DDoS-атаки (Distributed Denial of Service – распределённые атаки класса «отказ в обслуживании») – это атаки, имеющие целью сделать сетевой сервер клиента недоступным для легитимных пользователей. При DDoS-атаке с одного или многих ресурсов, расположенных в сети Интернет, в сторону определенного компьютера одновременно отправляется большое количество запросов. Происходит мгновенный рост трафика клиента, забиваются внешние каналы, падает сервер клиента. В результате – отказ в обслуживании сервера. Заместитель руководителя отдела информационных услуг и передачи данных компании «ВестКолл» Алексей Гутцайт рассказал о том, что послужило стимулом для запуска услуги по защите системы клиента от DDoS-атак: «По моим данным, от клиентов предложений по внедрению не было, были только просьбы «защитить от всех угроз Интернета». Мы сами испытывали некоторые сложности при появлении DDoS-атак, также возникали технические проблемы у наших клиентов. Кроме того, часто возникали вопросы по оплате трафика, вызванного атаками».
Наиболее подверженными DDoS-атакам оказываются компании, чей бизнес непосредственно связан с присутствием в сети Интернет: банки, интернет-магазины, сетевые, логистические компании, а также компании, эффективная деятельность которых существенно зависит от представительства в Интернете (турфирмы, авиакомпании, производители оборудования и программного обеспечения и т. д.). «Данное предложение может быть востребовано компаниями, для которых критичен доступ в сеть Интернет для своей работы. Также услуга может быть интересна для клиентов, размещающих оборудование в нашем дата-центре. Атаки может не быть никогда, но при этом услуга – это своего рода страховка от случая, если все-таки она случится», – добавил Алексей Гутцайт.
Для обнаружения и подавления распределенных атак «ВестКолл» предложил комплексное решение, построенное на оборудовании Arbor PeakFlow SP и Cisco Guard, внедренное инженерами оператора. С помощью Arbor Peakflow SP осуществляется «обучение» системы, то есть анализируется нормальный сетевой трафик заказчика (задаются определенные нормы), после чего система включается в режим мониторинга. При обнаружении атаки, то есть при увеличении количества запросов извне, система перенаправляет трафик на другое устройство, которое отфильтровывает вредоносные пакеты от легитимных согласно полученной во время штатной ситуации статистике. В результате паразитный трафик подавляется. По мере устранения аномалий в сети, вызванных атаками DDoS, прекращает свою работу фильтр, меняется принцип маршрутизации, и трафик снова идет напрямую к клиенту.
Возможны два режима работы услуги: автоматический и ручной. В случае автоматического режима система постоянно находится в состоянии мониторинга сети. При обнаружении атака подавляется автоматически. Особенностью данного способа является то, что его использование обязывает клиентов сообщать оператору об изменениях характера нормального трафика, например, об установке новых приложений, ПО и т. д. В этом случае необходимо заново осуществлять обучение системы. Иначе вместе с потоком, содержащим признаки атаки, будет заблокирован и легитимный трафик. При использовании ручного режима подавления атаки защита включается в ручном режиме оператором при получении письма либо SMS с соответствующим уведомлением. Ручной режим работы услуги позволяет клиентам производить любые изменения в своей сети без дополнительного контакта с оператором.
Обучение системы нормальному трафику клиента осуществляется специалистами «ВестКолл» в течение трёх дней после подключения услуги заказчиком. По окончании обучения система включается в режим мониторинга. Стоимость подключения услуги составляет 3 тыс. руб., абонентская плата – 4,5 тыс. руб. в месяц при использовании автоматического режима и 5,4 тыс. руб. в месяц – в ручном режиме.
Как рассказал руководитель отдела информационных услуг и передачи данных компании «ВестКолл» Алексей Зубов, тестирование данного решения в компании проводится уже достаточно давно. «Мы используем его по умолчанию для клиентов, размещающих оборудование в нашем дата-центре. Именно успешная практика подобного использования и подтолкнула нас к решению распространить данную услугу на всю нашу сеть», – отметил г-н Зубов. Соответственно, уже есть первые пользователи данной услуги. «Один из них именно из-за этой услуги перенес свое оборудование в наш дата-центр от другого оператора, когда подвергся DDoS-атаке. С помощью этой услуги мы устранили проблемы клиента по данному вопросу», – рассказал Алексей Гутцайт. Что касается отзывов, то здесь специфика услуги такова, что, если по ней нет отзывов от клиентов, значит, она работает хорошо, считают в компании «ВестКолл».
Что касается других операторов Санкт-Петербурга, то их часть относит защиту от DDoS-атак к необходимым защитным мерам в рамках обслуживания сети и не выделяет в отдельную услугу. Например, в компании «ВымпелКом», как пояснила старший специалист по внешним коммуникациям Санкт-Петербургского филиала ОАО «ВымпелКом» Марианна Янкова, в случаях, если оборудование оператора фиксирует флуд на сети, происходит автоматическая блокировка портов. В компании «ПетерСтар» постоянно осуществляется мониторинг DNS-серверов в целях предупреждения DDoS-атак. «Актуальность защиты от DDoS-атак под вопрос не ставится, так как является необходимым мероприятием по обеспечению безопасности сети, посредством которой клиенты компании получают доступ к услугам, – пояснил начальник отдела по связям с общественностью ЗАО «ПетерСтар» Геннадий Мухатдинов. – Эта мера не является услугой, а относится к обслуживанию оператором собственной сети, которая должна отвечать соответствующим требованиям по безопасности, в том числе в интересах клиентов компании. Помимо этого на постоянной основе проводятся работы по антивирусной и антиспамовой защите интернет-узла «ПетерСтар».
Ряд игроков и в дальнейшем не намерены выделять защиту от DDoS-атак в отдельную услугу. С одной стороны, это объясняют невозможностью предоставить решение по полной защите от всех видов DoS-атак, с другой стороны, по словам специалистов, в большинстве случаев спасают стандартные защитные меры. «Мы, конечно же, готовы предложить услуги по защите сети абонента от нападений и от DDoS-атак. Но предложить такой пакет в «коробочном» варианте от всех бед сразу мы не можем, – рассказал генеральный директор ООО «ОБИТ» Андрей Гук. – Для начала мы вынуждены поинтересоваться – а что именно и от чего абонент хочет защитить? Если происходит распределенная DDoS-атака, то есть огромное число компьютеров со всего мира начинает изо всех сил что-то посылать на сервер абонента, и сервер не может перестать отвечать на эти запросы, поскольку он никак не может определить, какие из них являются частью атаки, а какие несут полезную почту, – то при этом нет вообще никакого способа определить это ни у сервера абонента, ни у нас, ни у кого бы то ни было. Атака ведётся со стороны ботнета (большого числа заражённых вирусами компьютеров), поэтому что-то зафильтровать в таком варианте на уровне оператора связи невозможно. Итогом атаки является полная недоступность сервисов почтового сервера абонента, и выхода нет. Но такие случаи довольно редки. В 95 % случаев всё выглядит гораздо проще – 3-5 серверов из Интернета начинают нападать на сервер абонента. В этом случае достаточным является просто зафильтровать трафик с этих серверов, и на этом атака заканчивается. Мы полностью содействуем абонентам в подобных случаях. Наши дежурные администраторы в любое время суток по запросу могут как проанализировать текущий поток данных на подобные атаки, так и организовать требуемую фильтрацию. Это входит в стандартный пакет наших услуг – и мы оказываем эти услуги бесплатно».
С другой стороны, отказ от запуска подобного сервиса объясняется отсутствием спроса. Такова позиция, в частности, оператора «ЛАНК Телеком». «На сегодняшний день наша компания не предоставляет абонентам сервиса защиты от DDoS-атак. Связано это с тем, что данная услуга не востребована у наших абонентов, актуальность ее не очень высока. Это продукт очень нишевый. Возможно, в дальнейшем, по мере возникновения спроса, мы будем готовы внедрить эту услугу», – прокомментировал руководитель отдела маркетинга и рекламы «ЛАНК Телеком» Даниил Курс.
Однако есть и противоположное мнение – о возрастающей актуальности данной услуги. Так, оператор «Метроком» сообщил о запуске услуги по защите от DDoS-атак в скором будущем. «Сейчас у «Метрокома» такой услуги нет, но мы уже осознали ее значимость и необходимость. Существует категория крупных корпоративных клиентов, нуждающихся в ней. Подобные услуги могут стать дополнительным фактором, определяющим выбор поставщика услуг связи, и на ближайшее время нами запланирован ввод данного сервиса на нашей сети», – комментирует начальник отдела маркетинга и развития бизнеса ЗАО «Метроком» Ольга Ильина.