Как атаковали «Живой Журнал» | Forbes.ru
$58.96
69.52
ММВБ2148.6
BRENT64.79
RTS1144.35
GOLD1244.16

Как атаковали «Живой Журнал»

читайте также
+2 просмотров за суткиOne-woman WikiLeaks: на Мальте убита журналистка, расследовавшая коррупцию в стране «Нас дидосят»: как компании бороться за сетевую безопасность? «Под колпаком у Мюллера»: зачем российскому государству свой мессенджер Семь шагов кибератаки: от разведки до ущерба +12 просмотров за суткиЛицом к лицу: российские стартапы по распознаванию лиц выходят на мировой уровень +2 просмотров за суткиЗа работой - в чат: как стартап с российскими корнями Job Today трудоустраивает европейцев +5 просмотров за суткиШкольная программа: как Facebook меняет рынок спортивных трансляций +3 просмотров за суткиНарисованный мир: “Яндекс” нашел самые популярные мультфильмы +1 просмотров за суткиВойна технологий. Как Google и Microsoft пытаются догнать Amazon на триллионном рынке облачных хранилищ Стенка на стенку: как роботы спасли разработчика игр от краха Как два эстонца создали Skype для международных денежных переводов Андрей Стрелков: фраза “Яндекс врет” стала для нас метрикой Прогноз Евро-2016: система Microsoft предсказывает победу Германии Сломать систему: правда и вымысел о русских хакерах Жозе Невеш, основатель Farfetch: "Я влюбился в этот рынок, хотя и был типичным гиком" Страсти по прослушке: информационная безопасность или нарушение личной тайны После дождичка в четверг: как алгоритмы меняют метеоданные Чат с ботом: как бизнес использует искусcтвенный интеллект «Мои партнерские встречи очень короткие. Я, я и я ведем долгие дебаты» Сдвиг парадигмы: какое будущее у биткоина Виртуальный халифат: как Россия воюет с ИГ в интернете

Как атаковали «Живой Журнал»

Александр Лямин Forbes Contributor
Программное обеспечение, гарантирующее бесперебойную работу Livejournal, оказалось уязвимым

Автор — генеральный директор Highloadlab

В начале апреля один из самых популярных сервисов блогов LiveJournal подвергся хакерским атакам. Обе атаки — 4 и 6 апреля — достигли своей цели: сервис был практически полностью недоступен для пользователей. На сегодняшний день, трудности в работе с блог-платформой продолжаются.

К сожалению, у специалистов нет точных сведений о том, как проходила атака на Livejournal.com 4 апреля и какие компоненты сервиса были атакованы. Вся информация об атаке получена в результате независимого анализа состояния сервиса и параметров отдельных ботов, что, конечно, мешает составить исчерпывающую картину атаки.

Так или иначе, важную роль в успехе этой атаки, несомненно, сыграла уязвимость программного обеспечения, гарантирующего бесперебойную работу Livejournal. Нужно понимать, что популярные и известные интернет-сервисы, наподобие ВКонтакте.ру или Хабрахабра, постоянно испытывают DDoS-атаки различной мощности. Например, сайт highloadlab.com находится под ударом DDoS-атак практически в круглосуточном режиме 7 дней в неделю. Злоумышленники тестируют новые технологии именно на известных веб-сервисах, и популярные сайты в массе своей готовы — или должны быть готовы — к серьезным DDoS-атакам. Проблемы у таких сайтов появляются тогда, когда при обновлении программного обеспечения сайта не делается должный акцент на эффективность и безопасность внедряемых изменений. Чем же так опасны DDoS-атаки?

DDoS — это подмножество класса атак на «отказ в обслуживании», для которого характерен элемент распределенности. У атаки нет единого источника, она осуществляется из различных стран и сетей, что значительно затрудняет поиск и устранение источника атаки. Принцип работы этого класса атак всегда одинаков: найти в информационной системе ограниченный ресурс и исчерпать его, оттеснив запросы «обычных» пользователей. Например, использовав максимальное количество соединений, которое может обслужить cервер, гарантированно заблокировать доступ к нему всем обычным пользователям, тем самым «выключив» его для аудитории.

Известны сотни различных методик проведения DDoS-атак. Можно выделить два самых популярных: DDoS, проводимый с применением «ботнета», и новый, набирающий популярность, «социальный» DDoS. В первом случае владелец компьютера или любого подключенного к сети устройства становится соучастником преступления без его ведома, во втором случае (wiki: LOIC ) люди добровольно присоединяются к атаке на какой-либо ресурс с целью заявить свой протест. Наиболее яркими примерами «социального» DDoS можно назвать успешные атаки на крупнейшие платежные и банковские системы, вызванные преследованием WikiLeaks, а также атаку на онлайн-сервисы компании Sony, произошедшую одновременно с атаками на Livejournal и вызванную судебными разбирательствами компании с хакером Geohot. В случае с Livejournal атака была проведена с использованием ставшего классикой метода — посредством ботнета.

Ботнет — это множество подключенных к сети инфицированных вредоносным программным обеспечением устройств — ботов (сокращеннно от робот), объединенных в одну сеть. Полностью подконтрольная злоумышленникам, она может использоваться для самых разных целей: рассылки спама, распространения вредоносного ПО и увеличения размеров ботнета, махинаций с рекламой и партнерскими программами и, конечно, DDoS-атак.

То, что атаки на Sony и Livejournal являлись технологичными, сомнения не вызывает. Обе компании имеют мощную информационную инфраструктуру и штат опытных технических специалистов, но и в том и в другом случаях атаки достигли цели — обслуживание пользователей было приостановлено.

Но почему Sony быстро, в течение нескольких часов, нейтрализовала угрозу, а LiveJournal испытывает проблемы уже несколько дней, теряя аудиторию и репутацию? Ответ прост: Sony обратилась к компании, занимающейся фильтрацией трафика. Безусловно, это достаточно субъективная оценка, если учесть, что мы работаем именно в этой сфере. Однако немаловажным в данном случае является то, что у нас есть возможность профессионально рассказать, что в действительности происходило с ЖЖ и как лучше всего было действовать с технологической точки зрения. Ведь LiveJournal по каким-то причинам решил противодействовать атакам своими силами, хотя нам известно, что предложения от российских и зарубежных компаний, работающих на рынке подобного рода услуг, им поступали и стоимость этих услуг существенно ниже потерь даже от одного дня простоя сервиса LiveJournal.

Стоимость же ликвидации последствий атаки и блокирования дальнейших попыток вывести из строя работу сервиса зависит от нескольких факторов.

Во-первых, прямая зависимость от обьемов трафика. У ЖЖ сегодня канал 2 гигабита. В России гигабитный канал с гарантированной полосой стоит 320 000 рублей в месяц. По информации, опубликованной сотрудниками SUP, обьемы легитимного трафика LiveJournal составляют порядка 400 мегабит/c. Это значит, что стоимость услуг по фильтрации трафика не привышала бы $10 000 в месяц. Однозначно меньше, чем стоил день самой атаки, по информации самого LiveJournal.

Во-вторых, не менее важно количество запросов. Необходимо анализировать каждый запрос, а это вычислительные мощности от ожиданий клиента по уровню сервиса (SLA). Автоматика срабатывает не всегда.

В-третьих, важно понимать, когда будет выделен инженер, который займется решением проблемы, сколько времени у него есть. Ведь это все зарплатный фонд. Специалисты нынче дорого ценятся.

В современных технологичных DDoS-атаках ботнет полностью имитирует поведение «обычных» пользователей, что значительно усложняет процесс отсева вредоносного трафика — без поведенческого анализа и его математического моделирования не обойтись. И проводятся эти атаки не «очкариками»-одиночками, а профессиональными криминальными группировками с четко расписанными ролями и функциями, работающими посменно и круглосуточно. В таких условиях DDoS-атака начинает напоминать карточную игру Magic The Gathering, где соперники, доставая все новые карты, постоянно меняют стратегию боя. У специализированных компаний, как правило, уже существует специальное оборудование и алгоритмы, которые в автоматическом режиме отслеживают изменения в стратегии атаки и принимают меры к противодействию.

Помимо алгоритмики необходимы также вычислительные и канальные мощности, поскольку скорость атаки может достигать десятков гигабит. В распоряжении LiveJournal, судя по отчетам его сотрудников, имелось всего 2 гигабита канальной емкости. Это в 5 раз больше, чем нормальный трафик LiveJournal, но и этого оказалось недостаточно, чтобы справиться с первой атакой. 

Когда нас спрашивают о мощности той или иной атаки, мы обычно отшучиваемся: «Атака прошла успешно, мощность взрыва составила 18 мегатонн». На самом деле существует множество методик атак, и каждая из них будет иметь свой набор метрик, описывающих ее мощность. Но единственно верной метрикой мы считаем успешность. Если атака вывела ресурс из строя, количество гигабит, мегапакетов или килозапросов в секунду уже вторично. Идеальной, на наш взгляд, является атака, при которой все метрики информационной системы находятся в пределах нормы, но пользователи лишены доступа к информации.

Контекст явления может быть политическим, социальным, экономическим. Мы живем в мире, в котором все определяется доступом к информации. DDoS — это эффективный способ блокировать или сдерживать распространение определенной информации. В США в последнее время чрезвычайно популярен термин Informational Warfare. DDoS как явление в наше время имеет политический контекст в такой же мере, в какой автомат Калашникова имел в XX веке.

Техническая справка

4 апреля Livejournal внедрил новую систему кэширования данных. Практически сразу было замечено, что эта система работает с нареканиями: вновь опубликованные записи появлялись в живых лентах пользователей спустя значительное время. Практически одновременно с этим на ЖЖ началась DDoS-атака, имевшая успех, и чрезвычайно сложно расценивать эти события как независимые.

5 апреля Livejournal вернулся к стабильной работе, однако многие исследователи DDoS-атак продолжили наблюдение за сервисом с целью анализа потенциальной угрозы. 6 апреля сервис вновь прекратил работу из-за атаки. В этот момент удалось установить следующее:

— несмотря на полную неработоспособность заглавной страницы Livejournal.com и всех блогов ЖЖ, сервисы, расположенные в том же датацентре, на том же интернет-канале (например, pics.livejournal.com), работали без нареканий, следовательно, атака была направлена не на исчерпание размера интернет-канала;

— через вспомогательные серверы Livejournal можно было получить доступ к базам данных записей и пользователей ЖЖ, следовательно, атака была направлена не на базу данных Livejournal.

7 апреля Livejournal снова испытывал некоторые краткосрочные проблемы с работоспособностью, регулярно возвращая ошибку HTTP 500.

Таким образом, можно с определенной долей уверенности заявить, что атакующие воспользовались брешью именно в реализации системы кэширования записей.

Автор — генеральный директор Highloadlab

Закрыть
Уведомление в браузере
Будь в курсе самого главного.
Новости и идеи для бизнеса -
не чаще двух раз в день.
Подписаться