На конференции РИТ++ (“Российские интернет-технологии”) прошёл круглый стол с участием представителей “Яндекса”, Microsoft, Mail.ru и “1C-Битрикс”. Одной из наиболее интересных тем, обсуждавшихся на нём, стали ботнеты и DDoS – распределённые атаки типа “отказ в обслуживании”. От такой атаки, к примеру, недавно пострадал сервис Livejournal. В чём причина атак, и что нужно делать, чтобы их не было?

В первую очередь обсудили тот самый случай с Livejournal, однако ничего конкретного никто о нём так и не узнал: ни кто, ни зачем начал атаку, и было ли это атакой вообще, а не внутренними проблемами “ЖЖ” (компания SUP, владеющая сервисом, тем не менее настаивает на том, что это всё же была атака).

Что до DDoS в целом, то главной причиной его популярности была названа дешевизна ботнетов. Представитель Microsoft назвал интересную статистику: самые дорогие ботнеты стоят 20-30 тыс. долларов, их размер доходит до 2 млн машин. Купить и использовать ботнет может любой желающий.

Грубо говоря, ботнет – это нелегальная платформа для распределённых вычислений, причём дешёвая. Насколько? Увы, сравнить её стоимость с легальными платформами, вроде Amazon EC2 и Microsoft Azure, практически невозможно: это рынок с очень странной и категорически нелегальной экономикой: большую часть ботнетов покупают на краденые кредитные карты. Общий объём рынка представитель Microsoft оценил в 100 миллионов долларов.

Также мы узнали о взгляде Microsoft на причины появления ботнетов. Лишь один из десяти заражённых компьютеров получает вредоносный код из-за уязвимости в операционной системе. Остальные девяносто процентов устанавливаются пользователями самостоятельно.

Отсюда и очевидное средство борьбы с ботнетами: учить пользователей вовремя устанавливать заплатки к операционной системе и не скачивать исполняемые файлы с подозрительных сайтов.

Илья Сегалович из “Яндекса” высказал несколько другую точку зрения на проблему ботнетов и DDoS. Помахав перед аудиторией своим iPhone 4, он спросил: “Почему для этого устройства нет ботнетов?” Ответ вполне очевиден: распространение софта для iPhone контролируется его производителем, что отсекает возможность попадения в систему вредоносного кода по вине пользователя. Сегалович считает, что такая схема, обладая очевидными недостатками, имеет при этом куда больше достоинств.

Ещё Сегалович призвал посмотреть на корень проблемы ботнетов – их монетизацию. По его словам, сейчас сети заражённых компьютеров монетизируют в основном через финансовые и околопоисковые сервисы (вероятно, имелись в виду разнообразные методы накрутки). Если лишить авторов вирусов и хозяев ботнетов способа зарабатывать, проблема сразу станет куда менее острой.

Но для сервисов, уже страдающих от DDoS-атак, все эти методы не представляют никакого практического интереса: им нужен действенный способ немедленного решения проблемы. Пока что наиболее действенный метод – “ручное” отсечение непользовательского трафика.

По словам представителя Mail.ru, сервисы его компании постоянно подвергаются атакам, и вся защита производится именно вручную. Была предпринята попытка создать автоматизированную систему фильтрации, но успехом дело не увенчалось: алгоритм давал слишком много ложных срабатываний. В “Яндексе” также заняты разработкой автоматизированной системы борьбы с DDoS; по словам Сегаловича, над этим в компании работает целая группа математиков.