Обстановка. Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса

Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип - так называемый флуд- не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых, поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например, CGI-скрипт, работающий на веб-сайте, может быть написан неоптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается раз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вы- зов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуется, всего 300 пакетов в секунду порядка 5 Мбит/с) – и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.

То есть запас по производительности и есть первичная защита от DoS- атаки.

Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.

Потерпевший

Потерпевшим в подавляющем большинстве случаев выступает юри- дическое лицо.

Коммерческие организации редко бывают заинтересованы в офици- альном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потер- певшего часто негативно отражается на деловой репутации.

Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:

- когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;

- когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;

- когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.

В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.

Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.

Следы

При подготовке и проведении DoS-атаки образуются следующие следы технического характера:

- наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;

- следы поиска, тестирования, приобретения инструментария;

- логи (преимущественно статистика трафика) операторов связи, через сети которых проходила атака;

- логи технических средств защиты - детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;

- логи, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется.);

- следы от изучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;

- следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.

При профессиональном осуществлении атаки используются зомби- сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.