Давайте на минуточку вспомним, кого мы привыкли видеть в качестве жертв DDoS-атак? Это, как правило, всевозможные организации – банки, корпорации, государственные агентства. Ещё чаще атаке подвергаются всевозможные сайты и сервера компаний, которые перешли кому-то дорогу, например, не чистым на руку интернет-дельцам. Впрочем, чего душой кривить, в нашей действительности заказчиком атаки могут быть и структуры, близкие к государственным.

ddos1

Напомню, что DDoS – это распределённая атака какого-либо объекта, задача которой состоит в том, чтобы вывести атакуемую систему из строя, заставив ее прекратить работу и, соответственно, обслуживание. Обычно организаторы атак стараются «уронить» жертву за счёт каких-либо уязвимостей в системе. DDoS всегда предполагает загрузку сетевых каналов жертвы огромным количеством бессмысленного трафика, который, собственно и «вешает» систему. Трафик генерируют за счет ботнет-сетей, участниками которых становятся обычные домашние ПК и лэптопы, зараженные злоумышленниками. DDoS-атаки популярны, благодаря своей эффективности и анонимности – зачастую организатора атаки крайне трудно выявить, а уж отключить сотни тысяч компьютеров-ботов и вовсе невозможно. Поэтому, такие атаки являются излюбленным методом злоумышленников, применяемым в тех случаях, когда надо вывести из строя провинившуюся компанию или сервис.

Методы борьбы с DDoS постоянно совершенствуются и, в основном, сводятся к предотвращению таких атак, к тому, чтобы выявить их и локализовать на ранней стадии. Но до недавнего времени решения класса «DDoS Prevention» были доступны только для сайтов, сервисов и отдельных серверов организаций, поскольку именно они чаще всего являлись объектами атаки. Однако, недавно компания Arbor Network опубликовала ежегодный отчет Worldwide Security Report, в рамках которого подчеркнула весьма неприятную тенденцию – объектами всё большего количества атак становятся… дата-центры!

Исследование, проведённое Arbor Network, показало, что среди 220 опрошенных сервис-провайдеров и профессионалов индустрии ЦОДов, абсолютное большинство считает DDoS-атаки наибольшей угрозой для отрасли. Пиковая атака, зафиксированная исследователями составляла 309 гигабит в секунду, в то время как в предыдущих отчетах уровень атак не превышал 100 гигабит. Более 70% действующих дата-центров подвергались DDoS-атакам в 2013 году и 10% из них выдерживали до 100 атак в месяц. Достаточно внушительные числа, чтобы говорить не о факте, а о тенденции.

ddos2

Тем более, что тенденция эта особенно неприятна именно для дата-центров. Если сайт или сервис во время атаки, в наихудшем случае, потеряет часть аудитории, и без того не слишком лояльной (поскольку лояльная продолжит пользоваться сервисом и после вынужденного простоя), то дата-центр – это дом не только для всевозможных бизнес-инструментов отдельной компании, но и вместилище десятков, а то и сотен всевозможных облачных сервисов, арендовавших вычислительные мощности. О том, насколько сильно DDoS-атаки бьют по карману операторов ЦОД, проще всего рассказать в цифрах.

По данным Ponemon Institute, 18% отключений ЦОДов вызваны именно DDoS-атаками. Основатель этой исследовательской организации, Ларри Понемон (Larry Ponemon), говорит, что такие атаки стали нередким явлением в последнее время и восстановить работу дата-центра после них сложнее, чем после аварий, вызванных другими причинами. Поскольку для локализации проблемы такого рода требуются новые технологии, а также экспертиза, которой пока не располагает большинство компаний. DDoS-атаки оказались одной из самых дорогих, с точки зрения восстановления, причин аварий в ЦОДах – средняя стоимость нормализации работы дата-центра после такой атаки составляет 822 000 долларов. Это вторая по наносимому ущербу проблема после аварий, вызванных выходом из строя серверного оборудования. Такие аварии обходятся, в среднем, в 959 000 долларов. Для сравнения, приведу стоимость восстановления после ошибок персонала – «всего» 380 000 долларов. Высокая стоимость восстановления после DDoS-атаки вызвана абсолютно позитивной тенденцией. Дело в том, что за последние годы построено множество дата-центров с высокой степенью отказоустойчивости, а поэтому стоимость каждой минуты простоя значительно возросла. Если точнее, то возросла она на 40%. В 2010 году минута простая ЦОДа обходилась в $5617, то в конце 2013 эта цифра равнялась уже 7908 долларам. Вот такая не вполне позитивная арифметика.

global technology communication concept

Словом, удручающая арифметика потерь нам теперь понятна, но что же стало причиной повышенного внимания вредителей к ЦОДам? Системный архитектор Arbor Networks, Даррен Анстри (Darren Anstree) связывает DDoS-атаки на дата-центры с чрезмерно активным, по его мнению, освещением атаки Spamhaus, случившейся в марте 2013 года. Что это за Spamhaus такой? Коллега Евгений Золотов уже рассказывал об этом выдающемся, но относительно безвредном злодеянии на страницах Компьютерры:

В нашей истории объект атаки и задачи тоже были вполне серьёзными. Считается, что повод для крупнейшей DDoS всех времён и народов подала годовалая склока между некоммерческой организацией Spamhaus и голландским провайдером-либералистом Cyberbunker. Первая занимается составлением «чёрных списков» спамерских IP-адресов: фильтруя, к примеру, почту, приходящую от узлов из такого списка, можно уменьшить количество спама в своём ящике — и списки Spamhaus защищают сегодня свыше 1,7 млрд. почтовых ящиков по всему миру. Напротив, Cyberbunker, квартирующая в подземном убежище, выстроенном пятьдесят лет назад на случай атомной войны, предоставляет хостинг под любые проекты, за исключением детской порнографии и терроризма (именно там одно время размещались The Pirate Bay и WikiLeaks). И, конечно, не брезгует спамерами. Вот уже полтора года тянется вялотекущая война между сторонами, но нынче весной она переросла в активные боевые действия. В ответ на очередную «дерзость» Spamhaus (она методично блокирует IP-адреса оппонента) представитель Cyberbunker прозрачно намекнул, что их терпение иссякло («не вам решать, что можно делать в Сети, а чего нельзя!»). После чего, якобы, компания заручилась поддержкой чёрных хакеров из Восточной Европы и нанесла удар.

Spamhaus стала одной из самых масштабных DDoS-атак в истории, причем атаке подвергались именно сервера Cyberbunker, разместившей свой ЦОД в подземном убежище. Таким образом, злоумышленники всего мира вдруг увидели, что при определённом масштабе нет смысла устранять следствие (сайт или приложение), когда можно вывести из строя причину (дата-центр). И с тех пор жертвами атак стали не только сайты или организации, но и целые инфраструктурные кластеры. Ведущий аналитики 451 Research, Эрик Хансельман (Eric Hanselman) считает, что причиной повышенного внимания организаторов атак к ЦОДам стало том, что сервис-провайдеры начали афишировать свою инфраструктуру или, по крайней мере, то место, где они арендуют мощности. Эта информация, разглашаемая исключительно как маркетинговое уверение в надежности сервиса, сыграла с надежностью злую шутку, обнажив связь между грандами SaaS-отрасли и ЦОДами, в которых они располагаются.

Вот такие точки зрения на проблему предлагают нам именитые исследователи. Но, видится мне, истина где-то посередине. И заключается она в том, что ЦОДы атаковали всегда, просто в последнее время компании перестали строить дата-центры для себя и коммерческие ЦОДы стали в разы популярнее. И заказчикам DDoS-атак стало понятно, что атакуя коммерческие дата-центры, они «валят» сразу несколько облачных сервисов и хостингов при аналогичной стоимости организации атаки. А если разница существенна, то почему бы и не доплатить пять-десять тысяч американских банкнот за куда более масштабное злодеяние?