На DDoS-атаку 15 февраля не тратили "миллионы долларов", и вот почему

Читаю текстовую трансляцию пресс-конференции очень ответственных служб о вчерашней DDoS-атаке. Сразу резанула глаз фраза "такая атака стоит миллионы долларов". Сейчас я вам расскажу то, что вам не хотелось знать о DDoS-атаках, но придется узнать. На черном рынке "услуга" DDoS стоит от нескольких десятков до нескольких сот долларов в час. Так что о "миллионах" говорить не приходится.

Как это работает?

Самая большая база данных в мире — DNS. В ней сопоставлены понятные людям доменные имена, и понятные компьютерам IP-адреса. Когда вы вводите в строке браузера mil точка gov точка ua, браузер сперва обращается к DNS-серверу и спрашивает, какой адрес у этого домена? Сервер отвечает — 104.18.6.221 (поздравляю МОУ с переездом за Cloudflare, давно пора). Проблема в том, что запрос маленький — от 50 байт, а ответ большой — до 8 килобайт (если есть поддержка eDNS0). Возникает "плечо" 1 к 160 (как правило меньше, чем 1:160).

Атакующий покупает сервер и начинает посылать запросы специально подобранным и абсолютно легальным DNS-серверам, а в качестве отправителя указывает адрес жертвы (подмена адреса, spoofing, работает не всегда и такие сервера стоят дороже обычных, но не очень дорого).

"Коробочный" софт для DDoS с красивым веб-интерфейсом для самых глупых киберпреступников на черном рынке стоит пару тысяч долларов. Если у сервера гигабитное подключение, то "плечо" превратит их в 20-100 гигабит мусора в секунду. Но смышленый студент третьего курса напишет такую "городушку" на коленке забесплатно. Прямо по описанию из этого поста и учебнику Стивенса о том, как писать сетевые приложения. Чекисты потратят пять косарей зелени, что для них не проблема. И вот именно в этом проблема. Это очень дешево. Защита от DDoS стоит гораздо дороже и требует определенных умений, а самое главное готовности их применять.

Федоров опубликовал информацию о том, что якобы были определены источники DDoS-атак — Россия, Китай, Узбекистан и Чехия. Такие выводы он сделал, посмотрев на скриншот с данными от Arbor (Arbor — дорогостоящий программно-аппаратный комплекс для защиты от DDoS- и других типов атак) и увидев, из каких стран идет трафик. На деле эти данные ничего не говорят о национальной принадлежности атакующих, так как показывают локацию "отражателей". Что касается местоположения атакующих, то они могли находиться в какой-угодно стране. Так что если даете Федорову скрины с Arbor, расскажите ему в следующий раз, что они значат. А 600 "узбекских" kpps — это ни о чем.

Поясню детальнее: Федоров писал, что объем вредоносного трафика на портал "Дия" составил 600 тысяч пакетов в секунду, т.е. 600 kpps. Kpps — это 1000 пакетов в секунду. Если 1 пакет занимает 1000 байт, то получится 600 мегабит в секунду, но 600 мегабит в секунду — это копейки. Если 1 гигабитом можно повалить "Дию", тогда то у нас очень серьезные проблемы. Но, думаю, что Федоров что-то начудил-намудрил. Ему, видимо, дали этот скриншот, чтобы он запостил что-то красивое и успокаивающее, но никто ему не объяснил, что означают данные на этом скриншоте. Вот он и навыдумывал всяких глупостей про 600 тысяч пакетов в секунду. К примеру, у КМДА штатный трафик — около 2 гигабит в секунду, поэтому 600 kpps не представляют угрозы.

Стыдно даже слушать подобные глупости.

Первоисточник.