Краткая история DDoS. От проделок спамеров до рынка объёмом $2 млрд

Зомби-холодильники и веб-камеры, атакующие интернет-гигантов вроде Google; ботнеты, состоящие из сотен тысяч маршрутизаторов и роутеров, — DDoS-атаки становятся всё более мощными и разрушительными. Тем интереснее за ними следить. Рынок средств защиты от DDoS тоже растёт — в ближайшие годы его объём превысит $2 млрд. Предлагаю оглянуться назад и вспомнить, как всё начиналось. Это поможет понять, как мы собираемся противостоять угрозе.

DDoS прошлого века

В начале 1990-х года DDoS в виде техники SYN flood (отправка «мусорных» запросов к операционной системе на установку TCP-соединения) был священным знанием, которое передавалось из уст в уста в малолюдном ещё тогда интернете и использовался в основном в шкодливых целях, без особого успеха и резонанса.

Лишь в 1996 году Координационный центр CERT (computer emergency response team) университета Карнеги-Меллона опубликовал рекомендации по противодействию SYN flood, таким образом официально признав наличие проблемы.

Поводом стала первое масштабное нападение на крупнейшего интернет-провайдера Нью-Йорка — Panix Networks. Это была коммерческая атака, организованная спамерами. Они мстили Panix за то, что компания не позволила им рассылать мусорные рекламные сообщения пользователям.

В том же 1996 году впервые был опубликован набор публичных инструментов с исходным кодом для осуществления DDoS. Спустя два года этот инструментарий был опробован на Мичиганском университете — состоялась вторая крупная DDoS-атака.

Что интересно: университет Мичигана находится в городе Энн-Арбор, откуда вышла компания Arbor Networks — один из ведущих производителей оборудования для противодействия DDoS. Её история началась с нескольких исследовательских работ, написанных в этом университете по следам нашумевшей атаки на университет.

В 2000 году 15-летний подросток, скрывавшийся под ником MafiaBoy, один за другим опрокинул самые посещаемые сайты мира того времени: eBay, CNN, Dell, Yahoo, Amazon и т.д. Интернет-сообщество было в панике. Казалось, наступает интернет-апокалипсис.

Новая эра

Интернет, как вы видите, не сломался. Индустрия научилась противодействовать хакерам.

Но уже в 2001 году техника нападений серьёзно усовершенствовалась. Пошли первые серьёзные атаки типа Amplification прикладного уровня. При совершении такой атаки на сетевой ресурс (амплификатор), содержащий уязвимость, отправляется запрос, который этим сервером многократно тиражируется и перенаправляется на ресурс жертвы.

В 2003 году DDoS докатился и до России, принеся атаку на MasterHost — самый крупный хостинг нашей страны на тот момент.

В 2004 году Cisco Systems поглотила израильского разработчика средств предотвращения атак Riverhead Networks. Благодаря этой покупке ей удалось создать первый успешный коммерческий продукт для борьбы с DDoS — Cisco Guard.

Так началась серьёзная гонка вооружений, окончательно оформился криминальный рынок DDoS — с хакерскими коалициями, конкурентными войнами и баснословными заработками.

Масштабы атак стали нарастать экспоненциально: в 2010 году скорость самой мощной атаки превысила 100 Гбит/с, в 2013-м — 300 Гбит/с. В 2016 году появились подтверждённые сведения об атаках, превышающих 1 Тбит/с.

Как мы защищаемся

В начале тысячелетия, когда DDoS стал реальной угрозой, а средства противодействия выросли в целую индустрию, миром правили ботнеты на основе персональных компьютеров Windows. Поначалу нейтрализовать ботнет было относительно просто: проблемы решались с помощью специальных устройств производства, например, тех же Arbor Networks или Cisco Networks.

Решение для защиты от DDoS ставилось в стойку с оборудованием в центре обработки данных предприятия. К коробочке под названием Firewall добавлялась ещё одна — DDoS mitigation, и все стоящие перед ней задачи она целиком и полностью решала.

Однако скорости атак росли, и к 2005 году канальных ёмкостей компаний, даже самых крупных, стало не хватать: нападения устраивались с помощью огромных ботнетов, их скорость была велика и позволяла очень быстро забить канал жертвы мусорным трафиком. Новым этапом эволюции средств защиты стало перемещение аппаратных решений в ЦОДы операторов связи. Коробочки подросли, стали толще, получили громкое название «решения операторского класса», но основные принципы работы не изменились. До 2010 года этого было достаточно.

В 2010 году с первой атакой, превысившей 100 Гбит/с, впервые заявили о себе облачные распределённые решения. Полоса клиентских соединений становилась шире, а значит, злоумышленникам требовалось генерировать больше мусорного трафика, чтобы уложить ресурс жертвы. Операторы начали ощущать проблему на себе — ёмкости их каналов часто не хватало.

С 2011 года злоумышленники в полной мере освоили технику Amplification: возникли потоки в сотни гигабит. К 2015–2016 гг. появились первые нападения с использованием IoT-устройств. Массовость этих устройств, их связность и огромное количество неисправимых (по разным причинам) уязвимостей породили атаки нового уровня, превышающие 1 Тб/с. Тут уже не мог устоять никто — даже операторы международного уровня.

В 2016 году произошел очередной фазовый переход в защите. Время чистых операторских решений закончилось — на поле боя вышли облачные решения. В таких системах каждый сервер работает независимо, и при выходе из строя одного из них трафик защищаемого сайта будет перемаршрутизирован на ближайший узел. Облака являются наиболее эффективным способом защиты от современных DDoS-атак по одной простой причине — распределённой угрозе можно эффективно противодействовать, только имея распределённую сеть.

Самые важные новости и лучшие тексты — в нашем Telegram-канале. Подписывайтесь!

Фотография на обложке: Cameron Daigle / Flickr