Электронный гоп-стоп

Текст: Андрей Сидельников /Infox.ru

Один из новых видов преступлений – угроза ddos-атаки на сайт с предложением откупиться. Прокомментировать текст письма корреспондент Infox.ru попросил эксперта, руководителя крупной хостинг-компании.

Некоторые владельцы сайтов получили письма от мошенников с угрозой проведения DDos-атаки. Если подобному шантажу подвергается фирма с серьезной IT-службой, защитой займутся хорошо подготовленные люди.

Но очевидно, что расчет мошенников на людей, не разбирающихся в технологиях. Что делать в случае получения подобного письма или при подозрении о начале атаки, рассказал в интервью корреспонденту Infox.ru генеральный директор ООО «Наунет СП» Андрей Борисович Кондаков.

Письмо от шантажистовЗдравствуйте. Если вы хотите, что бы Ваш сайт xxxxxxxxxx работал, вы должны будете платить нам 10 000 руб. ежемесячно. Внимание! Начиная с 26 октября Ваш сайт будет подвергнут Ддос-атаке. Он будет недоступен до тех пор, пока вы не начнете нам платить.

Infox.ru: В письме говорится о том, что если сайт размещен на виртуальном хостинге или collocation у серьезного провайдера, нужно ли беспокоиться? Может ли провайдер защитить сайты клиентов от подобной атаки?

Андрей Кондаков: «Самый надежный способ защитить сайт -- это его отключить». В этой шутке есть часть грустной правды, основной метод защиты от DDOS -- это блокировка всего трафика такого сайта по определенному направлению (с которого преимущественно идет атака). Провайдер, безусловно, должен продержаться некоторое время, для того чтобы понять, с каких направлений атакуют. К сожалению, как правило, это «макро»-направления (Америка, Европа, Россия). Если атакуют со всех направлений одинаково сильно – проще действительно «отключить» сайт.

Скажу сразу, современное развитие бот-сетей в интернете позволяет атаковать ресурсы (сайты) с мощностью, которую не выдержит ни один интернет-провайдер. Но, к счастью, это происходит не так часто. Достаточно оснащенный провайдер имеет в своем арсенале (помимо описанной выше техники «отключения» по направлениям») средства распознавания и фильтрации атакующих пакетов трафика и/или средства буферизации между сайтом клиента и интернетом, которые способны нести сверхвысокие нагрузки при атаке. Есть еще всякие хитрости, которые позволяют эффективно «бегать» от атаки мощной, но не сильно поворотливой бот-сети. Ну и, конечно, все вышесказанное имеет смысл, только если провайдер имеет достаточную мощность опорной сети и внешних подключений.

Как и многое другое, проблема атаки измеряется деньгами -- хорошая атака стоит денег, равно как и хорошая защита от нее. Если вы будете предполагать, что на хостинге за 5$ для вашей защиты задействуют ресурсы стоимостью $5 000 000 (примерно столько стоит реально качественная защита от серьезной DDOS) … с вас попытаются получить «недоплаченные» провайдеру деньги вот таким способом …

Экономико-техническая суть проблемы состоит в том, что стоимость организации атаки в интернете на порядки меньше, чем затраты на защиту от нее. В этом, собственно, и заключается проблема использования интернета для критических бизнес-приложений. Возможно, нам всем пора серьезно задуматься над иными правилами игры в виртуальном пространстве…

Infox.ru: Что делать в случае получения подобного письма? Не придавать значения, обратиться к провайдеру, обратиться в правоохранительные органы? Что нужно сделать, если есть подозрение о начале атаки (сайт недоступен или плохо доступен)?

Андрей Кондаков: Хороший клиент – это живой клиент. Поэтому и провайдеру, и самому клиенту надо заранее обеспокоиться о способах раннего обнаружения атаки и иметь готовый план действий.

Если вы заметили атаку (а ваш провайдер вам еще не сообщил об этом), немедленно «порадуйте» круглосуточную службу технической поддержки своего провайдера и следуйте ее инструкциям, если от вас что-то зависит в этой ситуации. Если у вашего провайдера нет такой службы, она спит на посту или бездействует после вашего обращения – срочно смените провайдера.

В каких случаях обращаться в правоохранительные органы -- каждый для себя решает сам. Следует учесть, что найти в самой атаке следы, указывающие на конкретного обидчика, практически невозможно. Намного больше следов можно обнаружить в письмах/аськах/и т. д. шантажиста и конечно при «передаче денег», тут вступают в работу отлаженные годами у правоохранительных органов схемы из невиртуального мира.

Infox.ru: В письме содержится предложение воспользоваться услугами шантажистов для атаки на сайт конкурентов. Что вы можете сказать людям, подумывающим о такой возможности?

Андрей Кондаков: Это уже вопрос из области философии, морали, УК и т. д. Могу сказать одно: анонимность интернета -- вещь весьма условная, и, приложив достаточные усилия, можно найти практически любого. Поэтому я бы так не рисковал.