DDoS — информационное оружие для малолетних
Около четырех лет назад, 7 февраля 2000 года, началась одна из самых известных DDoS-атак на Internet, которая продолжалась до 11 февраля. Те, кто занимался расследованием, дали ей кодовое название Net Jam («сетевая пробка»). Атаке подверглись такие сетевые гиганты, как CNN, Yahoo, Amazon, eBay и им подобные. Не исключено, что эта «пробка» стала одним из событий, инициировавших трагическую развязку бума Internet-экономики.
За расследование причин происхождения Net Jam немедленно принялось ФБР, оно действовало в крупнейших городах, а также и за пределами США. Проведенная операция считается одной из самых успешных среди известных акций этого ведомства, направленных против кибертерроризма, хотя на самом деле «гора родила», ну, если не пресловутого грызуна, то уж, во всяком случае, и не крупного хищника.
Обнаруженный след привел в Канаду, где в апреле того же года силами Королевской конной полиции был арестован пятнадцатилетний юноша, проходивший затем под следствием и судом под псевдонимом Mafiaboy. Его дело рассматривал специальный подростковый суд, признавший в августе 2000 года «мальчика из мафии» виновным по 56 пунктам, но ограничивший меру наказания восемью месяцами опеки и годом запрета на доступ к Internet.
Так канадское правосудие, снисходя к детским шалостям, оценило проделку, обошедшуюся пострадавшим компаниям, как утверждается, в сумму свыше двух миллиардов долларов.
С тех пор DoS-атаки, вызывающие отказ от обслуживания (DoS — Denial of Service) стали «нормой жизни». Подобного рода вандализм не является ни «добропорядочным» хакерством, ни злобным кракерством — это нечто третье: некие странные личности, используя слабости стека протоколов IP, прерывают нормальную работу сайтов. Впрочем, можно вспомнить, что Билл Гейтс во время оно заслужил себе славу тем, что мог нарушить работу мэйнфрейма четырнадцатью командами.
Тривиальная DoS-атака очень напоминает подобного рода шалость, она инициируется из одного узла (хоста) и содержит нестандартный «убийственный» пакет (ping-of-death), который может повредить даже хорошо защищенный сайт. Но гораздо опаснее распределенная DDoS-атака (DDoS — Distributed Denial of Service), она построена в виде многоуровневой структуры, на вершине которой стоит источник атаки, а в основании — невольные, насильно вовлеченные соучастники, их количество исчисляется сотнями. Эти непосредственные источники множества пакетов, забивающих Сеть и создающих пробки, сами являются жертвами атаки, поскольку они «зомбируются» и выполняют волю злодея.
Об опасности DoS-атак организация CERT (Computer Emergency Response Team) начала предупреждать еще в 1996 году. Первая реальная атака случилась год спустя; она исходила от некоего гражданина Румынии, скрывавшегося под кличкой SYN. C 1998 года атаки такого типа стали регулярными. На 1999 год, когда количество нападающих и их жертв стало критическим, приходится и наибольшее количество предупреждений о возможной опасности. Наблюдается занятное совпадение: в период с конца декабря 1999-го и до кануна описываемой DDoS-атаки состоялось несколько весьма серьезных специализированных конференций, складывается такое впечатление, что не будь Net Jam, специалистам нечем было бы оправдать свои прогнозы. Срок и успех расследования тоже оказался как нельзя на руку соответствующим ведомствам, но показательно то, что злоумышленником оказался мальчишка. Молодость — типичная черта устроителей DoS-атак, не случайно в хакерской среде их называют «скриптовыми детишками» (script kiddies), подчеркивая различие между ними и настоящими кракерами.
Характерная особенность DDoS-атак и присущая им слабость заключается в том, что при желании источник нападения отслеживается без особенных усилий, но обычно атакующий и не скрывает себя, будучи уверенным, что при поимке ему ничего не грозит — «пойдет по малолетке».
Распределение ролей
В ходе атак, рассчитанных на отказ от обслуживания, хакеры подчиняют себе машины-контроллеры, которые, в свою очередь, заражают другие компьютеры, запускают зонды для выявления уязвимых мест и используют их в своих целях