На DDoS-атаку 15 лютого не витрачали "мільйони доларів", і ось чому
На чорному ринку "послуга" DDoS коштує від кількох десятків до кількох сотень доларів на годину. Захист від DDoS коштує набагато дорожче за її організацію і вимагає певних умінь, а найголовніше — готовності їх застосовувати.
Читаю текстову трансляцію пресконференції дуже відповідальних служб про вчорашню DDoS-атаку. Відразу врізалась в око фраза "така атака коштує мільйони доларів". Зараз я вам розповім те, що вам не хотілося знати про DDoS-атаки, але доведеться дізнатися. На чорному ринку "послуга" DDoS коштує від кількох десятків до кількох сотень доларів на годину. Тож про "мільйони" говорити не доводиться.
Як це працює?
Найбільша база даних у світі – DNS. У ній зіставлені зрозумілі людям доменні імена, і зрозумілі комп'ютерам IP-адреси. Коли ви вводите в рядку браузера mil точка gov точка ua, браузер спочатку звертається до DNS-сервера і запитує: яка адреса цього домену? Сервер відповідає — 104.18.6.221 (вітаю МОУ з переїздом за Cloudflare, давно час). Проблема в тому, що запит маленький – від 50 байтів, а відповідь велика – до 8 кілобайтів (якщо є підтримка eDNS0). Виникає "плече" 1 до 160 (зазвичай менше, ніж 1:160).
Нападник купує сервер і починає надсилати запити спеціально підібраним і абсолютно легальним DNS-серверам, а як відправника вказує адресу жертви (підміна адреси, spoofing, працює не завжди й такі сервери коштують дорожче за звичайні, але не дуже дорого).
"Коробковий" софт для DDoS з красивим вебінтерфейсом для найдурніших кіберзлочинців на чорному ринку коштує кілька тисяч доларів. Якщо в сервера гігабітне підключення, то "плече" перетворить їх на 20-100 гігабіт сміття за секунду. Але тямущий студент третього курсу напише таку "городушку" на коліні безплатно. Прямо за описом з цього поста та підручником Стівенса про те, як писати мережеві програми. Чекісти витратять п'ять косарів зелені, що для них не проблема. І ось саме в цьому проблема. Це дуже дешево. Захист від DDoS коштує набагато дорожче і потребує певних умінь, а найголовніше – готовності їх застосовувати.
Федоров опублікував інформацію про те, що нібито визначили джерела DDoS-атак — Росія, Китай, Узбекистан та Чехія. Такі висновки він зробив, подивившись на скриншот з даними від Arbor (Arbor – дорогий програмно-апаратний комплекс для захисту від DDoS- та інших типів атак) та побачивши, з яких країн йде трафік. Насправді ці дані нічого не говорять про національну приналежність нападників, оскільки показують локацію "відбивачів". Що стосується розташування нападників, то вони могли перебувати в будь-якій країні. Тож якщо даєте Федорову скриншоти з Arbor, розкажіть йому наступного разу, що вони означають. А 600 "узбецьких" kpps — це ні про що.
Поясню докладніше: Федоров писав, що обсяг шкідливого трафіку на портал "Дія" становив 600 тисяч пакетів за секунду, тобто. 600 kpps. Kpps – це 1000 пакетів на секунду. Якщо 1 пакет займає 1000 байт, то вийде 600 мегабітів на секунду, але 600 мегабітів на секунду — це копійки. Якщо 1 гігабітом можна повалити "Дію", тоді ми маємо дуже серйозні проблеми. Але, гадаю, що Федоров щось начудив-намудрив. Йому, мабуть, дали цей скриншот, щоб він запостив щось гарне та заспокійливе, але ніхто йому не пояснив, що означають дані на цьому знімку з екрана. Ось він і навигадував всяких дурниць про 600 тисяч пакетів за секунду. Наприклад, у КМДА штатний трафік — близько 2 гігабіт на секунду, тому 600 kpps не становлять загрози.
Соромно навіть слухати подібні дурниці.