В первые дни мая 2007 года сотни тысяч пользователей, пытавшихся зайти на сайты радио «Эхо Москвы» ( www.echo.msk.ru ) или газеты «Коммерсантъ» (kommersant.ru), вместо привычных страниц постоянно получали сообщение «Невозможно отобразить страницу». Иногда доступ ненадолго восстанавливался, но потом вновь прерывался. Представители этих изданий сообщали, что их сайты подвергаются хакерской DDoS-атаке. Мимоходом кто-то «пощупал» и сайт «Вокруг света», но — обошлось. Что же происходит?

Чтобы понять, что такое DoS-атака (или DDoS), лучше всего прибегнуть к аналогии. Несколько раз в неделю в Мировом океане возникают одиночные гигантские волны, которые ведут себя совершенно не так, как нормальная волна. Они появляются внезапно, в спокойном море и достигают высоты 30 метров. Если судно вдруг встречает такую волну, оно «втыкается» в вертикальную стену воды, и шансов остаться на плаву у него немного, как бы велико оно ни было (такая история была рассказана в фильме «Посейдон»). Интернет — тоже океан, только информационный, и в нем есть явление, очень похожее на гигантские волны. Если вдруг на сайт накатывает настоящий информационный шквал — это DoS-атака. Часто эти атаки так и называют flood, то есть «потоп».

Точно так же, как обшивка морского судна обычно рассчитана на некие предельные нагрузки (скажем, до 15 тонн на квадратный метр), обычный сайт рассчитан на предельную посещаемость, при превышении которой сервер «ложится». В море даже в шторм судно легко преодолевает высокую волну, потому что обычная волна полога, и на нее можно «взойти», а «волны-убийцы» почти вертикальны и создают нагрузку, скажем, до 100 тонн на квадратный метр, поэтому от них нет защиты. Так же и в Интернете: постепенный рост посещаемости в течение недель и месяцев не страшен, а бурный всплеск может оказаться смертельным.

Зачем проводится DoS -атака

Английская аббревиатура DoS расшифровывается как Denial of Service — «отказ в обслуживании». Целью DoSатаки является создание таких условий работы сайта, при которых пользователь не может получить к нему доступ. Чаще всего злоумышленники добиваются этого, забрасывая сайт огромным количеством «мусорных» запросов, и пользователи уже не могут пробиться к сайту: легитимные запросы тонут в «шуме». DoS-атаки активно используются злоумышленниками для оказания давления на ресурс. Например, известны атаки на Интернет-казино. Поскольку вся деятельность такого казино происходит через Интернет и каждый день простоя приносит серьезные убытки, злоумышленники угрожают владельцам DoS-атакой и требуют выплатить некоторую сумму. В случае отказа такие атаки действительно проводились.

DoS-атака может использоваться в конкурентной борьбе. Журнал New Scientist писал о случае, когда компания спутникового телевидения из Массачусетса оплатила атаку на сайты трех своих прямых конкурентов. Пока их сайты были заблокированы, пользователи обращались к той компании, до которой могли достучаться, то есть к заказчику атаки. Этот случай расследовало ФБР, и виновных удалось установить, что бывает далеко не всегда. DoS-атака может быть организована и для оказания психологического давления, чтобы заставить сайт изменить свой контент, который по каким-то причинам не нравится организатору атаки.

Как это делается

Несмотря на то что методы организации DoS-атак хорошо известны специалистам, успешно им противостоять удается не всегда. Дело в том, что быстро и точно отделить «мусорные» запросы от легитимных крайне трудно. Принцип DoS-атак: использовать хороший контент в дурных целях: «legitimate content but bad intent». DoS-атаки можно разделить на одиночные, которые проводятся с одного компьютера, и распределенные, в которых используются сети подчиняющихся злоумышленникам компьютеров-зомби (или botnets).