This page has been robot translated, sorry for typos if any. Original content here.

Quel pays, tel et ses attaques DOS

Какая страна, такие у нее и DOS-атаки
Chaque semaine, au moins une ressource Internet socio-politique déclare sur l'attaque DOS, dont il a fait l'expérience. Le problème de DDOS varie d'un site à l'autre. Certains «repoussent» leurs efforts, d'autres - attirent des fournisseurs, d'autres - «s'allongent» et attendent «quand tout finira».
Mais tous unissent un désir brûlant: trouver un méchant. Et aussi - comment empêcher DDOS la prochaine fois? Et même si le premier désir perd par la suite de sa pertinence, alors la tâche de «comment se protéger de l'attaque» est permanente.

"ProIT" a demandé une réponse au vice-président du conseil d'administration de l'AIU (Association Internet de l'Ukraine), Alexander Olshansky. En outre, il peut considérer ce problème de différents côtés - en tant que président du plus grand fournisseur d'hébergement en Ukraine MiroHost.net et en tant que membre du conseil d'administration de l'InAU - l'organisation la plus compétente pour résoudre les problèmes aigus dans Wanet.

Commencé pas bas:

- Alexander, désolé pour la première question primitive, mais encore: peut-il être possible avec des pertes minimales de "se battre" de l'attaque DOS?

- Tu peux

- Mais tout le monde en Ukraine ne le fait pas ...

- Pourquoi? Certains de nos clients ont riposté, et pas une seule fois. En Ukraine, il n'y a pas d'attaques avec une capacité de plus d'un million de paquets par seconde. Je n'ai pas vu un tel DDOS en Ukraine. Pour notre pays, les chiffres représentent généralement des dizaines de milliers de paquets par seconde.

- Il y a un million d'autres choses.

- Non, ils ne sont pas au-delà. Pour la Russie, par exemple, la valeur caractéristique peut être de l'ordre d'un mégapacket par seconde (s'il s'agit d'une attaque sérieuse). Si nous parlons de paix, alors le pouvoir des attaques peut être encore plus grand. Par conséquent, il existe des entreprises dans le monde qui protègent contre les attaques DOS. Nous avons eu l'idée de fournir un tel service en Ukraine. Mais le problème est qu'il n'y a pas encore de demande effective. La plupart des attaques auxquelles nous sommes confrontés visent des sites qui paient pour l'hébergement virtuel pour 8-10 $ par mois. Et sur notre proposition en relation avec DDOS aller au moins à un serveur dédié pour 50-70 $ par mois refus catégorique otvetnayut. En conséquence, et pour se protéger contre les attaques DOS, de tels sites ne sont pas prêts à dépenser au moins de l'argent.

- Et si vous fournissiez un service de protection contre DDOS - auriez-vous besoin d'héberger (Mirohost.net - ndlr)?

-  Non. Cela dépend de la technologie. Mais en général, c'est une condition souhaitable, mais pas nécessaire.

- Et combien de clients devrait-il y avoir pour qu'un tel service "fonctionne"? 10-100-1000?

- Plus de 100 à un prix de service de 200-300 $ par mois. Autrement dit, la maintenance de l'infrastructure pour lutter contre DDOS a besoin de 20 à 30 mille dollars par mois.

- En Russie, de telles entreprises fonctionnent?

- Ces entreprises travaillent partout. Vous pouvez acheter ce service à l'étranger dès maintenant. Seulement cela ne coûtera pas 300 $, mais 3 à 5 000 $ par mois. Mais vous serez fermé à partir de DDOS pour que seule la guerre atomique fasse peur.

- Quelle est la logique d'une telle protection? Est-ce clair?

- Absolument clair. C'est une méthode connue. Disons qu'il y a un fournisseur de services. Il a un ensemble d'adresses IP. Ce fournisseur met, par exemple, à 100 nœuds dans le monde ses routeurs et ses serveurs avec un pare-feu. En conséquence, il tunnel son trafic avec des tunnels de cryptage fermés à ces points. Et il est annoncé d'eux au monde extérieur (c'est une question d'annonces BGP). Autrement dit, d'un point de vue technique, il semble que ce fournisseur soit directement relié par fil à ces 100 points. Par exemple, chaque inclusion peut traiter 10 gigabits de trafic, y compris le trafic "parasite". En conséquence, la capacité totale est d'un térabit. Par conséquent, un attaquant afin de "marquer" un tel système, vous devez développer un flux terabit (ou environ 100 mégapackets). Ensuite, des pare-feu à chaque point du trafic de filtre de connexion, jetant "ordures". Et le trafic effacé de DDOS sur le canal crypté est remis au serveur protégé. Je décris plutôt simplement, mais le principe est clair. De même, sous une forme quelque peu modifiée, protégez, par exemple, le DNS racine. Ils sont régulièrement attaqués, relativement parlant, à des fins de «formation». Je ne me souviens pas des données exactes, mais pour 2007, la plus grosse attaque DOS était d'environ 40 méga-octets par seconde. Je pense que maintenant ces valeurs fluctuent autour de 100 mégapackets.

DOS-attaques - c'est une grande affaire criminelle. En fait, dans la plupart des cas, il s'agit d'extorsion. Chez nous, il y a des sites dont je sais pertinemment qu'ils ont extorqué de l'argent. Habituellement, les «achats en ligne», les casinos en ligne, les grandes ressources d'information - les projets, pour lesquels la rupture du contact avec les utilisateurs sur Internet menace avec des pertes rapides et importantes, sont choisis comme «cibles». Ainsi, à la veille du 8 mars, la plupart des sites ukrainiens vendant des fleurs «pondent». (Au crédit de notre société, je note que nous avons réussi à maintenir en même temps une ressource similaire en état de fonctionnement, hébergée par MiroHost.net).

- Pour l'Ukraine, cependant, assez et une petite attaque.

- Vous cherchez quelqu'un. Mais, il est clair que c'est une question d'argent. L'attaquant doit dépenser beaucoup d'argent. L'organisation d'une petite attaque est facile et bon marché, par exemple, à travers un forum. Mais créer une attaque vraiment grande et grosse est une affaire très risquée. Dans le monde, après tout, il existe de nombreuses agences de détectives payants spécialisés dans Internet.

-Est-ce qu'ils cherchent un attaquant? Comment?

- Oui, ils regardent, mais habituellement pas de manière technique, mais à travers des agents ou, par exemple, en offrant de l'argent pour des informations sur l'organisateur de l'attaque. Et demain, les organisateurs donnent le leur. Parce qu'il est impossible de l'organiser seul.

- Eh bien, pourquoi: lancé les chevaux de Troie, construit des «robots» et attaqué ...

- Mais quelqu'un a écrit ce cheval de Troie? Et quelqu'un a écrit une bibliothèque, et quelqu'un a écrit un compilateur, et quelqu'un contient un forum à travers lequel le client a communiqué avec l'organisateur.

Les histoires que l'attaquant ne révèle pas sont fausses. Oui, c'est cher, mais possible. Si c'est une question de ressources Internet mondiales sérieuses, alors les conséquences sont également très graves. Par exemple, une accusation dans un crime donné à un client peut être portée dans un pays où 25 ans d'emprisonnement sont prévus pour ce crime.

- Quand la prochaine attaque DOS commence sur nous, la première pensée: trouver celui qui a commandé ... eh bien, plus bas dans la liste ...

- Si nous parlons de petites attaques DOS, alors, comme le montre l'expérience, souvent en tant qu'organisateur est un enfant de 15 ans, qui a décidé de «se faire dorloter». Bien que de cela l'apparence ne devienne pas moins dangereuse.

- Mettons la question d'une manière différente. Si nous simulons une telle situation: la machine d'état s'est tendue, un technicien et un policier arrivent sur les ordinateurs infectés. Ils découvrent où l'ordinateur a été infecté, plus loin dans la chaîne ....

- Ça ne va pas aider

- En rapport avec la stupidité de la machine d'Etat ou du fait que c'est impossible en principe?

- Nous avons besoin d'un outil très spécialisé. C'est pourquoi il existe dans le monde des entreprises spécialisées dans ce domaine. Marcher avec un policier - ça vaut aussi l'argent. Et pour cette attaque, ils ont payé 50 $.

- Eh bien, 500 $ est encore plus commun.

- 500 $ - ce n'est pas une attaque coûteuse. Et si vous utilisez des méthodes standard, il se peut que vous deviez dépenser 500 000 $ pour des recherches, mais il y a deux façons de trouver un client: vous pouvez organiser toute cette enquête pour 500 000 $. Et il est possible sur le même forum où ces DDOS se vendent, de promettre 5 000 $ pour des informations sur l'organisateur.

En fait, c'est l'une des méthodes les plus efficaces. Les gens qui ont vendu ou loué un bot-no au client (un réseau d'ordinateurs infectés par les virus-eds), ils vont eux-mêmes "se rendre". Car en plus de l'argent, ils ne s'intéressent à rien. Rien de personnel.

- Dans le même contexte, mais un peu différent. Comment le fournisseur d'hébergement se sent-il lorsqu'il attaque?

"Il ne se sent pas bien." Le fournisseur d'hébergement a les alternatives suivantes. A - éteignez le site qui est fini. Protéger le site, qui est terminé gratuitement. Et C - le protéger pour de l'argent. Dans la plupart des cas, l'option A est acceptée car B n'est pas rentable et le client n'est pas prêt à payer pour C. À son tour, MiroHost.net essaie de minimiser l'impact de DDOS sur ses clients, autant que notre infrastructure le permet. Et dans de nombreux cas, nous réussissons. Cependant, pour se protéger contre les grandes attaques DOS, un service spécialisé est nécessaire à un prix beaucoup plus élevé que le prix que les clients sont prêts à payer aujourd'hui.

- Un hébergeur peut adhérer au système de protection pour 5000 $ et protéger tous ses sites?

- Pour 5 000 $ ne peut pas, mais pour 50 000 $ ou 500 000 $ - c'est possible. J'ai déjà dit que le maintien de l'infrastructure minimale de protection DDOS coûte des dizaines de milliers de dollars par mois. Et si vous achetez ce service auprès d'un fournisseur tiers, cela coûtera encore plus cher. Par exemple, pour une société d'hébergement de notre niveau pour les tarifs commerciaux de l'Ouest, un tel service coûtera plus de 200 000 $ par mois. Encore une fois, cela ne sert à rien, car la plupart des clients ne sont pas prêts à payer pour cela. Eh bien, disons, pourquoi la protection DDOS pour le site "A propos de mon chat préféré"? Si quelqu'un veut dépenser 50 $ et «l'éteindre» pendant 2 heures, alors il n'y a pas de raison de l'entraver.

- C'est-à-dire, généralement déconnecter les sites?

- Encore une fois je le répète: tout dépend de la ressource elle-même. Dans l'Ouest, les hébergeurs se réfèrent à ceci: si vous avez une activité Internet, payez pour une protection anti-DOS. En fait, c'est une assurance. Après tout, aucune entreprise ne peut vous protéger du fait qu'une brique vous tombera sur la tête. Mais il y a une compagnie qui vous offre une assurance. Voici le même schéma. Si vous avez un site Web et que vous considérez qu'il est important de vous protéger contre les attaques, vous payez des sociétés spécialisées, tout comme vous payez pour un antivirus.

Les fournisseurs d'hébergement, en règle générale, n'ont rien à voir avec cela. Certains hébergeurs, cependant, fournissent un tel service dans un pack d'hébergement. Mais en réalité, ce sont deux services différents. Et puisque le prix de la protection anti-DOS, en règle générale, est beaucoup plus élevé, on peut supposer que dans le cadre de ce service d'hébergement est fourni gratuitement. Donc, la création de réseaux sécurisés est une grande entreprise en croissance rapide dans le monde. Nous avons également exploré en Ukraine la possibilité de fournir un tel service, mais, comme je l'ai dit, le marché n'est pas encore disponible.

- Parce qu'en Ukraine il n'y avait pas de superatak?

- En parlant, parce qu'il n'y a pas assez d'argent à Uanet. Le coût de la sécurité est proportionnel à la quantité d'argent qui se transforme en Internet. Dès que votre site commence à gagner 300 000 $ par mois, je suis sûr que ceux qui veulent vous «traire» seront trouvés. Je crois qu'en Ukraine, il n'y a pas plus de 50 projets Internet réels (au téléphone), mais peut-être même moins. Mais quand de tels projets deviennent 500 ou 5000 - alors le marché apparaîtra. Mais ce ne sera pas demain. Peut-être dans trois ou même cinq ans.

"Peut-être à haute altitude ... mais toujours sur la sécurité de l'information." Après tout, pour un peu d'argent, vous pouvez mettre tous les organismes d'État. Et peut-être le pays entier.

- Oui, dans le monde moderne, cette arme. Par exemple, si vous vous souvenez de la guerre en Géorgie. En fait, pendant un certain temps, les sites géorgiens n'étaient pas disponibles. Si nous parlons de l'Ukraine, alors il est impossible de "la remplir" puisque la Géorgie a "dépassé" ou, à son époque, l'Estonie. L'Ukraine est nettement mieux inclus dans l'Internet mondial, nous avons plus de canaux, et ils sont plus diversifiés. Et la Géorgie n'était connectée que par deux canaux. Et puis l'un d'entre eux n'était pas très bon.

Bien que les raisons de se détendre, je ne vois pas. Compte tenu de notre taille, une telle attaque coûtera beaucoup plus cher, et l'organisera plus difficile. Mais ici tout dépend de qui est "de l'autre côté". Si ce sont des amateurs, alors, très probablement, ils ne peuvent pas faire face à l'Ukraine. Mais si l'on considère ce problème du point de vue de la sécurité de l'Etat, c'est-à-dire que l'on suppose que l'attaque sera organisée par un probable ennemi extérieur, alors l'Ukraine est aujourd'hui "nue". En fait, il y a très peu de pays "nus". Il est clair que les Américains ont quelque chose à faire, et que les Britanniques sont capables de faire quelque chose, et les Européens, et peut-être les Russes. Mais cela coûte de l'argent, et gros. Pour une raison quelconque, les gens perçoivent la sécurité sur Internet comme quelque chose d'évident. Et ce n'est pas le cas. Personne n'est surpris que vous devez mettre une alarme sur la voiture, et acheter une assurance. Et l'assurance coûte 5% du coût de la voiture. Et le système d'alarme est 1-2%. Voici la même chose. Au fil du temps, les gens se rendent compte que sur Internet, ils doivent supporter les mêmes coûts de sécurité que dans la vie réelle. Je pense qu'en Ukraine cette fois-ci viendra dans cinq ans. En passant, ce marché est gratuit. Toute entreprise peut tenter sa chance dans ce cas. Vous pouvez même ne pas vous précipiter. Mais je pense que dans cinq ans ce sera un grand marché. Aujourd'hui, le chiffre d'affaires d'Unite est estimé entre 10 et 20 millions de dollars par an, soit entre 1 et 2%, entre 100 et 200 mille dollars - et c'est tout ce que le marché de la sécurité peut réclamer. C'est presque rien. Et il est impossible de construire une entreprise avec cet argent. Mais si vous prenez, par exemple, la Russie, où le chiffre d'affaires du marché est estimé à 1 milliard de dollars, alors 1-2% est déjà de 10 à 20 millions de dollars. Il faut donc attendre, alors que Уанет va croître au moins une fois en 20.