1. Главная
  2. Книги
  3. Цифровой журнал «Компьютерра» № 161
  4. Страница 34
Выбрать главу

- Это, я так понимаю, HTTP-флуд?

- Да. И если бот, например, не переходит на какую-нибудь другую страничку, а только использует какие-то поисковые запросы, перебирает их и больше ничего не открывает, то обычный пользователь установил сессию, сделал какой-то запрос, открыл какую-то страничку и дальше начинает куда-то по ссылке уходить с неё. А если вы просто постоянно пять раз в минуту открываете только главную страничку, но больше никуда не ходите, или вы задаёте случайные поисковые запросы, но никакие ссылки в них не открываете, только лишь поисковые запросы делаете – соответственно, понятно, что вы бот.

- А бывают какие-то более продуманные виды HTTP-флуда, когда бот действительно делает вид, что он человек, и становится трудно отличить его от среднестатистических пользователей? Случалось с таким сталкиваться?

- Действительно, бывают и такие случаи. Дело в том, что на сегодняшний день злоумышленники, конечно, понимают, что, раскусив модель поведения бота, мы сразу видим, что она достаточно статична. И злоумышленник применяет другие тактики. Например, комплексные атаки, когда, с одной стороны, устраивается какая-то атака, исходящая от одной части ботнет-сети, — сервер бомбардируют какими-то определёнными запросами. Другая ботнет-сеть или её часть работает с другими запросами, третья – с третьими, и так далее. Три таких комплексных аномалии уже сложнее выявить. С одной стороны, вы смотрите – большое количество пользователей пытается открыть какую-то поисковую страницу, другое количество пользователей пытается стянуть какие-то картинки. И вот сразу понять и догадаться, что и те, и те – боты, а реальный пользователь один раз открыл страницу и больше ничего не сделал, сложнее.

Плюс ко всему прочему могут применяться атаки на сетевом уровне, как я говорил, — так называемый SYN-флуд, когда ещё необходимо помимо установленных сессий работать с приложениями и ещё раскидать эти мелкие пакеты, что в какой-то мере ещё дозагрузит ваше сетевое оборудование в любом случае. То есть ваше сетевое оборудование уже будет загружено в значительной степени, и вам надо будет разбираться ещё с дополнительными неприятностями.

Это напоминает матрешки: одну открыли, а там ещё одна, а в ней ещё одна. И вот бывали ситуации, когда моим коллегам приходилось достаточно долго выяснять, где же они заканчиваются.

- И на кого была такая ухищрённая атака направлена?

- Из недавних таких примеров – это комплексные атаки на интернет-магазин и туристический сайт. DDoS состоял из трёх компонентов. Шла небольшая атака в виде определённого запроса к сайту, к приложению, которое медленно обрабатывалось; это была атака просто на установление HTTP-сессии – так называемый connection-флуд. К тому же осуществлялся SYN-флуд, то есть бомбардировка мелкими пакетами, чтобы и сетевое оборудование тоже «не отдыхало». Дальше злоумышленник может просто варьировать эти вещи, и такие три одновременные неприятности уже достаточно весомы. - Ваш центр очистки с подобными вещами справляется?

- Да, конечно. Когда мы его строили, мы исходили из того, чтобы компании могли себя чувствовать под таким «зонтиком» достаточно комфортно.

- То, как работает центр очистки, не сказывается ли на сложности установки соединения для рядовых пользователей? Они испытывают какие-то замедления в работе?

- Скорее в теории, нежели в жизни. Речь может идти о задержках на сотые доли секунды. То есть человеку её ощутить практически невозможно.

Бывают ситуации, когда для каких-то пользователей по тем или иным причинам сайт может оказаться недоступен — в силу ложных срабатываний. Но это крайне редкая ситуация.

У нас была история, когда часть ботнет-сети располагалась внутри сетей той же компании, чей сайт подвергался атаке. Мы, как внешний наблюдатель, видели: источник атаки – всего один IP-адрес, за которым находится масса пользователей, как легитимных, так и нелегитимных. Когда мы обнаружили большое количество нелегитимных запросов именно с этого IP-адреса, мы пресекли доступ с него, не вникая в его подробности. Оказалось, что там есть легитимные пользователи, и они сидели за этим же прокси. Соответственно им их же ресурс оказался недоступен.

Такие ситуации бывают, но они достаточно редки, и есть определённые технологии, которые позволяют этого избежать, — те же самые белые списки. В случае их использования посетитель сайта проходит некоторые авторизационные процедуры, и движок отдаёт информацию нашей системе о том, что это — легитимный пользователь. Соответственно мы его помещаем в белый список и его уже не будем блокировать.

~ 34 ~