This page has been robot translated, sorry for typos if any. Original content here.

Welches Land, solche und DOS-Angriffe

Какая страна, такие у нее и DOS-атаки
Jede Woche kündigt mindestens eine sozialpolitische Internetressource einen überlebten DOS-Angriff an. Das Problem von DDOS lösen verschiedene Sites unterschiedlich. Einige "kämpfen" ihre Bemühungen ab, andere - ziehen Anbieter an, und andere - "legen sich hin" und warten, "wenn das alles vorbei ist".
Aber alle sind von einem brennenden Wunsch vereint: den Bösewicht zu finden. Und auch - wie kann man DDOS beim nächsten Mal verhindern? Und auch wenn der erste Wunsch danach an Relevanz verliert, ist die Aufgabe „Wie man sich vor einem Angriff verteidigen kann“ dauerhaft.

„ProIT“ bat Alexander Olshansky, stellvertretender Vorstandsvorsitzender der InAU (Internet Association of Ukraine), um eine Antwort. Darüber hinaus kann er dieses Problem von verschiedenen Seiten aus betrachten - als Präsident des größten Hosting-Providers der Ukraine, MiroHost.net, und als Vorstandsmitglied von InAU, der maßgeblichsten Organisation, die sich mit der Lösung akuter Probleme in Uanet befasst.

Begann keine Fertigkeit:

- Alexander, tut mir leid für die primitive erste Frage, aber trotzdem: Kann man einen DOS-Angriff mit minimalen Verlusten "abwehren"?

- Das kannst du

- Aber nicht jeder in der Ukraine tut es ...

- Warum? Einige unserer Kunden haben sich mehr als einmal „zurückgeschlagen“. In der Ukraine gibt es keine Angriffe mit einer Kapazität von mehr als einer Million Paketen pro Sekunde. Ich habe solche DDOS in der Ukraine nicht gesehen. Für unser Land sind Zahlen in der Größenordnung von Zehntausenden von Paketen pro Sekunde eher typisch.

- Millionen - das sind einige unverschämte Dinge.

- Nein, nicht weiter. Für Russland kann der charakteristische Wert beispielsweise in der Größenordnung von einem Megapaket pro Sekunde liegen (falls dies ein schwerer Angriff ist). Wenn wir über die Welt sprechen, kann die Kraft von Angriffen noch größer sein. Daher gibt es Unternehmen auf der Welt, die vor Angriffen durch DOS schützen. Wir hatten die Idee, einen solchen Service in der Ukraine anzubieten. Das Problem ist jedoch, dass hier keine effektive Nachfrage besteht. Die meisten Angriffe, mit denen wir konfrontiert sind, richten sich an Websites, die virtuelles Hosting für 8-10 USD pro Monat bezahlen. Unser Angebot in Verbindung mit DDOS, für mindestens 50 bis 70 US-Dollar pro Monat zu einem dedizierten Server zu wechseln, wird mit einer kategorischen Ablehnung beantwortet. Dementsprechend sind solche Websites nicht einmal bereit, Geld für den Schutz vor Angriffen durch DOS auszugeben.

- Und wenn Sie den DDOS-Schutzdienst bereitgestellt haben, wäre es dann notwendig, Sie zu hosten (Mirohost.net-ed)?

-  Nein Das hängt von der Technologie ab. Im Allgemeinen ist dies jedoch eine wünschenswerte, aber optionale Bedingung.

- Und wie viele Kunden sollte es geben, damit ein solcher Dienst „arbeitet“? 10-100-1000?

- Mehr als 100, wenn der Preis des Services 200-300 USD pro Monat beträgt. Das heißt, für die Aufrechterhaltung der Infrastruktur des Kampfes gegen DDOS sind pro Monat 20 bis 30.000 Dollar erforderlich.

- Arbeiten solche Unternehmen in Russland?

- Solche Unternehmen arbeiten überall. Sie können einen solchen Service jetzt im Ausland kaufen. Nur kostet es nicht 300 Dollar, sondern 3-5.000 Dollar pro Monat. Aber dann werden Sie von DDOS so abgeschnitten, dass nur ein Atomkrieg für den Standort furchterregend sein wird.

- Und wie ist die Logik eines solchen Schutzes? Ist sie klar?

- Vollkommen klar. Dies ist eine bekannte Methode. Angenommen, es gibt einen bestimmten Dienstanbieter. Er hat eine Reihe von IP-Adressen. Dieser Anbieter stellt beispielsweise seine Router und Server mit einer Firewall auf 100 Knoten weltweit. Dementsprechend tunnelt er seinen Verkehr mit geschlossenen verschlüsselten Tunneln zu diesen Punkten. Und es wird von ihnen nach außen angekündigt (hier handelt es sich um BGP-Ankündigungen). Technisch gesehen sieht es also so aus, als ob dieser Anbieter direkt mit diesen 100 Punkten verbunden ist. Angenommen, jede Inklusion kann 10 Gigabit-Verkehr verarbeiten, einschließlich „parasitären“ Datenverkehrs. Dementsprechend ist die Gesamtkapazität eine Terrabit. Dies bedeutet, dass ein Angreifer ein Terrabit des Streams (oder etwa 100 Megapakete) entwickeln muss, um ein solches System zu „hämmern“. Als Nächstes filtern Firewalls an jedem Schaltpunkt den Verkehr und werfen "Müll" aus. Der von DDOS über einen verschlüsselten Kanal gelöschte Datenverkehr wird an den geschützten Server übermittelt. Ich beschreibe das ganz einfach, aber das Prinzip ist klar. In ähnlicher Weise werden beispielsweise Root-DNSs in einer leicht modifizierten Form geschützt. Sie versuchen regelmäßig, relativ gesehen anzugreifen, um "zu trainieren". Ich kann mich nicht an die genauen Daten erinnern, aber 2007 betrug der größte DOS-Angriff etwa 40 Megapakete pro Sekunde. Ich denke, dass diese Werte jetzt um 100 Megapakete schwanken.

DOS-Angriffe sind eine kriminelle Angelegenheit. In den meisten Fällen ist es mit Erpressung verbunden. Wir haben Websites im Hosting, von denen ich sicher weiß, dass sie Geld erpresst haben. In der Regel werden Online-Shops und Online-Casinos als „Ziele“ ausgewählt, große Informationsressourcen sind Projekte, bei denen der Kontakt mit Internetnutzern mit schnellen und großen Verlusten verbunden ist. Am Vorabend des 8. März ließen die meisten ukrainischen Standorte, die Blumen verkaufen, "liegen". (Zum Dank unseres Unternehmens stelle ich fest, dass es uns zur gleichen Zeit gelang, eine ähnliche, von MiroHost.net gehostete Ressource aufrechtzuerhalten).

- Für die Ukraine reicht jedoch ein kleiner Angriff aus.

- Ich suche jemanden. Es ist jedoch klar, dass dies eine Frage des Geldes ist. Der Angreifer muss viel Geld ausgeben. Das Organisieren eines kleinen Angriffs ist einfach und kostengünstig, beispielsweise durch ein Forum. Das Erstellen eines wirklich großen und großen Angriffs ist jedoch ein sehr riskantes Geschäft. In der Welt gibt es viele bezahlte Detektivbüros, die auf das Internet spezialisiert sind.

- Suchen sie einen Angreifer? Auf welche Weise?

- Ja, sie suchen, aber in der Regel nicht mit technischen Mitteln, sondern durch einen Agenten oder beispielsweise Geld für Informationen über den Veranstalter des Angriffs. Und morgen geben die Organisatoren ihre eigenen. Denn alleine kann es nicht organisiert werden.

- Nun, warum: Trojaner starten, "Roboter" spawnen und angreifen ...

- Aber hat jemand diesen Trojaner geschrieben? Und jemand hat die Bibliothek geschrieben, und jemand hat den Compiler geschrieben, und jemand enthält ein Forum, über das der Kunde mit dem Organisator kommuniziert.

Die Geschichten, dass der Angreifer - nicht nachweisbar - nicht wahr ist. Ja, es ist teuer, aber möglich. Wenn wir über ernsthafte globale Internetquellen sprechen, sind die Folgen auch sehr ernst. Zum Beispiel kann der Kunde in einem Land, in dem 25 Jahre Haft für dieses Verbrechen vorgesehen sind, wegen dieser Straftat angeklagt werden.

- Wenn der nächste DOS-Angriff auf uns beginnt, ist der erste Gedanke: Den bestellten zu finden ... naja, und dann geht die Liste weiter ...

- Wenn wir über kleine DOS-Angriffe sprechen, entpuppt sich hier, wie die Erfahrung zeigt, oft ein 15-jähriges Kind als Organisator, der beschlossen hat, „herumzuspielen“. Obwohl dies nicht weniger gefährlich wird.

- Stelle die Frage anders. Wenn eine solche Situation simuliert werden soll: Die Zustandsmaschine ist angespannt, ein Techniker und ein Polizist kommen zu den infizierten Computern. Sie werden herausfinden, woher der Computer infiziert wurde.

- wird nicht helfen

- In Verbindung mit der Dummheit der Staatsmaschine oder davon, dass sie grundsätzlich unmöglich ist?

- Wir brauchen ein sehr spezialisiertes Werkzeug. Deshalb gibt es auf der Welt Unternehmen, die sich darauf spezialisieren. Mit einem Polizisten zu gehen ist auch das Geld wert. Und für diesen Angriff zahlten 50 Dollar.

- Nun, 500 Dollar sind noch üblicher.

- $ 500 ist bereits ein billiger Angriff. Wenn Sie mit Standardmethoden arbeiten, kann es sich herausstellen, dass Sie 500.000 Dollar für Suchanfragen ausgeben müssen. Es gibt zwei Möglichkeiten, einen Kunden zu finden: Sie können die gesamte Untersuchung für 500.000 Dollar veranlassen. Und es ist auf demselben Forum möglich, in dem diese DDOS-Produkte verkauft werden. Versprechen Sie $ 5.000 für Informationen über den Veranstalter.

In der Tat ist dies eine der effektivsten Methoden. Personen, die einen Bot-No an einen Kunden (ein Netzwerk von mit einem Virus infizierten Computern) verkauft oder geleast haben, werden dem Kunden gehören und "übergeben". Denn abgesehen von Geld interessieren sie sich für nichts. Nichts persönliches.

- Im selben Kontext, aber etwas anders. Wie fühlt sich der Hostinganbieter beim Angriff?

- Fühlt sich schlecht an. Der Hostinganbieter hat die folgenden Alternativen. Und - schalten Sie die Website aus, die dosyat. B - Schützen Sie eine kostenlose Website. Und C - für Geld schützen. In den meisten Fällen wird Option A akzeptiert, da B nicht rentabel ist und der Kunde nicht bereit ist, für C zu zahlen. MiroHost.net wiederum versucht, die Auswirkungen von DDOS auf seine Kunden zu minimieren, soweit unsere Infrastruktur dies zulässt. In vielen Fällen gelingt es uns. Zum Schutz vor großen DOS-Angriffen ist jedoch ein spezialisierter Service zu einem Preis erforderlich, der deutlich über dem Preis liegt, den die Kunden heute zahlen möchten.

- Kann sich ein Hosting-Anbieter an einem Schutzprogramm in Höhe von 5.000 US-Dollar beteiligen und alle seine Websites schützen?

- Für 5 Tausend Dollar kann das nicht, aber für 50 Tausend Dollar oder 500 Tausend Dollar - ist es möglich. Ich habe bereits gesagt, dass die Aufrechterhaltung einer Mindestinfrastruktur zum Schutz vor DDOS Zehntausende Dollar pro Monat kostet. Wenn Sie diesen Service von einem Drittanbieter kaufen, wird dies sogar noch teurer. Für ein Hosting-Unternehmen unseres Niveaus, das zu westlichen Tarifen angeboten wird, kostet eine solche Dienstleistung beispielsweise mehr als 200.000 US-Dollar pro Monat. Und wieder hat dies keinen Sinn, da die Mehrheit der Kunden nicht bereit ist, dafür zu zahlen. Nun, sagen wir, warum DDOS-Schutz der Site "Über meine geliebte Katze"? Wenn jemand 50 € ausgeben und für 2 Stunden "ausschalten" möchte, hat es keinen Sinn, ihn zu entmutigen.

- Das heißt, normalerweise sind Websites deaktiviert?

- Ich wiederhole: alles hängt von der Ressource selbst ab. Im Westen bezeichnen Hoster dies wie folgt: Wenn Sie ein Internetgeschäft haben, zahlen Sie den Anti-DOS-Schutz. In der Tat - das ist Versicherung. Schließlich gibt es kein Unternehmen, das Sie vor der Tatsache schützen kann, dass Ihnen ein Ziegelstein auf den Kopf fällt. Aber es gibt eine Firma, die Ihnen Versicherung anbietet. Hier ist das gleiche Schema. Wenn Sie eine Website haben und es als wichtig erachten, sich vor Angriffen zu schützen, bezahlen Sie spezialisierte Unternehmen, genauso wie Sie für Antivirus-Programme bezahlen.

Hosting-Provider haben damit in der Regel nichts zu tun. Einige Hoster bieten diesen Dienst jedoch in einem Hosting-Paket an. Tatsächlich handelt es sich jedoch um zwei verschiedene Dienste. Und da der Preis eines Anti-DOS-Schutzes normalerweise sehr viel höher ist, können wir davon ausgehen, dass das Hosting innerhalb dieses Dienstes kostenlos zur Verfügung gestellt wird. Die Schaffung sicherer Netzwerke ist also ein großes, schnell wachsendes Geschäft in der Welt. Wir haben auch die Möglichkeit einer solchen Dienstleistung in der Ukraine geprüft, aber wie gesagt, der Markt ist noch nicht verfügbar.

- Weil es in der Ukraine keinen Superaratk gab?

- Es ist schnell, weil in Uaneta wenig Geld ist. Die Kosten für die Sicherheit sind proportional zu der Geldmenge im Internet. Sobald Ihre Website 300.000 US-Dollar pro Monat zu verdienen beginnt, bin ich mir sicher, dass diejenigen, die "melken" möchten, gefunden werden. Ich glaube, dass es in der Ukraine nicht mehr als 50 wirklich rentable Internetprojekte gibt (Nebenhand), aber vielleicht noch weniger. Aber wenn solche Projekte 500 oder 5000 sein werden, wird der Markt erscheinen. Aber es wird nicht morgen sein. Vielleicht in drei Jahren oder sogar in fünf Jahren.

- Vielleicht pompös ..., aber immer noch über Informationssicherheit. Für ein bisschen Geld können Sie schließlich alle Regierungsbehörden einsetzen. Und vielleicht das ganze Land.

- Ja, in der modernen Welt ist dies eine Waffe. Hier zum Beispiel, wenn Sie sich an den Krieg in Georgien erinnern. Tatsächlich waren die georgischen Stätten für eine gewisse Zeit nicht verfügbar. Wenn wir über die Ukraine sprechen, ist es unmöglich, sie zu „entleeren“, da Georgien oder Estland einmal „überflutet“ wurde. Die Ukraine ist viel besser in das globale Internet eingebunden, wir haben mehr Kanäle und sie sind vielfältiger. Und Georgia war nur mit zwei Kanälen verbunden. Und dann war einer von ihnen nicht sehr gut.

Obwohl der Grund zum Entspannen, sehe ich nicht. In Anbetracht unserer Größe kostet ein solcher Angriff wesentlich mehr und es ist schwieriger, ihn zu organisieren. Aber alles hängt davon ab, wer "auf der anderen Seite". Wenn dies Amateuramateure sind, können sie höchstwahrscheinlich nicht mit der Ukraine zurechtkommen. Aber wenn man dieses Problem unter dem Gesichtspunkt der staatlichen Sicherheit in Betracht zieht, das heißt, davon auszugehen, dass der Angriff von einem wahrscheinlichen Außengegner organisiert wird, dann ist die Ukraine heute "nackt". In der Tat gibt es nur wenige "Nichtraucherländer". Es ist klar, dass die Amerikaner in der Lage sind, etwas zu tun, und die Briten, und die Europäer und vielleicht die Russen. Aber es kostet Geld und ist groß. Aus irgendeinem Grund wird die Sicherheit im Internet als selbstverständlich vorausgesetzt. Und das ist es nicht. Niemand ist überrascht, dass Sie einen Alarm ausstellen und eine Versicherung abschließen müssen. Und die Versicherung kostet 5% der Autokosten. Und der Alarm - 1-2%. Hier ist das Gleiche. Mit der Zeit stellen die Menschen fest, dass sie im Internet die gleichen Sicherheitskosten tragen müssen wie im wirklichen Leben. Ich denke, dass in der Ukraine eine solche Zeit in fünf Jahren kommen wird. Dieser Markt ist übrigens kostenlos. Jedes Unternehmen kann in diesem Fall sein Glück versuchen. Sie können sich auch nicht viel beeilen. Aber ich denke, dass es in fünf Jahren ein großer Markt sein wird. Heute wird der Umsatz von Uaneta auf 10 bis 20 Millionen US-Dollar pro Jahr geschätzt, das heißt, 1-2% werden 100 bis 200 Tausend US-Dollar betragen - und das ist alles, was der Sicherheitsmarkt behaupten kann. Das ist praktisch nichts. Und mit diesem Geld ist es unmöglich, ein Unternehmen aufzubauen. Wenn Sie zum Beispiel Russland nehmen, wo der Marktumsatz auf 1 Milliarde US-Dollar geschätzt wird, dann sind 1-2% bereits 10-20 Millionen US-Dollar. Sie sollten also warten, bis Uanet mindestens 20 Mal wächst.