This page has been robot translated, sorry for typos if any. Original content here.

Quel pays, tels et attaques DOS

Какая страна, такие у нее и DOS-атаки
Chaque semaine, au moins une ressource Internet sociopolitique annonce une attaque par le DOS qui a survécu. Le problème de DDOS différents sites résolvent différemment. Certains "repoussent" leurs efforts, d'autres - attirent des prestataires et d'autres - "s'allongent" et attendent, "quand tout est fini".
Mais tous sont unis par un désir ardent: retrouver le méchant. Et aussi - comment prévenir DDOS la prochaine fois? Et même si, par la suite, le premier désir perd de sa pertinence, la tâche «Comment se défendre contre une attaque» est permanente.

«ProIT» a demandé à Alexander Olshansky, vice-président du conseil d’administration de l’InAU (Internet Association of Ukraine), de répondre à la question. En outre, il peut examiner ce problème de différentes manières - en tant que président du principal fournisseur d’hébergement d’Ukraine, MiroHost.net, et en tant que membre du conseil d’administration de l’InAU, l’organisme le plus influent en matière de résolution des problèmes graves d’Uanet.

A commencé non-compétence:

- Alexander, désolé pour la première question primitive, mais quand même: est-il possible de «repousser» une attaque DOS avec un minimum de pertes?

- Tu peux

- Mais tout le monde en Ukraine ne le fait pas ...

- pourquoi Certains de nos clients ont «riposté», et plus d'une fois. En Ukraine, il n'y a pas d'attaque d'une capacité supérieure à un million de paquets par seconde. Je n'ai pas vu un tel DDOS en Ukraine. Pour notre pays, les chiffres de l'ordre de dizaines de milliers de paquets par seconde sont plus typiques.

- Million - ce sont des choses scandaleuses.

- Non, pas au-delà. Pour la Russie, par exemple, la valeur caractéristique peut être de l'ordre d'un méga-paquet par seconde (s'il s'agit d'une attaque grave). Si nous parlons du monde, le pouvoir des attaques peut être encore plus. Par conséquent, il existe des sociétés dans le monde qui se protègent contre les attaques par DOS. Nous avons eu l’idée de fournir un tel service en Ukraine. Mais le problème est qu’il n’ya pas de demande effective ici. La plupart des attaques auxquelles nous sommes confrontés sont dirigées vers des sites payant un hébergement virtuel pour 8 à 10 dollars par mois. Et notre offre en liaison avec DDOS de passer à au moins un serveur dédié pour 50 à 70 dollars par mois recevra une réponse catégorique. En conséquence, ces sites ne sont pas disposés à dépenser même de l'argent pour se protéger contre les attaques par DOS.

- Et si vous fournissiez le service de protection DDOS, serait-il nécessaire de vous héberger (Mirohost.net-ed)?

-  Non. Cela dépend de la technologie. Mais en général, il s’agit d’une condition souhaitable mais facultative.

- Et combien de clients devrait-il y avoir pour qu'un tel service «fonctionne»? 10-100-1000?

- Plus de 100 lorsque le prix du service est de 200 à 300 dollars par mois. En d’autres termes, la maintenance de l’infrastructure de lutte contre les DDOS nécessite entre 20 et 30 000 dollars par mois.

- Ces entreprises travaillent-elles en Russie?

- De telles entreprises travaillent partout. Vous pouvez acheter un tel service à l'étranger dès maintenant. Seulement, cela ne coûtera pas 300 dollars, mais 3 000 à 3 000 dollars par mois. Mais alors, vous serez coupé de DDOS de telle sorte que seule une guerre nucléaire fera peur au site.

- Et quelle est la logique d'une telle protection? Est-elle claire?

- Parfaitement clair. C'est une méthode connue. Supposons qu'il existe un certain fournisseur de services. Il a un ensemble d'adresses IP. Ce fournisseur, par exemple, place ses routeurs et ses serveurs avec un pare-feu sur 100 nœuds dans le monde. En conséquence, il tunnelise son trafic avec des tunnels cryptés fermés vers ces points. Et cela est annoncé de leur part au monde extérieur (il s’agit des annonces BGP). C’est-à-dire que d’un point de vue technique, il semble que ce fournisseur est connecté directement par des fils à ces 100 points. Supposons que chaque inclusion puisse gérer 10 gigabits de trafic, y compris le trafic «parasite». En conséquence, la capacité totale est d’un terrabit. Cela signifie qu'un attaquant doit développer un terrabit du flux (ou environ 100 méga-paquets) afin de «marteler» un tel système. Ensuite, les pare-feu à chaque point de commutation filtrent le trafic, jetant ainsi des "déchets". Et le trafic libéré de DDOS sur un canal crypté est transmis au serveur protégé. Je décris tout simplement, mais le principe est clair. De même, les DNS racine sont protégés sous une forme légèrement modifiée, par exemple. Ils essaient régulièrement d'attaquer, relativement parlant, dans le but de "s'entraîner". Je ne me souviens pas des données exactes, mais en 2007, la plus grande attaque par le DOS était d'environ 40 méga-paquets par seconde. Je pense que maintenant ces valeurs fluctuent autour de 100 méga-paquets.

Les attaques de DOS sont une affaire criminelle importante. En fait, dans la plupart des cas, il est associé à une extorsion de fonds. Nous avons des sites sur l'hébergement à partir desquels, je suis sûr, extorqué de l'argent. Habituellement, les magasins en ligne et les casinos en ligne sont choisis comme «cibles»; les grandes ressources d’information sont des projets pour lesquels la rupture du contact avec les utilisateurs sur Internet entraîne des pertes rapides et importantes. Ainsi, à la veille du 8 mars, la plupart des sites ukrainiens qui vendent des fleurs, "pondent". (Au mérite de notre société, je note que, parallèlement, nous avons réussi à maintenir en état de fonctionnement une ressource similaire hébergée par MiroHost.net).

- Pour l'Ukraine, cependant, il y a assez d'une petite attaque.

- Je cherche quelqu'un. Mais il est clair que c'est une question d'argent. L’attaquant doit dépenser beaucoup d’argent. Organiser une petite attaque est facile et peu coûteux, par exemple via un forum. Mais créer une attaque vraiment grande et grande est une entreprise très risquée. Il existe dans le monde de nombreuses agences de détectives rémunérées spécialisées dans Internet.

- Sont-ils à la recherche d'un attaquant? En quoi?

- Oui, ils cherchent, mais en règle générale, pas par des moyens techniques, mais par l'intermédiaire d'un agent ou, par exemple, en offrant de l'argent pour obtenir des informations sur l'organisateur de l'attaque. Et demain l'organisateur donne le sien. Parce que seul cela ne peut pas être organisé.

- Eh bien, pourquoi: des chevaux de Troie lancés, des "robots" et attaquer ...

- Mais quelqu'un a-t-il écrit ce cheval de Troie? Et quelqu'un a écrit la bibliothèque et le compilateur, et quelqu'un contient un forum à travers lequel le client a communiqué avec l'organisateur.

Les histoires que l'attaquant - indétectable - n'est pas vraie. Oui, c'est cher, mais possible. Si nous parlons de ressources Internet globales sérieuses, les conséquences sont également très graves. Par exemple, le client peut être accusé de ce crime dans un pays où 25 ans d'emprisonnement sont prévus pour ce crime.

- Lorsque la prochaine attaque DOS commence, la première chose à faire est de trouver celui qui a commandé ... eh bien, la liste continue ...

- Si nous parlons de petites attaques de type DOS, l'expérience montre que, souvent, c'est un enfant de 15 ans qui s'avère être l'organisateur, qui a décidé de «jouer». Bien que cela ne devienne pas moins dangereux.

- Posez la question différemment. Si pour simuler une telle situation: la machine à états est tendue, un technicien et un policier se rendent sur les ordinateurs infectés. Ils découvriront où l'ordinateur a été infecté, plus loin dans la chaîne ...

- ne va pas aider

- En lien avec la stupidité de la machine à états ou le fait qu’elle est en principe impossible?

- Nous avons besoin d'un outil très spécialisé. C'est pourquoi il existe des sociétés dans le monde qui se spécialisent dans ce domaine. Marcher avec un policier vaut également la peine. Et pour cette attaque payée 50 $.

- Eh bien, 500 $, c'est encore plus courant.

- 500 $ est déjà une attaque bon marché. Et si vous utilisez des méthodes standard, il se peut que vous deviez dépenser 500 000 $ en recherches. Il y a deux façons de trouver un client: vous pouvez organiser toute cette enquête pour 500 000 $. Et il est possible sur le même forum où ces DDOS se vendent, promettent 5 000 dollars pour des informations sur l'organisateur.

En fait, c'est l'une des méthodes les plus efficaces. Les personnes qui ont vendu ou loué un bot-no à un client (un réseau d'ordinateurs infectés par un virus - édité) seront propriétaires du client et «rendues». Parce qu'en dehors de l'argent, ils ne s'intéressent à rien. Rien de personnel.

- Dans le même contexte, mais un peu différent. Comment le fournisseur d'hébergement se sent-il en attaquant?

- Je me sens mal. Le fournisseur d'hébergement a les alternatives suivantes. Et - fermez le site, quel dosyat. B - Protégez un site gratuitement. Et C - protégez-le pour de l'argent. Dans la plupart des cas, l'option A est acceptée, car B n'est pas rentable et le client n'est pas prêt à payer pour C. À son tour, MiroHost.net tente de minimiser l’impact de DDOS sur ses clients, dans la mesure où notre infrastructure le permet. Et dans de nombreux cas, nous réussissons. Toutefois, pour se protéger contre les grandes attaques DOS, un service spécialisé est nécessaire à un prix nettement supérieur au prix que les clients sont prêts à payer aujourd'hui.

- Un fournisseur d’hébergement peut-il s’engager dans un système de protection de 5 000 dollars et protéger tous ses sites?

- Pour 5 000 dollars, vous ne pouvez pas, mais pour 50 000 dollars ou 500 000 dollars - c'est possible. J'ai déjà dit que le maintien d'une infrastructure minimale de protection contre les DDOS coûte des dizaines de milliers de dollars par mois. Et si vous achetez ce service auprès d'un fournisseur tiers, il sera encore plus cher. Par exemple, pour une société d’hébergement de notre niveau aux tarifs commerciaux occidentaux, un tel service coûtera plus de 200 000 dollars par mois. Et là encore, cela n’a aucun sens, car la majorité des clients ne sont pas prêts à payer pour cela. Eh bien, disons, pourquoi DDOS-protection du site “À propos de mon chat bien-aimé”? Si quelqu'un veut dépenser 50 $ et «l'éteindre» pendant 2 heures, il est alors inutile de le décourager.

- C’est-à-dire que les sites sont généralement désactivés?

- Je répète: tout dépend de la ressource elle-même. En Occident, les hébergeurs s'y réfèrent comme suit: si vous exploitez une entreprise Internet, payez pour la protection anti-DOS. En fait, c'est une assurance. Après tout, aucune entreprise ne peut vous protéger du fait qu’une brique vous tombera sur la tête. Mais il existe une entreprise qui vous propose une assurance. Voici le même schéma. Si vous avez un site Web et que vous considérez qu'il est important de vous protéger contre les attaques, vous payez des entreprises spécialisées, tout comme vous payez pour un antivirus.

Les fournisseurs d'hébergement, en règle générale, n'ont rien à voir avec cela. Certains hébergeurs, cependant, fournissent ce service dans un package d'hébergement. Mais en réalité, ce sont deux services différents. Et comme le prix de la protection anti-DOS est généralement beaucoup plus élevé, nous pouvons supposer que l'hébergement est fourni gratuitement au sein de ce service. La création de réseaux sécurisés est donc une activité économique en forte croissance dans le monde. Nous avons également étudié la possibilité de fournir un tel service en Ukraine, mais, comme je l’ai dit, le marché n’est pas encore disponible.

- Parce qu'en Ukraine il n'y avait pas de superaratk?

- C'est rapide car il y a peu d'argent à Uaneta. Le coût de la sécurité est proportionnel à la quantité d'argent qui circule sur Internet. Dès que votre site commence à gagner 300 000 dollars par mois, je suis sûr que ceux qui souhaitent "traire" vous seront retrouvés. Je crois qu’en Ukraine, il n’existe pas plus de 50 projets Internet réellement rentables (de façon indirecte), mais peut-être même moins. Mais lorsque ces projets atteindront 500 ou 5000, le marché apparaîtra. Mais ce ne sera pas demain. Peut-être dans trois ans ou même dans cinq ans.

- Peut-être pompeusement ..., mais toujours sur la sécurité de l'information. Après tout, pour un peu d'argent, vous pouvez mettre tous les organismes gouvernementaux. Et peut-être tout le pays.

- Oui, dans le monde moderne, c'est une arme. Ici, par exemple, si vous vous souvenez de la guerre en Géorgie. En fait, pendant un certain temps, les sites géorgiens n’étaient pas disponibles. Si nous parlons de l'Ukraine, il est alors impossible de la "vider" car elle a été "inondée" en Géorgie ou en Estonie à un moment donné. L’Ukraine est beaucoup mieux intégrée à l’Internet mondial, nous avons plus de canaux et ils sont plus diversifiés. Et la Géorgie n’était connectée qu’à deux canaux. Et puis l'un d'eux n'était pas très bon.

Bien que la raison de se détendre, je ne vois pas. Vu notre taille, une telle attaque coûtera beaucoup plus cher et il est plus difficile de l'organiser. Mais tout dépend de qui "de l'autre côté". S'il s'agit d'amateurs amateurs, ils ne pourront probablement pas faire face à l'Ukraine. Mais si examiner ce problème du point de vue de la sécurité de l'État, c'est-à-dire de présumer que l'attaque sera organisée par un adversaire extérieur probable, l'Ukraine aujourd'hui est «nue». En fait, il y a très peu de pays "non-fumeurs". Il est clair que les Américains sont capables de faire quelque chose et que les Britanniques sont capables de faire quelque chose, de même que les Européens et peut-être les Russes. Mais cela coûte de l'argent, et gros. Pour une raison quelconque, les gens prennent la sécurité sur Internet pour acquise. Et ce n'est pas. Personne n'est surpris de la nécessité de mettre une alarme sur la voiture et de souscrire une assurance. Et l'assurance coûte 5% du coût de la voiture. Et l'alarme - 1-2%. Voici le même. Au fil du temps, les gens se rendent compte que sur Internet, ils doivent supporter le même coût de sécurité que dans la vie réelle. Je pense qu'en Ukraine un tel moment viendra dans cinq ans. À propos, ce marché est libre. Toute entreprise peut tenter sa chance dans ce cas. Vous pouvez même pas trop pressé. Mais je pense que dans cinq ans, ce sera un grand marché. Aujourd'hui, le chiffre d'affaires d'Uaneta est estimé entre 10 et 20 millions de dollars par an, c'est-à-dire qu'entre 1 et 2% représentent entre 100 et 200 000 dollars - et c'est tout ce que le marché de la sécurité peut réclamer. Ce n'est pratiquement rien. Et il est impossible de construire une entreprise avec cet argent. Mais si vous prenez, par exemple, la Russie, où le chiffre d'affaires du marché est estimé à 1 milliard de dollars, alors 1-2% correspond déjà à 10-20 millions de dollars. Donc, vous devriez attendre que Uanet grandisse au moins 20 fois.