдерживать распространение определенной информации. В США в последнее время чрезвычайно популярен термин Informational Warfare. DDoS как явление в наше время имеет политический контекст в такой же мере, в какой автомат Калашникова имел в XX веке.

    Техническая справка

    4 апреля Livejournal внедрил новую систему кэширования данных. Практически сразу было замечено, что эта система работает с нареканиями: вновь опубликованные записи появлялись в живых лентах пользователей спустя значительное время. Практически одновременно с этим на ЖЖ началась DDoS-атака, имевшая успех, и чрезвычайно сложно расценивать эти события как независимые.

    5 апреля Livejournal вернулся к стабильной работе, однако многие исследователи DDoS-атак продолжили наблюдение за сервисом с целью анализа потенциальной угрозы. 6 апреля сервис вновь прекратил работу из-за атаки. В этот момент удалось установить следующее:

    — несмотря на полную неработоспособность заглавной страницы Livejournal.com и всех блогов ЖЖ, сервисы, расположенные в том же датацентре, на том же интернет-канале (например, pics.livejournal.com), работали без нареканий, следовательно, атака была направлена не на исчерпание размера интернет-канала;

    — через вспомогательные серверы Livejournal можно было получить доступ к базам данных записей и пользователей ЖЖ, следовательно, атака была направлена не на базу данных Livejournal.

    7 апреля Livejournal снова испытывал некоторые краткосрочные проблемы с работоспособностью, регулярно возвращая ошибку HTTP 500.

    Таким образом, можно с определенной долей уверенности заявить, что атакующие воспользовались брешью именно в реализации системы кэширования записей.

    Александр Лямин

    Автор — генеральный директор Highloadlab

    http://www.forbes.ru/





Интернет магазин футболок, толстовок, кепок и маек.

http://denisyakovlev.ru/shop/shirts_prital/music/reggi.html
http://denisyakovlev.ru/shop/mousepad/politic/sankcii.html
http://denisyakovlev.ru/shop/pregnant/avto/Raznoe.html
http://denisyakovlev.ru/shop/panties_boxer/animals_nature/nature.html
http://denisyakovlev.ru/shop/child_shirt/names/ne-podarok.html
Доставка по всей России и странам СНГ.

Погода в Тамбове

«Продвижение» 2013

Праздники России

+ Молодёжь Тамбовщины

Молодёжный портал

добавить на Яндекс
Пост дня. Как атаковали «Живой Журнал». Читайте и комментируйте.