Як Атакували «Живий Журнал»

На початку квітня один з найпопулярніших сервісів блогів LiveJournal піддався атакам хакерів. Обидві атаки — 4 і 6 квітня — досягли своєї мети: сервіс був практично повністю недоступний для користувачів. На сьогоднішній день, труднощі в роботі з блог-платформою тривають.
На жаль, у фахівців немає точних відомостей про те, як проходила атака на Livejournal.com 4 квітня і які компоненти сервісу були атаковані. Вся інформація про атаку отримана в результаті незалежного аналізу стану сервісу та параметрів окремих ботів, що, звичайно, заважає скласти вичерпну картину атаки.
Так чи інакше, важливу роль в успіху цієї атаки, безсумнівно, зіграла уразливість програмного забезпечення, що гарантує безперебійну роботу Livejournal. Потрібно розуміти, що популярні і відомі інтернет-сервіси, на зразок Вконтакте.ру або Хабрахабра, постійно відчувають DDoS-атаки різної потужності. Наприклад, сайт highloadlab.com знаходиться під ударом DDoS-атак практично в цілодобовому режимі 7 днів на тиждень. Зловмисники тестують нові технології саме на відомих веб-сервісах, і популярні сайти в масі своїй готові — чи повинні бути готові до серйозних DDoS-атакам. Проблеми в таких сайтів з’являються тоді, коли при оновленні програмного забезпечення сайту не робиться відповідний акцент на ефективність і безпеку впроваджуваних змін. Чим же так небезпечні DDoS-атаки?
DDoS — це підмножина класу атак «відмова в обслуговуванні», для якого характерний елемент роздрібненості. У атаки немає єдиного джерела, вона здійснюється з різних країн і мереж, що значно ускладнює пошук і усунення джерела атаки. Принцип роботи цього класу атак завжди однаковий: знайти в інформаційній системі обмежений ресурс і вичерпати його, відтіснивши запити «звичайних» користувачів. Наприклад, використавши максимальна кількість з’єднань, яка може олужить сервер, гарантовано заблокувати доступ до нього всім звичайним користувачам, тим самим «вимкнувши» його для аудиторії.
Відомі сотні різних методик проведення DDoS-атак. Можна виділити два найбільш популярних: DDoS, проводиться із застосуванням «ботнету», і новий, що набирає популярність, «соціальний» DDoS. У першому випадку власник комп’ютера або будь-якого підключеного до мережі пристрою стає співучасником злочину без його відома, у другому випадку (wiki: LOIC ) люди добровільно приєднуються до атаки на який-небудь ресурс з метою заявити свій протест. Найбільш яскравими прикладами «соціального» DDoS можна назвати успішні атаки на найбільші платіжні та банківські системи, викликані переслідуванням WikiLeaks, а також атаку на онлайн-сервіси компанії Sony, що сталася одночасно з атаками на Livejournal і викликану судовими розглядами компанії з хакером Geohot. У випадку з Livejournal атака була проведена з використанням став класикою методу — за допомогою ботнету.
Ботнет — це безліч підключених до мережі інфікованих шкідливим програмним забезпеченням пристроїв — ботів (сокращеннно від робот), об’єднаних в одну мережу. Повністю підконтрольна зловмисникам, вона може використовуватися для різних цілей: розсилки спаму, поширення шкідливого ПЗ і збільшення розмірів ботнету, махінацій з рекламою і партнерськими програмами і, звичайно, DDoS-атак.
Те, що атаки на Sony і Livejournal були технологічними, сумніву не викликає. Обидві компанії мають потужну інформаційну інфраструктуру і штат досвідчених технічних фахівців, але і в тому, і в іншому випадках атаки досягли успіху — обслуговування користувачів було призупинено.
Але чому Sony швидко, протягом декількох годин, нейтралізувала загрозу, а LiveJournal відчуває проблеми вже кілька днів, втрачаючи аудиторію і репутацію? Відповідь проста: Sony звернулася до компанії, що займається фільтрацією трафіку. LiveJournal з якихось причин вирішив протидіяти атакам своїми силами, хоча нам відомо, що пропозиції від російських і зарубіжних компаній, що працюють на ринку подібного роду послуг, їм надходили і вартість цих услугсущественно нижче втрат навіть від одного дня простою сервісу LiveJournal. Причому краще б вони звернулися до закордонним конторам: у нас в країні послуги із захисту і ліквідації атак перебувають у процесі свого становлення і існують в досить сирому вигляді.
Вартість ліквідації наслідків атаки і блокування подальших спроб вивести з ладу роботу сервісу залежить від декількох факторів.
По-перше, пряма залежність від обсягів трафіку. У ЖЖ сьогодні канал 2 гігабіта. У Росії гігабітний канал з гарантованою смугою коштує 320 000 рублів на місяць. За інофрмацію, опублікованій співробітниками SUP, обсяги легітимного трафіку Livejournal становлять близько 400 мбіт/c. Це означає, що вартість послуг по фільтрації трафіку не привышала б $10 000 в місяць. Однозначно менше, ніж коштував день самої атаки, за інформацією самого Livejournal.
По-друге, не менш важливо кількість запитів. Необхідно аналізувати кожен запит, а це обчислювальні потужності від очікувань клієнта по рівню сервісу (SLA). Автоматика спрацьовує не завжди.
По-третє, важливо розуміти, коли на проблему буде виділено інженер, який займеться вирішенням проблеми, скільки часу у нього є. Адже це все зарплатний фонд. Фахівці нині дорого цінуються.
У сучасних технологічних DDoS-атаках ботнет повністю імітує поведінку «звичайних» користувачів, що значно ускладнює процес відсіву шкідливого трафіку — без поведінкового аналізу та його математичного моделювання не обійтися. І проводяться ці атаки не «очкариків»-одинаками, а професійними кримінальними угрупованнями з чітко розписаними ролями і функціями, які працюють позмінно та цілодобово. В таких умовах DDoS-атака починає нагадувати карткову гру Magic The Gathering, де суперники, дістаючи нові карти, постійно змінюють стратегію бою. У спеціалізованих компаній, як правило, вже існує спеціальне обладнання та алгоритми, які в автоматичному режимі відстежують зміни в стратегії атаки і вживають заходів до протидії.
Крім алгоритміки необхідні також обчислювальні та потужності канальні, оскільки швидкість атаки може досягати десятків мегабіт. У розпорядженні LiveJournal, судячи по звітам його співробітників, було всього 2 гігабіта канальної ємності. Це в 5 разів більше, ніж нормальний трафік LiveJournal, але і цього виявилося недостатньо, щоб впоратися з першою атакою.
Коли нас запитують про потужності тієї чи іншої атаки, ми зазвичай отшучиваемся: «атака пройшла успішно, потужність вибуху склала 18 мегатонн». Насправді існує безліч різних методик атак і кожна з них буде мати свій набір метрик описують її потужність. Але ми вважаємо єдино вірною метрикою — успішність. Якщо атака вивела ресурс з ладу, кількість гігабіт, мегапакетов або килозапросов в секунду вже вдруге. Ідеальною, на наш погляд, є атака, при якій всі метрики інформаційної системи знаходяться в межах норми, але користувачі позбавлені доступу до інформації.
Контекст явища може бути політичним, соціальним, економічним. Ми живемо у світі, в якому все визначається доступом до інформації. DDoS — це ефективний спосіб блокувати або стримувати поширення певної інформації. У США останнім часом надзвичайно популярний термін Informational Warfare. DDoS як явище в наш час має політичний контекст в такій же мірі, в який автомат Калашникова мав у XX столітті.
Технічна довідка
4 квітня Livejournal впровадив нову систему кешування даних. Практично відразу було помічено, що ця система працює з наріканнями: знову опубліковані записи з’являлися в живих стрічках користувачів через значний час. Практично одночасно з цим на ЖЖ почалася DDoS-атака, яка мала успіх, і надзвичайно складно розцінювати ці події як незалежні.
5 квітня Livejournal повернувся до стабільної роботи, однак багато дослідників DDoS-атак продовжили спостереження за сервісом з метою аналізу потенційної загрози. 6 квітня сервіс знову припинив роботу через атаки. У цей момент вдалося встановити наступне:
— незважаючи на повну непрацездатність заголовної сторінки Livejournal.com і блогів ЖЖ, сервіси, розташовані в тому ж датацентрі, на тому ж інтернет-каналі (наприклад, pics.livejournal.com), працювали без нарікань. Отже, атака була направлена не на вичерпання розміру інтернет-каналу;
— через допоміжні сервера Livejournal можна було отримати доступ до баз даних записів користувачів ЖЖ. Отже, атака була направлена не на базу даних Livejournal.
7 квітня Livejournal знову випробовував деякі короткострокові проблеми з працездатністю регулярно повертаючи помилку HTTP 500.
Таким чином, можна з певною часткою впевненості заявити, що атакуючі скористалися проломом саме в реалізації системи кешування записів.
Джерело: HIFIPORTAL.RU