К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

Как атаковали «Живой Журнал»

Как атаковали «Живой Журнал»
Программное обеспечение, гарантирующее бесперебойную работу Livejournal, оказалось уязвимым

Автор — генеральный директор Highloadlab

В начале апреля один из самых популярных сервисов блогов LiveJournal подвергся хакерским атакам. Обе атаки — 4 и 6 апреля — достигли своей цели: сервис был практически полностью недоступен для пользователей. На сегодняшний день, трудности в работе с блог-платформой продолжаются.

К сожалению, у специалистов нет точных сведений о том, как проходила атака на Livejournal.com 4 апреля и какие компоненты сервиса были атакованы. Вся информация об атаке получена в результате независимого анализа состояния сервиса и параметров отдельных ботов, что, конечно, мешает составить исчерпывающую картину атаки.

 

Так или иначе, важную роль в успехе этой атаки, несомненно, сыграла уязвимость программного обеспечения, гарантирующего бесперебойную работу Livejournal. Нужно понимать, что популярные и известные интернет-сервисы, наподобие ВКонтакте.ру или Хабрахабра, постоянно испытывают DDoS-атаки различной мощности. Например, сайт highloadlab.com находится под ударом DDoS-атак практически в круглосуточном режиме 7 дней в неделю. Злоумышленники тестируют новые технологии именно на известных веб-сервисах, и популярные сайты в массе своей готовы — или должны быть готовы — к серьезным DDoS-атакам. Проблемы у таких сайтов появляются тогда, когда при обновлении программного обеспечения сайта не делается должный акцент на эффективность и безопасность внедряемых изменений. Чем же так опасны DDoS-атаки?

DDoS — это подмножество класса атак на «отказ в обслуживании», для которого характерен элемент распределенности. У атаки нет единого источника, она осуществляется из различных стран и сетей, что значительно затрудняет поиск и устранение источника атаки. Принцип работы этого класса атак всегда одинаков: найти в информационной системе ограниченный ресурс и исчерпать его, оттеснив запросы «обычных» пользователей. Например, использовав максимальное количество соединений, которое может обслужить cервер, гарантированно заблокировать доступ к нему всем обычным пользователям, тем самым «выключив» его для аудитории.

 

Известны сотни различных методик проведения DDoS-атак. Можно выделить два самых популярных: DDoS, проводимый с применением «ботнета», и новый, набирающий популярность, «социальный» DDoS. В первом случае владелец компьютера или любого подключенного к сети устройства становится соучастником преступления без его ведома, во втором случае (wiki: LOIC ) люди добровольно присоединяются к атаке на какой-либо ресурс с целью заявить свой протест. Наиболее яркими примерами «социального» DDoS можно назвать успешные атаки на крупнейшие платежные и банковские системы, вызванные преследованием WikiLeaks, а также атаку на онлайн-сервисы компании Sony, произошедшую одновременно с атаками на Livejournal и вызванную судебными разбирательствами компании с хакером Geohot. В случае с Livejournal атака была проведена с использованием ставшего классикой метода — посредством ботнета.

Ботнет — это множество подключенных к сети инфицированных вредоносным программным обеспечением устройств — ботов (сокращеннно от робот), объединенных в одну сеть. Полностью подконтрольная злоумышленникам, она может использоваться для самых разных целей: рассылки спама, распространения вредоносного ПО и увеличения размеров ботнета, махинаций с рекламой и партнерскими программами и, конечно, DDoS-атак.

То, что атаки на Sony и Livejournal являлись технологичными, сомнения не вызывает. Обе компании имеют мощную информационную инфраструктуру и штат опытных технических специалистов, но и в том и в другом случаях атаки достигли цели — обслуживание пользователей было приостановлено.

 

Но почему Sony быстро, в течение нескольких часов, нейтрализовала угрозу, а LiveJournal испытывает проблемы уже несколько дней, теряя аудиторию и репутацию? Ответ прост: Sony обратилась к компании, занимающейся фильтрацией трафика. Безусловно, это достаточно субъективная оценка, если учесть, что мы работаем именно в этой сфере. Однако немаловажным в данном случае является то, что у нас есть возможность профессионально рассказать, что в действительности происходило с ЖЖ и как лучше всего было действовать с технологической точки зрения. Ведь LiveJournal по каким-то причинам решил противодействовать атакам своими силами, хотя нам известно, что предложения от российских и зарубежных компаний, работающих на рынке подобного рода услуг, им поступали и стоимость этих услуг существенно ниже потерь даже от одного дня простоя сервиса LiveJournal.

Стоимость же ликвидации последствий атаки и блокирования дальнейших попыток вывести из строя работу сервиса зависит от нескольких факторов.

Во-первых, прямая зависимость от обьемов трафика. У ЖЖ сегодня канал 2 гигабита. В России гигабитный канал с гарантированной полосой стоит 320 000 рублей в месяц. По информации, опубликованной сотрудниками SUP, обьемы легитимного трафика LiveJournal составляют порядка 400 мегабит/c. Это значит, что стоимость услуг по фильтрации трафика не привышала бы $10 000 в месяц. Однозначно меньше, чем стоил день самой атаки, по информации самого LiveJournal.

Во-вторых, не менее важно количество запросов. Необходимо анализировать каждый запрос, а это вычислительные мощности от ожиданий клиента по уровню сервиса (SLA). Автоматика срабатывает не всегда.

В-третьих, важно понимать, когда будет выделен инженер, который займется решением проблемы, сколько времени у него есть. Ведь это все зарплатный фонд. Специалисты нынче дорого ценятся.

 

В современных технологичных DDoS-атаках ботнет полностью имитирует поведение «обычных» пользователей, что значительно усложняет процесс отсева вредоносного трафика — без поведенческого анализа и его математического моделирования не обойтись. И проводятся эти атаки не «очкариками»-одиночками, а профессиональными криминальными группировками с четко расписанными ролями и функциями, работающими посменно и круглосуточно. В таких условиях DDoS-атака начинает напоминать карточную игру Magic The Gathering, где соперники, доставая все новые карты, постоянно меняют стратегию боя. У специализированных компаний, как правило, уже существует специальное оборудование и алгоритмы, которые в автоматическом режиме отслеживают изменения в стратегии атаки и принимают меры к противодействию.

Помимо алгоритмики необходимы также вычислительные и канальные мощности, поскольку скорость атаки может достигать десятков гигабит. В распоряжении LiveJournal, судя по отчетам его сотрудников, имелось всего 2 гигабита канальной емкости. Это в 5 раз больше, чем нормальный трафик LiveJournal, но и этого оказалось недостаточно, чтобы справиться с первой атакой.

Когда нас спрашивают о мощности той или иной атаки, мы обычно отшучиваемся: «Атака прошла успешно, мощность взрыва составила 18 мегатонн». На самом деле существует множество методик атак, и каждая из них будет иметь свой набор метрик, описывающих ее мощность. Но единственно верной метрикой мы считаем успешность. Если атака вывела ресурс из строя, количество гигабит, мегапакетов или килозапросов в секунду уже вторично. Идеальной, на наш взгляд, является атака, при которой все метрики информационной системы находятся в пределах нормы, но пользователи лишены доступа к информации.

Контекст явления может быть политическим, социальным, экономическим. Мы живем в мире, в котором все определяется доступом к информации. DDoS — это эффективный способ блокировать или сдерживать распространение определенной информации. В США в последнее время чрезвычайно популярен термин Informational Warfare. DDoS как явление в наше время имеет политический контекст в такой же мере, в какой автомат Калашникова имел в XX веке.

 

Техническая справка

4 апреля Livejournal внедрил новую систему кэширования данных. Практически сразу было замечено, что эта система работает с нареканиями: вновь опубликованные записи появлялись в живых лентах пользователей спустя значительное время. Практически одновременно с этим на ЖЖ началась DDoS-атака, имевшая успех, и чрезвычайно сложно расценивать эти события как независимые.

5 апреля Livejournal вернулся к стабильной работе, однако многие исследователи DDoS-атак продолжили наблюдение за сервисом с целью анализа потенциальной угрозы. 6 апреля сервис вновь прекратил работу из-за атаки. В этот момент удалось установить следующее:

— несмотря на полную неработоспособность заглавной страницы Livejournal.com и всех блогов ЖЖ, сервисы, расположенные в том же датацентре, на том же интернет-канале (например, pics.livejournal.com), работали без нареканий, следовательно, атака была направлена не на исчерпание размера интернет-канала;

 

— через вспомогательные серверы Livejournal можно было получить доступ к базам данных записей и пользователей ЖЖ, следовательно, атака была направлена не на базу данных Livejournal.

7 апреля Livejournal снова испытывал некоторые краткосрочные проблемы с работоспособностью, регулярно возвращая ошибку HTTP 500.

Таким образом, можно с определенной долей уверенности заявить, что атакующие воспользовались брешью именно в реализации системы кэширования записей.

Автор — генеральный директор Highloadlab

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+