This page has been robot translated, sorry for typos if any. Original content here.

Welches Land, solche und DOS-Angriffe

Какая страна, такие у нее и DOS-атаки
Jede Woche kündigt mindestens eine sozialpolitische Internet-Ressource einen überlebten DOS-Angriff an. Das Problem von DDOS lösen verschiedene Sites unterschiedlich. Einige "kämpfen" ihre Bemühungen ab, andere - ziehen Anbieter an und andere - "legen sich hin" und warten, "wenn alles vorbei ist".
Aber alle sind von einem brennenden Wunsch vereint: den Bösewicht zu finden. Und auch - wie kann man DDOS beim nächsten Mal verhindern? Und auch wenn der erste Wunsch danach an Relevanz verliert, ist die Aufgabe „Wie man sich vor einem Angriff verteidigen kann“ dauerhaft.

„ProIT“ bat Alexander Olshansky, stellvertretender Vorstandsvorsitzender der InAU (Internet Association of Ukraine), um eine Antwort. Darüber hinaus kann er dieses Problem von verschiedenen Seiten aus betrachten - als Präsident des größten Hosting-Providers der Ukraine, MiroHost.net, und als Vorstandsmitglied von InAU, der maßgeblichsten Organisation, die sich mit der Lösung akuter Probleme in Uanet befasst.

Begann keine Fertigkeit:

- Alexander, tut mir leid für die primitive erste Frage, aber trotzdem: Kann man sich mit minimalen Verlusten von einem DOS-Angriff abwehren?

- Das kannst du

- Aber nicht jeder in der Ukraine tut es ...

- Warum? Einige unserer Kunden haben sich mehr als einmal „zurückgeschlagen“. In der Ukraine gibt es keine Angriffe mit einer Kapazität von mehr als einer Million Paketen pro Sekunde. Ich habe solche DDOS in der Ukraine nicht gesehen. Für unser Land sind Zahlen in der Größenordnung von Zehntausenden von Paketen pro Sekunde eher typisch.

- Eine Million sind einige unverschämte Dinge.

- Nein, nicht weiter. Für Russland kann der charakteristische Wert beispielsweise in der Größenordnung von einem Megapaket pro Sekunde liegen (falls dies ein schwerwiegender Angriff ist). Wenn wir über die Welt sprechen, kann die Kraft von Angriffen noch größer sein. Daher gibt es Unternehmen auf der Welt, die vor Angriffen durch DOS schützen. Wir hatten die Idee, einen solchen Service in der Ukraine anzubieten. Das Problem ist jedoch, dass hier keine effektive Nachfrage besteht. Die meisten Angriffe, mit denen wir konfrontiert sind, richten sich an Websites, die virtuelles Hosting für 8-10 USD pro Monat zahlen. Unser Angebot in Verbindung mit DDOS, mindestens 50 US-Dollar pro Monat auf einen dedizierten Server umzustellen, wird durch eine kategorische Ablehnung beantwortet. Dementsprechend sind solche Websites nicht einmal bereit, Geld für den Schutz vor Angriffen durch DOS auszugeben.

- Und wenn Sie den DDOS-Schutzdienst bereitgestellt haben, wäre es dann erforderlich, dass Sie gehostet werden (Mirohost.net-ed)?

-  Nein Das hängt von der Technologie ab. Aber im Allgemeinen ist es wünschenswert, aber nicht notwendig.

- Und wie viele Kunden sollte es geben, damit ein solcher Dienst „arbeitet“? 10-100-1000?

- Mehr als 100, wenn der Preis für Dienstleistungen 200-300 USD pro Monat beträgt. Das heißt, für die Aufrechterhaltung der Infrastruktur des Kampfes gegen DDOS sind pro Monat 20 bis 30.000 Dollar erforderlich.

- Arbeiten solche Unternehmen in Russland?

- Solche Unternehmen arbeiten überall. Sie können einen solchen Service jetzt im Ausland kaufen. Nur kostet es nicht 300 Dollar, sondern 3-5.000 Dollar pro Monat. Aber dann werden Sie von DDOS so abgeschnitten, dass nur ein Atomkrieg für den Standort furchterregend sein wird.

- Und wie ist die Logik eines solchen Schutzes? Ist es klar

- Vollkommen klar. Dies ist eine bekannte Methode. Angenommen, es gibt einen bestimmten Dienstanbieter. Er hat eine Reihe von IP-Adressen. Dieser Anbieter stellt beispielsweise seine Router und Server mit einer Firewall auf 100 Knoten weltweit. Dementsprechend tunnelt er seinen Verkehr mit geschlossenen verschlüsselten Tunneln zu diesen Punkten. Und es wird von ihnen nach außen angekündigt (hier handelt es sich um BGP-Ankündigungen). Technisch gesehen sieht es also so aus, als ob dieser Anbieter direkt mit diesen 100 Punkten verbunden ist. Angenommen, jede Inklusion kann 10 Gigabit-Verkehr verarbeiten, einschließlich „parasitären“ Datenverkehrs. Dementsprechend ist die Gesamtkapazität eine Terrabit. Dies bedeutet, dass ein Angreifer ein Terrabit des Streams (oder etwa 100 Megapakete) entwickeln muss, um ein solches System zu „hämmern“. Als Nächstes filtern Firewalls an jedem Schaltpunkt den Datenverkehr und werfen „Müll“ aus. Der von DDOS gelöschte Datenverkehr über einen verschlüsselten Kanal wird an den geschützten Server übermittelt. Ich beschreibe das ganz einfach, aber das Prinzip ist klar. In ähnlicher Weise werden Root-DNSs beispielsweise in einer leicht modifizierten Form geschützt. Sie versuchen regelmäßig, relativ gesehen anzugreifen, um "zu trainieren". Ich kann mich nicht an die genauen Daten erinnern, aber 2007 betrug der größte DOS-Angriff etwa 40 Megapakete pro Sekunde. Ich denke, dass diese Werte jetzt um 100 Megapakete schwanken.

DOS-Angriffe sind eine kriminelle Angelegenheit. In den meisten Fällen ist es mit Erpressung verbunden. Wir haben Websites im Hosting, von denen ich sicher weiß, dass sie Geld erpressten. In der Regel werden Online-Shops und Online-Casinos als „Ziele“ ausgewählt, große Informationsressourcen sind Projekte, bei denen der Kontakt mit Internetnutzern mit schnellen und großen Verlusten verbunden ist. Am Vorabend des 8. März ließen die meisten ukrainischen Standorte, die Blumen verkaufen, "liegen". (Zum Dank unseres Unternehmens stelle ich fest, dass es uns gleichzeitig gelang, eine ähnliche, von MiroHost.net gehostete Ressource aufrechtzuerhalten).

- Für die Ukraine reicht jedoch ein kleiner Angriff aus.

- Ich suche jemanden. Es ist jedoch klar, dass dies eine Geldfrage ist. Der Angreifer muss viel Geld ausgeben. Das Organisieren eines kleinen Angriffs ist einfach und kostengünstig, beispielsweise durch ein Forum. Das Erstellen eines wirklich großen und großen Angriffs ist jedoch ein sehr riskantes Geschäft. In der Welt gibt es viele bezahlte Detektivbüros, die auf das Internet spezialisiert sind.

- Suchen sie einen Angreifer? Auf welche Weise?

- Ja, sie suchen, aber in der Regel nicht auf technischem Wege, sondern über einen Agenten oder beispielsweise Geld, um Informationen über den Veranstalter des Angriffs anzubieten. Und morgen geben die Organisatoren ihre eigenen. Denn alleine kann es nicht organisiert werden.

- Nun, warum: Trojaner gestartet, "Roboter" spawnen und angreifen ...

- Aber hat jemand diesen Trojaner geschrieben? Und jemand hat die Bibliothek geschrieben, und jemand hat den Compiler geschrieben, und jemand enthält ein Forum, über das der Kunde mit dem Organisator kommuniziert.

Die Geschichten, dass der Angreifer - nicht nachweisbar - nicht wahr ist. Ja, es ist teuer, aber möglich. Wenn wir über ernsthafte globale Internetquellen sprechen, sind die Folgen auch sehr ernst. Zum Beispiel kann der Kunde in einem Land, in dem 25 Jahre Haft für dieses Verbrechen vorgesehen sind, wegen dieser Straftat angeklagt werden.

- Wenn der nächste DOS-Angriff auf uns beginnt, ist der erste Gedanke: Den bestellten zu finden ... naja, und dann geht die Liste weiter ...

- Wenn wir über kleine DOS-Angriffe sprechen, stellt sich hier, wie die Erfahrung zeigt, oft ein Kind von 15 Jahren als Organisator heraus, der sich entschieden hat, „herumzuspielen“. Obwohl dies nicht weniger gefährlich wird.

- Stelle die Frage anders. Wenn eine solche Situation simuliert werden soll: Die Zustandsmaschine ist angespannt, ein Techniker und ein Polizist kommen zu den infizierten Computern. Sie werden wissen, woher der Computer kam, weiter unten in der Kette.

- wird nicht helfen

- In Verbindung mit der Dummheit der Staatsmaschine oder davon, dass sie grundsätzlich unmöglich ist?

- Wir brauchen ein sehr spezialisiertes Werkzeug. Deshalb gibt es auf der Welt Unternehmen, die sich darauf spezialisieren. Mit einem Polizisten zu gehen ist auch das Geld wert. Und für diesen Angriff zahlten 50 Dollar.

- Nun, 500 Dollar sind noch üblicher.

- $ 500 ist bereits ein teurer Angriff. Wenn Sie mit Standardmethoden arbeiten, kann es sich herausstellen, dass Sie 500.000 Dollar für Suchanfragen ausgeben müssen. Es gibt zwei Möglichkeiten, einen Kunden zu finden: Sie können die gesamte Untersuchung für 500.000 Dollar veranlassen. Und es ist in demselben Forum möglich, in dem diese DDOS-Produkte verkauft werden. Versprechen Sie $ 5.000 für Informationen über den Veranstalter.

In der Tat ist dies eine der effektivsten Methoden. Personen, die einen Bot-No an einen Kunden (ein Netzwerk von mit einem Virus-Editor infizierten Computern) verkauft oder gemietet haben, werden den Kunden selbst "übergeben". Denn abgesehen von Geld interessieren sie sich für nichts. Nichts persönliches.

- Im gleichen Zusammenhang, aber etwas anders. Wie fühlt sich der Hosting-Provider beim Angriff?

- Fühlt sich schlecht an. Der Hostinganbieter hat die folgenden Alternativen. Und - schalten Sie die Website aus, die dosyat. B - Schützen Sie eine kostenlose Website. Und C - für Geld schützen. In den meisten Fällen wird Option A akzeptiert, da B nicht rentabel ist und der Kunde nicht bereit ist, für C zu zahlen. MiroHost.net wiederum versucht, die Auswirkungen von DDOS auf seine Kunden zu minimieren, soweit unsere Infrastruktur dies zulässt. In vielen Fällen gelingt es uns. Zum Schutz vor größeren DOS-Angriffen ist jedoch ein spezialisierter Service zu einem Preis erforderlich, der deutlich über dem Preis liegt, den die Kunden heute zahlen möchten.

- Kann sich ein Hosting-Anbieter an einem Schutzprogramm über 5.000 US-Dollar beteiligen und alle seine Websites schützen?

- Für 5 Tausend Dollar kann das nicht, aber für 50 Tausend Dollar oder 500 Tausend Dollar - ist es möglich. Ich habe bereits gesagt, dass die Aufrechterhaltung einer Mindestinfrastruktur zum Schutz vor DDOS Zehntausende Dollar pro Monat kostet. Wenn Sie diesen Service von einem Drittanbieter kaufen, wird dies sogar noch teurer. Für ein Hosting-Unternehmen unseres Niveaus zu westlichen Tarifen kostet ein solcher Service beispielsweise mehr als 200.000 US-Dollar pro Monat. Und wieder hat es keinen Sinn, da die meisten Kunden nicht bereit sind, dafür zu zahlen. Nun, sagen wir, warum DDOS-Schutz der Site "Über meine geliebte Katze"? Wenn jemand 50 € ausgeben und für 2 Stunden "ausschalten" möchte, hat dies keinen Grund, dies zu verhindern.

- Das heißt, normalerweise sind Websites deaktiviert?

- Ich wiederhole noch einmal: Es hängt alles von der Ressource selbst ab. Im Westen bezeichnen Hoster dies wie folgt: Wenn Sie ein Internetgeschäft haben, zahlen Sie für den DOS-Schutz. In der Tat - das ist Versicherung. Schließlich gibt es kein Unternehmen, das Sie davor schützen kann, dass Ihnen ein Stein auf den Kopf fällt. Aber es gibt eine Firma, die Ihnen Versicherung anbietet. Hier ist das gleiche Schema. Wenn Sie eine Website haben und es als wichtig erachten, sich vor Angriffen zu schützen, bezahlen Sie spezialisierte Unternehmen, genauso wie Sie für Antivirus-Programme bezahlen.

Hosting-Provider haben damit in der Regel nichts zu tun. Einige Hoster bieten diesen Dienst jedoch in einem Hosting-Paket an. Tatsächlich handelt es sich jedoch um zwei verschiedene Dienste. Und da der Preis eines Anti-DOS-Schutzes in der Regel viel höher ist, können wir davon ausgehen, dass das Hosting im Rahmen dieses Services kostenfrei zur Verfügung gestellt wird. Die Schaffung sicherer Netzwerke ist daher das größte wachstumsstarke Unternehmen der Welt. Wir haben auch die Möglichkeit einer solchen Dienstleistung in der Ukraine geprüft, aber wie gesagt, der Markt ist noch nicht verfügbar.

- Weil es in der Ukraine keinen Superaratk gab?

- Es ist schnell, weil in Uaneta wenig Geld ist. Die Kosten für die Sicherheit sind proportional zum Geldbetrag, der im Internet fließt. Sobald Ihre Website 300.000 US-Dollar pro Monat zu verdienen beginnt, bin ich sicher, dass diejenigen, die "melken" möchten, gefunden werden. Ich glaube, dass es in der Ukraine nicht mehr als 50 wirklich rentable Internetprojekte gibt (Nebenhand), aber vielleicht noch weniger. Aber wenn solche Projekte 500 oder 5000 sind, wird der Markt erscheinen. Aber es wird nicht morgen sein. Vielleicht in drei Jahren oder sogar in fünf Jahren.

- Vielleicht pompös ..., aber immer noch über Informationssicherheit. Für ein bisschen Geld können Sie schließlich alle Regierungsbehörden einsetzen. Und vielleicht das ganze Land.

- Ja, in der modernen Welt ist dies eine Waffe. Wenn Sie sich beispielsweise an den Krieg in Georgien erinnern, waren die georgianischen Stätten für eine gewisse Zeit unzugänglich. Wenn wir über die Ukraine sprechen, ist es unmöglich, sie zu „entleeren“, da Georgien oder Estland einmal „überflutet“ wurde. Die Ukraine ist viel besser in das globale Internet eingebunden, wir haben mehr Kanäle und sie sind vielfältiger. Und Georgien war nur über zwei Kanäle miteinander verbunden. Und dann war einer von ihnen nicht sehr gut.

Obwohl der Grund zum Entspannen, sehe ich nicht. Angesichts unserer Größe kostet ein solcher Angriff wesentlich mehr und es ist schwieriger, ihn zu organisieren. Aber alles hängt davon ab, wer "auf der anderen Seite". Wenn dies Amateuramateure sind, können sie höchstwahrscheinlich nicht mit der Ukraine zurechtkommen. Wenn man dieses Problem jedoch unter dem Gesichtspunkt der staatlichen Sicherheit in Betracht zieht, dh davon auszugehen, dass der Angriff von einem möglichen Außengegner organisiert wird, ist die Ukraine heute „nackt“. In der Tat gibt es nur wenige "Nichtraucherländer". Es ist klar, dass die Amerikaner etwas können und die Briten etwas können, und die Europäer und vielleicht die Russen. Aber es kostet Geld und ist groß. Aus irgendeinem Grund wird die Sicherheit im Internet als selbstverständlich vorausgesetzt. Und das ist es nicht. Niemand ist überrascht, dass Sie das Auto alarmieren und eine Versicherung abschließen müssen. Und die Versicherung kostet 5% der Autokosten. Und der Alarm - 1-2%. Hier ist das Gleiche. Mit der Zeit stellen die Menschen fest, dass sie im Internet die gleichen Sicherheitskosten tragen müssen wie im wirklichen Leben. Ich denke, dass in der Ukraine eine solche Zeit in fünf Jahren kommen wird. Dieser Markt ist übrigens kostenlos. In diesem Fall kann jedes Unternehmen sein Glück versuchen. Sie können sich auch nicht viel beeilen. Aber ich denke, dass es in fünf Jahren ein großer Markt sein wird. Heute wird der Umsatz von Uaneta auf 10 bis 20 Millionen US-Dollar pro Jahr geschätzt, das heißt, 1-2% werden 100 bis 200 Tausend US-Dollar betragen - und das ist alles, was der Sicherheitsmarkt behaupten kann. Das ist praktisch nichts. Und mit diesem Geld ist es unmöglich, ein Unternehmen aufzubauen. Nehmen wir zum Beispiel Russland, wo der Marktumsatz auf 1 Milliarde US-Dollar geschätzt wird, dann sind 1-2% bereits 10-20 Millionen US-Dollar. Sie sollten also warten, bis Uanet mindestens 20 Mal wächst.