This page has been robot translated, sorry for typos if any. Original content here.

Quel pays, tel et attaques DOS

Какая страна, такие у нее и DOS-атаки
Chaque semaine, au moins une ressource Internet à caractère socio-politique annonce une attaque par le DOS qui a survécu. Le problème de DDOS sites différents à résoudre différemment. Certains "repoussent" leurs efforts, d'autres - attirent des prestataires, et d'autres - "s'allongent" et attendent, "quand tout est fini".
Mais tous sont unis par un désir ardent: retrouver le méchant. Et aussi - comment prévenir DDOS la prochaine fois? Et même si le premier désir perd ensuite sa pertinence, la tâche «Comment se défendre d'une attaque» est permanente.

«ProIT» a demandé à Alexander Olshansky, vice-président du conseil d’administration de l’InAU (Internet Association of Ukraine), de répondre à la question. De plus, il peut examiner ce problème de différentes manières - en tant que président du plus grand fournisseur d’hébergement d’Ukraine, MiroHost.net, et en tant que membre du conseil d’administration de l’InAU, l’organisation la plus influente en matière de résolution des problèmes graves d’Uanet.

A commencé non-compétence:

- Alexander, désolé pour la première question primitive, mais quand même: est-il possible de «combattre» une attaque DOS avec des pertes minimales?

- Tu peux

- Mais tout le monde en Ukraine ne le fait pas ...

- pourquoi Certains de nos clients ont «riposté», et plus d'une fois. En Ukraine, il n'y a pas d'attaque d'une capacité supérieure à un million de paquets par seconde. Je n'ai pas vu un tel DDOS en Ukraine. Pour notre pays, les chiffres de l'ordre de dizaines de milliers de paquets par seconde sont plus typiques.

- Un million sont des choses scandaleuses.

- Non, pas au-delà. Pour la Russie, par exemple, la valeur caractéristique peut être de l'ordre d'un méga-paquet par seconde (s'il s'agit d'une attaque grave). Si nous parlons du monde, le pouvoir des attaques peut être encore plus. Par conséquent, il existe des sociétés dans le monde qui se protègent contre les attaques par DOS. Nous avons eu l’idée de fournir un tel service en Ukraine. Mais le problème est qu’il n’ya pas de demande effective ici. La plupart des attaques auxquelles nous sommes confrontés sont dirigées vers des sites payant un hébergement virtuel pour 8 à 10 dollars par mois. Et notre offre en liaison avec DDOS de passer à au moins un serveur dédié pour 50 à 70 USD par mois recevra un refus catégorique. En conséquence, ces sites ne sont pas disposés à dépenser même de l'argent pour se protéger contre les attaques de type DOS.

- Et si vous fournissiez le service de protection DDOS, serait-il nécessaire que vous soyez hébergé (Mirohost.net-ed)?

-  Non. Cela dépend de la technologie. Mais en général, c'est souhaitable, mais pas nécessaire.

- Et combien de clients devrait-il y avoir pour qu'un tel service «fonctionne»? 10-100-1000?

- Plus de 100 lorsque le prix des services est compris entre 200 et 300 USD par mois. En d’autres termes, la maintenance de l’infrastructure de lutte contre les DDOS nécessite entre 20 et 30 000 dollars par mois.

- Ces entreprises travaillent-elles en Russie?

- De telles entreprises travaillent partout. Vous pouvez acheter un tel service à l'étranger dès maintenant. Seulement, cela ne coûtera pas 300 dollars, mais 3 000 à 3 000 dollars par mois. Mais alors, vous serez coupé de DDOS de telle manière que seule une guerre nucléaire fera peur au site.

- Et quelle est la logique d'une telle protection? Est-ce clair?

- Parfaitement clair. Ceci est une méthode connue. Supposons qu'il existe un certain fournisseur de services. Il a un ensemble d'adresses IP. Ce fournisseur, par exemple, place ses routeurs et ses serveurs avec un pare-feu sur 100 nœuds dans le monde. En conséquence, il tunnelise son trafic avec des tunnels cryptés fermés vers ces points. Et cela est annoncé de leur part au monde extérieur (il s’agit des annonces BGP). C'est-à-dire que d'un point de vue technique, il semble que ce fournisseur est connecté directement par des fils à ces 100 points. Supposons que chaque inclusion puisse gérer 10 gigabits de trafic, y compris le trafic «parasite». En conséquence, la capacité totale est d’un terrabit. Cela signifie qu'un attaquant doit développer un terrabit du flux (ou environ 100 méga-paquets) afin de "marteler" un tel système. Ensuite, des pare-feu à chaque point de commutation filtrent le trafic, jetant ainsi des «déchets». Et le trafic libéré de DDOS sur un canal chiffré est transmis au serveur protégé. Je décris tout simplement, mais le principe est clair. De même, les DNS racine sont protégés sous une forme légèrement modifiée, par exemple. Ils essaient régulièrement d'attaquer, relativement parlant, dans le but de "s'entraîner". Je ne me souviens pas des données exactes, mais en 2007, la plus grande attaque DOS concernait environ 40 méga-paquets par seconde. Je pense que maintenant ces valeurs fluctuent autour de 100 méga-paquets.

Les attaques de DOS sont une affaire criminelle importante. En fait, dans la plupart des cas, il est associé à une extorsion de fonds. Nous avons des sites sur l'hébergement à partir desquels, je suis sûr, ils ont extorqué de l'argent. Habituellement, les magasins en ligne et les casinos en ligne sont choisis comme «cibles»; les grandes ressources d’information sont des projets pour lesquels la rupture du contact avec les utilisateurs sur Internet entraîne des pertes rapides et importantes. Ainsi, à la veille du 8 mars, la plupart des sites ukrainiens qui vendent des fleurs, "pondent". (Au mérite de notre société, je note que, parallèlement, nous avons réussi à maintenir en état de fonctionnement une ressource similaire hébergée par MiroHost.net).

- Pour l'Ukraine, cependant, il y a assez d'une petite attaque.

- Je cherche quelqu'un. Mais il est clair qu'il s'agit d'une question d'argent. L’attaquant doit dépenser beaucoup d’argent. Organiser une petite attaque est facile et peu coûteux, par exemple via un forum. Mais créer une attaque vraiment grande et grande est une entreprise très risquée. Il existe dans le monde de nombreuses agences de détectives rémunérées spécialisées dans Internet.

- Sont-ils à la recherche d'un attaquant? En quoi?

- Oui, ils recherchent, mais en règle générale, pas par des moyens techniques, mais par l'intermédiaire d'un agent ou, par exemple, en offrant de l'argent pour obtenir des informations sur l'organisateur de l'attaque. Et demain l'organisateur donne le sien. Parce que seul cela ne peut pas être organisé.

- Eh bien, pourquoi: chevaux de Troie lancés, engendre des "robots" et attaquer ...

- Mais quelqu'un a-t-il écrit ce cheval de Troie? Et quelqu'un a écrit la bibliothèque et le compilateur, et quelqu'un contient un forum via lequel le client a communiqué avec l'organisateur.

Les histoires que l'attaquant - indétectable - n'est pas vraie. Oui, c'est cher, mais possible. Si nous parlons de ressources Internet globales sérieuses, les conséquences sont également très graves. Par exemple, le client peut être accusé de ce crime dans un pays où 25 ans d'emprisonnement sont prévus pour ce crime.

- Lorsque la prochaine attaque DOS commence, la première chose à faire est de trouver celui qui a commandé ... eh bien, la liste continue ...

- Si nous parlons de petites attaques de type DOS, l'expérience montre qu'un organisateur s'avère souvent être un enfant qui a décidé de «jouer». Bien que cela ne devienne pas moins dangereux.

- Posez la question différemment. Si pour simuler une telle situation: la machine à états est tendue, un technicien et un policier se rendent sur les ordinateurs infectés. Ils sauront d'où vient l'ordinateur, plus loin dans la chaîne ...

- ne va pas aider

- En lien avec la stupidité de la machine à états ou le fait qu’elle est en principe impossible?

- Nous avons besoin d'un outil très spécialisé. C'est pourquoi il existe des sociétés dans le monde qui se spécialisent dans ce domaine. Marcher avec un policier vaut également la peine. Et pour cette attaque payée 50 $.

- Eh bien, 500 $ est encore plus commun.

- 500 $ est déjà une attaque coûteuse. Et si vous utilisez des méthodes standard, il se peut que vous deviez dépenser 500 000 $ en recherches. Il existe deux façons de trouver un client: vous pouvez organiser toute cette enquête pour 500 000 $. Et il est possible sur le même forum où ces DDOS se vendent, promettent 5 000 dollars pour des informations sur l'organisateur.

En fait, c'est l'une des méthodes les plus efficaces. Les personnes qui ont vendu ou loué un bot-no à un client (un réseau d’ordinateurs infectés par un virus - éditeur) le «remettent» eux-mêmes. Parce qu'en dehors de l'argent, ils ne s'intéressent à rien. Rien de personnel.

- Dans le même contexte, mais un peu différent. Comment le fournisseur d'hébergement se sent-il en attaquant?

- Je me sens mal. Le fournisseur d'hébergement a les alternatives suivantes. Et - fermez le site, quel dosyat. B - Protégez un site gratuitement. Et C - protégez-le pour de l'argent. Dans la plupart des cas, l'option A est acceptée, car B n'est pas rentable et le client n'est pas prêt à payer pour C. À son tour, MiroHost.net tente de minimiser l’impact de DDOS sur ses clients, dans la mesure où notre infrastructure le permet. Et dans de nombreux cas, nous réussissons. Toutefois, pour se protéger contre les attaques DOS importantes, un service spécialisé est nécessaire à un prix nettement supérieur au prix que les clients sont prêts à payer aujourd'hui.

- Un fournisseur d’hébergement peut-il s’impliquer dans un système de protection de 5 000 dollars et protéger tous ses sites?

- Pour 5 000 dollars, vous ne pouvez pas, mais pour 50 000 dollars ou 500 000 dollars - c'est possible. J'ai déjà dit que le maintien d'une infrastructure minimale de protection contre les DDOS coûte des dizaines de milliers de dollars par mois. Et si vous achetez ce service auprès d'un fournisseur tiers, il sera encore plus cher. Par exemple, pour une société d'hébergement de notre niveau aux tarifs commerciaux occidentaux, un tel service coûtera plus de 200 000 dollars par mois. Et là encore, cela n’a aucun sens, car la plupart des clients ne sont pas prêts à payer pour cela. Eh bien, disons, pourquoi DDOS-protection du site “À propos de mon chat bien-aimé”? Si quelqu'un veut dépenser 50 $ et «l'éteindre» pendant 2 heures, il ne sert à rien d'empêcher cela.

- C'est-à-dire que les sites sont généralement désactivés?

- Je répète encore une fois: tout dépend de la ressource elle-même. En Occident, les hébergeurs s'y réfèrent comme suit: si vous exploitez une entreprise Internet, payez pour la protection anti-DOS. En fait, c'est une assurance. Après tout, aucune entreprise ne peut vous protéger du fait qu’une brique vous tombera sur la tête. Mais il existe une entreprise qui vous propose une assurance. Voici le même schéma. Si vous avez un site Web et que vous considérez qu'il est important de vous protéger contre les attaques, vous payez des entreprises spécialisées, tout comme vous payez pour un antivirus.

Les fournisseurs d'hébergement, en règle générale, n'ont rien à voir avec cela. Certains hébergeurs, cependant, fournissent ce service dans un package d'hébergement. Mais en réalité, ce sont deux services différents. Et comme le prix de la protection anti-DOS est généralement beaucoup plus élevé, nous pouvons supposer que l'hébergement est fourni gratuitement dans le cadre de ce service. La création de réseaux sécurisés est donc la plus grande entreprise au monde en croissance rapide. Nous avons également étudié la possibilité de fournir un tel service en Ukraine, mais, comme je l'ai dit, le marché n'est pas encore disponible.

- Parce qu'en Ukraine il n'y avait pas de superaratk?

- C'est rapide car il y a peu d'argent à Uaneta. Le coût de la sécurité est proportionnel à la quantité d'argent qui circule sur Internet. Dès que votre site commence à gagner 300 000 dollars par mois, je suis sûr que ceux qui souhaitent "traire" vous seront retrouvés. Je crois qu’en Ukraine, il n’existe pas plus de 50 projets Internet réellement rentables (au hasard), mais peut-être même moins. Mais lorsque ces projets atteindront 500 ou 5000, le marché apparaîtra. Mais ce ne sera pas demain. Peut-être dans trois ans ou même dans cinq ans.

- Peut-être pompeusement ..., mais toujours sur la sécurité de l'information. Après tout, pour un peu d'argent, vous pouvez mettre tous les organismes gouvernementaux. Et peut-être tout le pays.

- Oui, dans le monde moderne, c'est une arme. Ici, par exemple, si vous vous souvenez de la guerre en Géorgie. En fait, pendant un certain temps, les sites géorgiens n’étaient pas disponibles. Si nous parlons de l'Ukraine, il est alors impossible de la "vider" car elle a été "inondée" en Géorgie ou en Estonie à un moment donné. L’Ukraine est beaucoup mieux intégrée à l’Internet mondial, nous avons plus de canaux et ils sont plus diversifiés. Et la Géorgie n'était connectée que par deux canaux. Et puis l'un d'eux n'était pas très bon.

Bien que la raison de se détendre, je ne vois pas. Compte tenu de notre taille, une telle attaque coûtera beaucoup plus cher et il est plus difficile de l'organiser. Mais tout dépend de qui "de l'autre côté". S'il s'agit d'amateurs amateurs, ils ne pourront probablement pas faire face à l'Ukraine. Mais si considérer ce problème du point de vue de la sécurité de l’État, c’est-à-dire présumer que l’attaque sera organisée par un adversaire extérieur probable, l’Ukraine aujourd’hui est «nue». En fait, il y a très peu de pays "non-fumeurs". Il est clair que les Américains sont capables de faire quelque chose et les Britanniques sont capables de faire quelque chose, de même que les Européens et peut-être les Russes. Mais cela coûte de l'argent, et gros. Pour une raison quelconque, les gens prennent la sécurité sur Internet pour acquise. Et ce n'est pas. Personne n'est surpris de la nécessité de mettre une alarme sur la voiture et de souscrire une assurance. Et l'assurance coûte 5% du coût de la voiture. Et l'alarme - 1-2%. Voici le même. Au fil du temps, les gens se rendent compte que sur Internet, ils doivent supporter les mêmes coûts de sécurité que dans la vie réelle. Je pense qu'en Ukraine un tel moment viendra dans cinq ans. À propos, ce marché est libre. Toute entreprise peut tenter sa chance dans ce cas. Vous pouvez même pas trop pressé. Mais je pense que dans cinq ans, ce sera un grand marché. À l’heure actuelle, le chiffre d’affaires d’Uaneta est estimé entre 10 et 20 millions de dollars par an, soit entre 1 et 2% entre 100 et 200 000 dollars - et c’est tout ce que le marché de la sécurité peut réclamer. Ce n'est pratiquement rien. Et il est impossible de construire une entreprise avec cet argent. Mais si vous prenez, par exemple, la Russie, où le chiffre d'affaires du marché est estimé à 1 milliard de dollars, alors 1-2% correspond déjà à 10-20 millions de dollars. Donc, vous devriez attendre que Uanet grandisse au moins 20 fois.