Бот у ворот. Рунет атакуют из-за границы

28.01.2015 |

Александр Абрамов.

Основной трафик участившихся в последнее время DDoS-атак на российские интернет-ресурсы идет из-за границы, при этом существенная доля — 24% трафика — приходится на Украину. К таким выводам пришли в Inoventica после атаки, которой в начале января подверглась входящая в группу "Гарант-парк-интернет" (ГПИ). Ситуация будет только усугубляться из-за все большей доступности такой услуги, предупреждают эксперты.

Как рассказали в Inoventica, 7 января на ГПИ (бренд Inoventica Services, ранее Parking.ru) была совершена DDoS-атака. ГПИ является хостинг-провайдером для нескольких десятков тысяч сайтов, группы которых зарегистрированы по одному и тому же IP-адресу. Атака продолжалась шесть часов, с максимальной скоростью 40 Гбит/с. На какой именно сайт она была направлена, в ГПИ выяснить не успели, но Inoventica проанализировала другие параметры атакующих (в группу входит "Иновентика технолоджес", с лета прошлого года продвигающая собственную систему защиты от сетевых атак InvGuard). По словам члена совета директоров ЗАО "Коммуникации для инноваций" (головное юрлицо Inoventica) Виталия Слизеня, 76% трафика шло из-за границы, всего в атаке участвовали 137 стран. В частности, 24% трафика присылали бот-сети с Украины. Впрочем, господин Слизень объясняет этот факт не политическими причинами, а "общей неразберихой", когда "компании за деньги готовы отдать свои серверы или каналы, чтобы они стали частью бот-сетей". В России в атаке участвовали 556 операторов. Лидерами по количеству бот-сетей оказались "ВымпелКом" и "Ростелеком": на них, по словам Виталия Слизеня, пришлось по 8,3% и 8% всего трафика соответственно.

DDoS-атаки (Distributed Denial of Service) — распределенный отказ в обслуживании. Бот-сети (зараженные компьютеры) шлют на какой-либо сайт запрос, что блокирует легальным пользователям доступ к нему. В 2014 году атакам подвергались сайты российских СМИ (газеты "Ведомости", "Первого канала", Russia Today и др.), банков (Альфа банка, ВТБ, Сбербанка и др.), ведомств, а также президента РФ.

В Inoventica отмечают, что количество DDoS-атак растет по всему миру, в том числе потому, что снижается стоимость их организации. "Сейчас за $100-150 можно организовать двухчасовую атаку мощностью 10 Гбит/с. Такой атаки будет достаточно, чтобы пострадал любой ресурс в России",— утверждает господин Слизень. С этим согласны другие игроки рынка информационной безопасности. Менеджер проекта Kaspersky DDoS Prevention Алексей Киселев к факторам роста DDoS-атак в 2015 году также причисляет то, что контакты исполнителей можно найти легко, при этом заказчик, как правило, остается неузнанным. В "Информзащите" считают, что роль будет играть и экономическая нестабильность (сокращение расходов на безопасность, IT-специалисты, оставшиеся без работы, могут переходить на другую сторону баррикад, в борьбе за выживание на рынке конкуренты будут готовы использовать "черные" методы борьбы).

По данным системы мониторинга угроз в интернете ATLAS, построенной крупнейшим в мире производителем систем против DDoS-атак Arbor Networks, в прошлом году значительно выросло количество и интенсивность DDoS-атак. "Количество атак с украинского сегмента интернет очевидно растет, однако зараженные компьютеры могут находиться в любой точке мира. Наибольшее количество DDoS-атак на Россию совершается из подсетей США и Китая",— отмечают в Arbor. По данным Qrator Labs, количество инцидентов за последние пять лет росло в среднем на 25% в год. Но в компании называют среди крупнейших стран, из которых приходят DDoS-атаки, Китай (25%), Россию (15%) и Казахстан (12%). На Украину приходилось около 3%. "Политические причины не играют особой роли. Долю страны определяют уровень проникновения интернета, общий уровень информационной безопасности",— отмечает руководитель Qrator Labs Александр Лямин. По его словам, в ряде случаев установить источник атаки невозможно.

В "Вымпелкоме" и "Ростелекоме" сомневаются в выводах Inoventica. ""Вымпелком" активно использует системы защиты от DDoS, как для защиты клиентов, купивших услугу, так и для защиты собственной инфраструктуры",— говорит пресс-секретарь компании Анна Айбашева. "Ростелеком" также использует специальную систему и предоставляет клиентам услугу защиты. "Эффективность системы была подтверждена в ходе выборов президента РФ в 2012 году. Несмотря на многочисленные попытки атак разного типа, она обеспечила бесперебойную работу созданной "Ростелекомом" системы видеонаблюдения за процедурой голосования и подсчета голосов. Система успешно использовалась и во время Олимпиады в Сочи",— уверяет представитель оператора Андрей Поляков.

Анна Балашова, Роман Рожков