Medgimet
11.03.2009, 11:55
Заместитель председателя правления Интернет Ассоциации Украины Александр Ольшанский считает, что неумолимое усиление атак на украинские сайты через 3-5 лет приведет к появлению в Украине рынка безопасности в Интернете.
Каждую неделю по крайней мере, хотя бы один общественно-политичский интернет-ресурс заявляет о DOS-атаке, которую он пережил. Проблему DDOS различные сайты решают по-разному. Одни «отбиваются» своими усилиями, другие – привлекают провайдеров, третьи – «ложатся» и ждут, «когда же это все закончится».
...
- Александр, извините за примитивный первый вопрос, но все же: можно ли с минимальными потерями «отбиться» от DOS-атаки?
- Можно
- Только не у всех в Украине это получается...
- Почему? Некоторые наши клиенты “отбивались”, и не один раз. В Украине ведь не бывает атак мощностью больше миллиона пакетов в секунду. Такого DDOS в Украине я не видел. Для нашей страны скорее характерны цифры порядка десятков тысяч пакетов в секунду.
- Миллион - это какие-то запредельные вещи.
- Нет, не запредельные. Для России, например, характерная величина может составлять порядка одного мегапакета в секунду (если это серьезная атака). Если говорить о мире, то мощность атак может быть еще больше. Поэтому в мире и существуют компании, которые защищают от DOS-атак. У нас была идея предоставлять такую услугу в Украине. Но проблема в том, что здесь пока нет платежеспособного спроса. Большинство атак, с которыми мы сталкиваемся, направлены на сайты, оплачивающие виртуальный хостинг за $8-10 в месяц. И на наше предложение в связи с DDOS перейти хотя бы на выделенный сервер за $50-70 в месяц отвчают категорическим отказом. Соответственно, и на защиту от DOS-атак такие сайты не готовы тратить хоть какие-либо деньги.
- А если бы вы предоставляли услугу защиты от DDOS – надо было бы у вас хостится (компания Mirohost.net- ред)?
- Нет. Это зависит от технологий. Но в общем случае, это желательное, но необязательное условие.
- А сколько должно быть заказчиков, чтобы подобная услуга “заработала”? 10-100-1000?
- Больше 100 при цене услуги $200-300 в месяц. То есть, на содержание инфраструктуры борьбы с DDOS нужно $20-30 тыс. в месяц.
- В России такие компании работают?
- Такие компани работаю везде. Можно купить за границей такую услугу прямо сейчас. Только стоить она будет не $300, а $3-5 тысяч в месяц. Но зато тебя от DDOS закроют так, что сайту будет страшна только атомная война.
- А как устроена логика такой защиты? Она понятна?
- Совершенно понятна. Это известный способ. Допустим, есть некий провайдер услуг. У него - набор IP-адресов. Этот провайдер ставит, к примеру, в 100 узловых точках по миру свои маршрутизаторы и сервера с файерволом. Соответственно, он тоннелирует свой трафик закрытыми шифроваными тоннелями до этих точек. И анонсится из них во внешний мир (речь идет об анонсах BGP). То есть с технической точки зрения это выглядит так, как будто этот провайдер включен проводами в эти 100 точек напрямую. Допустим, каждое включение может обработать 10 гигабит трафика, в том числе и “паразитного” . Соответственно суммарная мощность - один террабит. Значит, атакующему для того, чтобы “забить” такую систему, нужно развить один террабит потока (или около 100 мегапакетов). Далее файерволы на каждой точке включения фильтруют трафик, выбрасывая “мусор”. И очищенный от DDOS трафик по шифрованному каналу доставляется к защищаемому серверу. Я описываю достаточно упрощенно, но принцип понятен. Пободным образом, в несколько модифицировнаном виде защищают, например, корневые DNS-ы. Их регулярно пытаются атаковать, условно говоря, в целях «тренировки». Не помню точных даных, но на 2007 год самая крупная DOS-атака составила около 40 мегапакетов в секунду. Думаю, что сейчас эти величины колеблются в районе 100 мегапакетов.
DOS-атаки – это ведь большой криминальный бизнес. Фактически в большинстве случаев он сопряжен с вымогательством. У нас на хостинге есть сайты, с которых я точно знаю, вымогали деньги. Обычно в качестве «мишеней» выбирают интернет-магазины, интернет-казино, крупные информационные ресурсы — проекты, для которых разрыв контакта с пользователями в Интернет грозит быстрыми и большими убытками. Так, накануне 8 марта, большинство украинских сайтов, торгующих цветами, «лежали».
(c)http://proit.com.ua/article/internet/2009/03/11/120316.html
Каждую неделю по крайней мере, хотя бы один общественно-политичский интернет-ресурс заявляет о DOS-атаке, которую он пережил. Проблему DDOS различные сайты решают по-разному. Одни «отбиваются» своими усилиями, другие – привлекают провайдеров, третьи – «ложатся» и ждут, «когда же это все закончится».
...
- Александр, извините за примитивный первый вопрос, но все же: можно ли с минимальными потерями «отбиться» от DOS-атаки?
- Можно
- Только не у всех в Украине это получается...
- Почему? Некоторые наши клиенты “отбивались”, и не один раз. В Украине ведь не бывает атак мощностью больше миллиона пакетов в секунду. Такого DDOS в Украине я не видел. Для нашей страны скорее характерны цифры порядка десятков тысяч пакетов в секунду.
- Миллион - это какие-то запредельные вещи.
- Нет, не запредельные. Для России, например, характерная величина может составлять порядка одного мегапакета в секунду (если это серьезная атака). Если говорить о мире, то мощность атак может быть еще больше. Поэтому в мире и существуют компании, которые защищают от DOS-атак. У нас была идея предоставлять такую услугу в Украине. Но проблема в том, что здесь пока нет платежеспособного спроса. Большинство атак, с которыми мы сталкиваемся, направлены на сайты, оплачивающие виртуальный хостинг за $8-10 в месяц. И на наше предложение в связи с DDOS перейти хотя бы на выделенный сервер за $50-70 в месяц отвчают категорическим отказом. Соответственно, и на защиту от DOS-атак такие сайты не готовы тратить хоть какие-либо деньги.
- А если бы вы предоставляли услугу защиты от DDOS – надо было бы у вас хостится (компания Mirohost.net- ред)?
- Нет. Это зависит от технологий. Но в общем случае, это желательное, но необязательное условие.
- А сколько должно быть заказчиков, чтобы подобная услуга “заработала”? 10-100-1000?
- Больше 100 при цене услуги $200-300 в месяц. То есть, на содержание инфраструктуры борьбы с DDOS нужно $20-30 тыс. в месяц.
- В России такие компании работают?
- Такие компани работаю везде. Можно купить за границей такую услугу прямо сейчас. Только стоить она будет не $300, а $3-5 тысяч в месяц. Но зато тебя от DDOS закроют так, что сайту будет страшна только атомная война.
- А как устроена логика такой защиты? Она понятна?
- Совершенно понятна. Это известный способ. Допустим, есть некий провайдер услуг. У него - набор IP-адресов. Этот провайдер ставит, к примеру, в 100 узловых точках по миру свои маршрутизаторы и сервера с файерволом. Соответственно, он тоннелирует свой трафик закрытыми шифроваными тоннелями до этих точек. И анонсится из них во внешний мир (речь идет об анонсах BGP). То есть с технической точки зрения это выглядит так, как будто этот провайдер включен проводами в эти 100 точек напрямую. Допустим, каждое включение может обработать 10 гигабит трафика, в том числе и “паразитного” . Соответственно суммарная мощность - один террабит. Значит, атакующему для того, чтобы “забить” такую систему, нужно развить один террабит потока (или около 100 мегапакетов). Далее файерволы на каждой точке включения фильтруют трафик, выбрасывая “мусор”. И очищенный от DDOS трафик по шифрованному каналу доставляется к защищаемому серверу. Я описываю достаточно упрощенно, но принцип понятен. Пободным образом, в несколько модифицировнаном виде защищают, например, корневые DNS-ы. Их регулярно пытаются атаковать, условно говоря, в целях «тренировки». Не помню точных даных, но на 2007 год самая крупная DOS-атака составила около 40 мегапакетов в секунду. Думаю, что сейчас эти величины колеблются в районе 100 мегапакетов.
DOS-атаки – это ведь большой криминальный бизнес. Фактически в большинстве случаев он сопряжен с вымогательством. У нас на хостинге есть сайты, с которых я точно знаю, вымогали деньги. Обычно в качестве «мишеней» выбирают интернет-магазины, интернет-казино, крупные информационные ресурсы — проекты, для которых разрыв контакта с пользователями в Интернет грозит быстрыми и большими убытками. Так, накануне 8 марта, большинство украинских сайтов, торгующих цветами, «лежали».
(c)http://proit.com.ua/article/internet/2009/03/11/120316.html