Архивы: по дате | по разделам | по авторам

В осаде

АрхивКомментарий дня
автор : Евгений Золотов   03.02.2004

Нападение вируса MyDoom на веб-серверы компаний SCO и Microsoft предоставляет отличную возможность понаблюдать за тем, как отражаются крупномасштабные сетевые атаки.

Завязку истории, о которой пойдёт речь в сегодняшней колонке, вы все знаете. Простой почтовый вирус MyDoom (он же Novarg, он же Shimgapi) был впервые замечен на просторах Сети 26 января, но уже через пару дней показал свои зубы: новичок вызвал самую массовую за всю историю Интернет эпидемию, похоронив тысячи компаний по всему миру под невиданной лавиной электронных писем. По разным данным, в момент её пика, в среднем от каждого двенадцатого до каждого седьмого письма содержали копию MyDoom, а общий ущерб к настоящему моменту оценивается в два миллиарда доллларов. Впрочем, сегодня давайте остановимся на другом моменте: первая и самая популярная ветвь вирусной инфекции, MyDoom.A, содержит в себе инструкции для организации распределённой сетевой атаки типа "отказ в обслуживании" (DDoS) на центральный веб-сервер компании SCO Group, поддерживающего сайт www.sco.com Появившийся через пару дней после рождения .A вариант MyDoom.B, отличается от своего предшественника нацеленностью на главный веб-сервер другой крупной компании, Microsoft. Начало первой атаки было запланировано на 1 февраля, второй - на 3-е. Результаты одной из них уже очевидны: достучаться до сайта SCO вот уже третий день невозможно. Почему компании, специализирующейся на системном программном обеспечении, не удалось отстоять свою виртуальную территорию и возможна ли вообще организация защиты от подобного класса атак?

Защита, конечно, возможна, но прежде чем перейти к рассмотрению защитных тактик, задействованных SCO и Microsoft, уместно вспомнить, что DoS- и DDoS-атаки преследуют одну и ту же цель: принудить атакуемую машину к исчерпанию каких-либо ограниченных ресурсов, в роли которых могут выступать пропускная способность канала, оперативная память или процессорное время. Направив на сервер достаточно большое количество сетевых запросов, можно гарантированно перегрузить его даже в случае, когда число атакующих компьютеров составляет всего несколько сотен. В таких случаях ещё возможна (и практикуется) организация активной защиты, когда пустые пакеты фильтруются на промежуточных серверах. С MyDoom этот приём не пройдёт: при том, что общее число инфицированных машин достигло десяти миллионов, в атаке против sco.com участвует около миллиона. Впрочем, в воскресенье, когда вирус только начинал свою агрессию, работало лишь около полусотни тысяч его копий, но и этого хватило, чтобы моментально исчерпать ресурсы веб-сервера SCO.

Однако не думайте, что сайт sco.com недоступен по причине завала пустыми пакетами. На самом деле всё хитрее: уже к вечеру первого дня адресная запись для этого узла по решению SCO была вычеркнута из памяти DNS-серверов. И на данный момент sco.com просто не существует. Компания сделала это для того, чтобы не оплачивать пустой трафик и не терпеть его все те две недели, которые будет продолжаться активная фаза атаки (в середине февраля MyDoom.A должен самоуничтожиться). В качестве запасных узлов работают www.thescogroup.com и www2.sco.com, на которые вирус не обращает внимания. Операция здорово напоминает сдачу Москвы Наполеону - и таковой на самом деле является.

Иная тактика задействована Microsoft. Первым профилактическим шагом, который софтверный гигант сделал ещё вчера, стала подготовка DNS-серверов, хранящих адресные записи для microsoft.com, к быстрой смене адреса - чтобы при необходимости можно было в считанные минуты добавить к числу веб-серверов, поддерживающих сайт Microsoft, дополнительные. Если же нагрузка будет слишком велика, компания планирует задействовать кэширующие серверы своего партнёра, Akamai: обращение вируса к кэш-серверам, размещённым в разных точках планеты, ослабит нагрузку на каналы Microsoft и позволит продолжить работу в нормальном режиме, перетерпев атаку. К сожалению (с точки зрения экспериментатора, конечно), в случае с Microsoft чистого опыта не получится, поскольку популяция MyDoom.B в десятки раз меньше MyDoom.A. Но, в конце концов, Сеть - не песочница, так что пожелаем Microsoft удачи. Компанию ждёт тяжёлый день.

© ООО "Компьютерра-Онлайн", 1997-2018
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.