Как Атаковали «Живой Журнал»

В начале апреля один из самых популярных сервисов блогов LiveJournal подвергся хакерским атакам. Обе атаки — 4 и 6 апреля — достигли своей цели: сервис был практически полностью недоступен для пользователей. На сегодняшний день, трудности в работе с блог-платформой продолжаются.

К сожалению, у специалистов нет точных сведений о том, как проходила атака на Livejournal.com 4 апреля и какие компоненты сервиса были атакованы. Вся информация об атаке получена в результате независимого анализа состояния сервиса и параметров отдельных ботов, что, конечно, мешает составить исчерпывающую картину атаки.

Так или иначе, важную роль в успехе этой атаки, несомненно, сыграла уязвимость программного обеспечения, гарантирующего бесперебойную работу Livejournal. Нужно понимать, что популярные и известные интернет-сервисы, наподобие Вконтакте.ру или Хабрахабра, постоянно испытывают DDoS-атаки различной мощности. Например, сайт highloadlab.com находится под ударом DDoS-атак практически в круглосуточном режиме 7 дней в неделю. Злоумышленники тестируют новые технологии именно на известных веб-сервисах, и популярные сайты в массе своей готовы — или должны быть готовы — к серьёзным DDoS-атакам. Проблемы у таких сайтов появляются тогда, когда при обновлении программного обеспечения сайта не делается должный акцент на эффективность и безопасность внедряемых изменений. Чем же так опасны DDoS-атаки?

DDoS — это подмножество класса атак на «отказ в обслуживании», для которого характерен элемент распределенности. У атаки нет единого источника, она осуществляется из различных стран и сетей, что значительно затрудняет поиск и устранение источника атаки. Принцип работы этого класса атак всегда одинаков: найти в информационной системе ограниченный ресурс и исчерпать его, оттеснив запросы «обычных» пользователей. Например, использовав максимальное количество соединений, которое может олужить cервер, гарантированно заблокировать доступ к нему всем обычным пользователям, тем самым «выключив» его для аудитории.

Известны сотни различных методик проведения DDoS-атак. Можно выделить два самых популярных: DDoS, проводимый с применением «ботнета», и новый, набирающий популярность, «социальный» DDoS. В первом случае владелец компьютера или любого подключенного к сети устройства становится соучастником преступления без его ведома, во втором случае (wiki: LOIC ) люди добровольно присоединяются к атаке на какой-либо ресурс с целью заявить свой протест. Наиболее яркими примерами «социального» DDoS можно назвать успешные атаки на крупнейшие платежные и банковские системы, вызванные преследованием WikiLeaks, а также атаку на онлайн-сервисы компании Sony, произошедшую одновременно с атаками на Livejournal и вызванную судебными разбирательствами компании с хакером Geohot. В случае с Livejournal атака была проведена с использованием ставшего классикой метода — посредством ботнета.

Ботнет — это множество подключенных к сети инфецированных вредоносным программным обеспечением устройств — ботов (сокращеннно от робот), объединенных в одну сеть. Полностью подконтрольная злоумышленникам, она может использоваться для самых разных целей: рассылки спама, распространения вредоносного ПО и увеличения размеров ботнета, махинаций с рекламой и партнерскими программами и, конечно, DDoS-атак.

То, что атаки на Sony и Livejournal являлись технологичными, сомнения не вызывает. Обе компании имеют мощную информационную инфраструктуру и штат опытных технических специалистов, но и в том, и в другом случаях атаки достигли успеха  — обслуживание пользователей было приостановлено.

Но почему Sony быстро, в течение нескольких часов, нейтрализовала угрозу, а LiveJournal испытывает проблемы уже несколько дней, теряя аудиторию и репутацию? Ответ прост: Sony обратилась к компании, занимающейся фильтрацией трафика. LiveJournal по каким-то причинам решил противодействовать атакам своими силами, хотя нам известно, что предложения от российских и зарубежных компаний, работающих на рынке подобного рода услуг, им поступали и стоимость этих услугсущественно ниже потерь даже от одного дня простоя сервиса LiveJournal. Причем лучше бы они обратились к зарубежным конторам: у нас в стране услуги по защите и ликвидации атак находятся в процессе своего становления и существуют в довольно сыром виде.

Стоимость же ликвидации последствий атаки и блокирования дальнейших попыток вывести из строя работу сервиса зависит от нескольких факторов.

Во-первых, прямая зависимость от обьемов трафика. У ЖЖ сегодня канал 2 гигабита. В России гигабитный канал с гарантированной полосой стоит 320 000 рублей в месяц. По инофрмации, опубликованной сотрудниками SUP, обьемы легитимного трафика Livejournal составляют порядка 400 мегабит/c. Это значит, что стоимость услуг по фильтрации трафика не привышала бы $10 000 в месяц. Однозначно меньше, чем стоил день самой атаки, по информации самого Livejournal.

Во-вторых, не менее важно количество запросов. Необходимо анализировать каждый запрос, а это вычислительные мощности от ожиданий клиента по уровню сервиса (SLA). Автоматика срабатывает не всегда.

В-третьих, важно понимать, когда на проблему будет выделен инженер, который займется решением проблемы, сколько времени у него есть. Ведь это все зарплатный фонд. Специалисты нынче дорого ценятся.

В современных технологичных DDoS-атаках ботнет полностью имитирует поведение «обычных» пользователей, что значительно усложняет процесс отсева вредоносного трафика — без поведенческого анализа и его математического моделирования не обойтись. И проводятся эти атаки не «очкариками»-одиночками, а профессиональными криминальными группировками с четко расписанными ролями и функциями, работающими посменно и круглосуточно. В таких условиях DDoS-атака начинает напоминать карточную игру Magic The Gathering, где соперники, доставая все новые карты, постоянно меняют стратегию боя. У специализированных компаний, как правило, уже существует специальное оборудование и алгоритмы, которые в автоматическом режиме отслеживают изменения в стратегии атаки и принимают меры к противодействию.

Помимо алгоритмики необходимы также вычислительные и канальные мощности, поскольку скорость атаки может достигать десятков гигабит. В распоряжении LiveJournal, судя по отчетам его сотрудников, имелось всего 2 гигабита канальной емкости. Это в 5 раз больше, чем нормальный трафик LiveJournal, но и этого оказалось недостаточно, чтобы справиться с первой атакой.

Когда нас спрашивают о мощности той или иной атаки, мы обычно отшучиваемся: «атака прошла успешно, мощность взрыва составила 18 мегатонн». На самом деле существует множество разных методик атак и каждая из них будет иметь свой набор метрик описывающих ее мощность. Но мы считаем единственно верной метрикой — успешность. Если атака вывела ресурс из строя, количество гигабит, мегапакетов или килозапросов в секунду уже вторично. Идеальной, на наш взгляд, является атака, при которой все метрики информационной системы находятся в пределах нормы, но пользователи лишены доступа к информации.

Контекст явления может быть политическим, социальным, экономическим. Мы живем в мире, в котором все определяется доступом к информации. DDoS — это эффективный способ блокировать или сдерживать распространение определенной информации. В США в последнее время чрезвычайно популярен термин Informational Warfare. DDoS как явление в наше время имеет политический контекст в такой же мере, в какой автомат Калашникова имел в XX веке.

Техническая справка

4 апреля Livejournal внедрил новую систему кэширования данных. Практически сразу было замечено, что эта система работает с нареканиями: вновь опубликованные записи появлялись в живых лентах пользователей спустя значительное время. Практически одновременно с этим на ЖЖ началась DDoS-атака, имевшая успех, и чрезвычайно сложно расценивать эти события как независимые.

5 апреля Livejournal вернулся к стабильной работе, однако многие исследователи DDoS-атак продолжили наблюдение за сервисом с целью анализа потенциальной угрозы. 6 апреля сервис вновь прекратил работу из-за атаки. В этот момент удалось установить следующее:

— несмотря на полную неработоспособность заглавной страницы Livejournal.com и всех блогов ЖЖ, сервисы, расположенные в том же датацентре, на том же интернет-канале (например, pics.livejournal.com), работали без нареканий. Следовательно, атака была направлена не на исчерпание размера интернет-канала;

— через вспомогательные сервера Livejournal можно было получить доступ к базам данных записей и пользователей ЖЖ. Следовательно, атака была направлена не на базу данных Livejournal.

7 апреля Livejournal снова испытывал некоторые краткосрочные проблемы с работоспособностью регулярно возвращая ошибку HTTP 500.

Таким образом, можно с определенной долей уверенности заявить, что атакующие воспользовались брешью именно в реализации системы кэширования записей.

Источник: HIFIPORTAL.RU