Война в Интернете: поражены eBay, Buy.com, Yahoo!

Роберт Лемос (Robert Lemos) и Дженнифер Мак (Jennifer Mack), ZDNet News

8 февраля 2000 г.

Число жертв однотипных атак, вызывающих перегрузку системы (denial-of-service, D.O.S.), среди крупнейших веб-сайтов продолжает расти: к пострадавшему первым Yahoo! в течение двух дней присоединились eBay, Buy.com, Amazon.com и CNN.com. Ведущие эксперты предупреждают, что вероятны новые атаки, которые невозможно предотвратить.

Во вторник был заблокирован веб-трафик крупнейшего аукционного сайта eBay и сайта онлайновой розничной торговли Buy.com. Пока неизвестно, связаны ли эти атаки с аналогичной атакой D.O.S., которая привела к бездействию сайта Yahoo! в продолжение трех часов в понедельник. Агенты ФБР встретились с представителями Yahoo! на предмет начала расследования инцидента.

Тем временем компания Keynote Systems, специализирующаяся на интернет-мониторинге, сообщила, что во вторник вечером онлайновый магазин Amazon.com практически бездействовал, демонстрируя те же симптомы, какие были во время атаки у Yahoo, eBay и Buy.com.

Наконец, последней жертвой за эти сутки стал сайт CNN.com. гВ семь вечера по восточному стандартному времени мы подверглись атаке хакеров. Она продолжалась до 8:45. Мы серьезно пострадали: обслуживание контента было чрезвычайно затруднено, + рассказывает директор по PR Эдна Джонсон (Edna Johnson). + В 8:45 наши провайдеры заблокировали то место, через которое нас атаковали, и теперь мы работаем нормальноё.

eBay, Buy.com и Yahoo! подверглись скоординированным, распределенным атакам D.O.S., при которых атакующие используют большое число согласованно действующих серверов для бомбардировки цели данными. При этом от атакующих не требуется большой технической подготовки, и от подобных атак очень трудно защититься.

Спасенья нет?
Могли ли крупнейшие веб-сайты предотвратить эти атаки? В случае Yahoo! инженеры GlobalCenter наложили ограничение на определенный тип данных + пакеты Internet control messaging protocol (ICMP), поток которых продолжался в течение этих нескольких часов. По мнению экспертов, эту тактику компании следовало бы применить давно. Для атаки на Yahoo!, вероятнее всего, использовались сотни или тысячи серверов, данные которых сливались таким образом, что создавалось впечатление потоков из 50 разных интернет-адресов.

Элиас Леви (Elias Levy), главный технолог компании SecurityFocus.com, описывает случай, когда для аналогичной атаки использовались 10 тыс. серверов. гЕдинственный способ предотвратить подобное засорение Интернета заключается в том, чтобы каждый тщательно проверял свою сеть и устранял все ошибки конфигурацииё, + считает он.

гЭто единственное решение. Все, что можно сделать сегодня, + это поставить антиспуфинговые фильтры, затрудняющие атаки и облегчающие прослеживание их источникаё, + подтверждает специалист по защите сетей из AT&T Labs Стив Белловин (Steve Bellovin). Возможно, это чистое совпадение, но атака на Yahoo! началась через полчаса после того, как Белловин прочитал доклад об атаках denial-of-service на конференции Организации сетевых операторов Северной Америки.

Будущее кажется беспросветным
Фильтрация пакетов позволяет защитить от большинства современных инструментов, предназначенных для проведения распределенных атак D.O.S., но новые методы способны обойти такую защиту. Один из таких передовых инструментов + Stream.c + посылает ложные пакеты TCP/IP, которые обычный маршрутизатор переадресует в сервер назначения. Пакеты могут быть скомпонованы так, чтобы занять драгоценное машинное время еще до выявления их злонамеренности. Такие пакеты очень трудно выявить и отфильтровать.

Правда, по крайней мере пока, подобными средствами интересуются лишь вандалы. гАтаки этого типа дают атакующим возможность почувствовать себя сильными, + говорит Белловин из AT&T. + Они как дети, которые ломают антенны на улицеё.

ZDNET Russia