|
 Все новости от 30 января 2001 г.
Побочный эффект ускорения
Благодаря недавним атакам на веб-сайты Microsoft технология ускорения пересылки данных в одночасье превратилась в новейшую систему защиты от хакеров.
Новые услуги доставки контента, реализуемые Akamai Technologies, Speedera Networks и рядом других компаний, список которых быстро растет, до сих пор привлекали клиентов — вплоть до таких крупных, как Yahoo, — тем, что позволяли сократить время загрузки веб-страниц. Однако неожиданно оказалось, что сервисы этих компаний могут служить еще и защитой от атак, подобных тем, которые на прошлой неделе сделали недоступными веб-сайты Microsoft. В понедельник представители Microsoft сообщили, что компания поручила управление своей системой доменных имен фирме Akamai. «Это не исчерпывающая мера, но она ослабляет эффекты от атак типа denial-of-service, — пояснил менеджер по программам защиты консалтинговой фирмы Razor Скотт Блейк (Scott Blake). — В этой системе так много точек входа, что вывести ее из строя намного труднее».
Ближний контент
Технологии доставки контента, подобные тем, что использует Akamai, основаны на перемещении максимально возможного количества данных — статической графики, потоковых медиа и даже некоторых функций персонализации — как можно ближе к конечным пользователям. Эти компании размещают тысячи серверов по хостинг-центрам и сетям отдельных ISP так, чтобы максимально возможное число пользователей оказалось в интернете на расстоянии одного-двух шагов от веб-сайта, что исключает необходимость в перемещении данных по всей стране.
Этот механизм удивительно схож с механизмом распределенных атак DDoS (distributed denial-of-service), которые использовались год назад для вывода из строя ряда крупных веб-сайтов: Yahoo, eBay, CNN и др. Предполагается, что подобные механизмы были задействованы и при недавнем нападении на сайты Microsoft. В атаках DDoS злоумышленник тайно получает управление над множеством машин, разбросанных по интернету, организуя их совместные действия по одной команде. В результате на сервер, маршрутизатор или сеть, которые служат мишенью, поступает поток запросов, перегружающий систему. Обычно метод грубой силы не дает атакующему доступа к внутренним данным, но способен нанести компании-жертве заметный ущерб.
Сетевые службы доставки контента выполняют роль естественной защиты от атак подобного рода. Так как контент распределен среди тысяч серверов, помешать его доставке гораздо труднее. До сих пор сети, подобные сети Akamai, не рассматривались в качестве средства защиты от хакеров. Однако аналитики отмечают, что одна из решаемых ими проблем — обслуживание трафика в периоды пикового спроса — по характеру почти в точности соответствует DDoS-атакам. «В общем случае при перемещении данных к границам сети применение атак типа denial-of-service становится затруднительным, — утверждает аналитик Jupiter Research Питер Кристи (Peter Christy). — До сих пор при маркетинге систем доставки контента на это их свойство обращали мало внимания, но привлечение сети Akamai в качестве средства защиты компанией Microsoft, вероятно, поможет индустрии подтолкнуть потенциальных заказчиков к более всесторонней оценке того, что дают эти службы».
|
 |
 | Michael61
30 Jan 2001 3:48 PM |
Дяди спамщики - это обращение к постоянным супергероям форума - что же вы молчите?
Просто, следуя известному анекдоту - ребят, у вас мухи с котлетами перемешались в голове?
Обычно при слове Microsoft у вас возникает мусорный хватательный рефлекс.
P.S. А сама идея статьи хороша, только недоработана. И реализация предожена неудачная.
|
|
| VH - vlad lv.net
30 Jan 2001 4:44 PM |
| Sha uzanjut chto takoe Akamai i tozhe chto-nit` napishut :) |
|
| vIv
30 Jan 2001 5:48 PM |
лала-бла-бла-бла...
акамай и прочие _могут_ давать контент. Но "защитой" оно станет только если контент будут раздавать _только_ через них. Гыгы!.. :))) Т.е. из сеток, в которых стоят каунтерорезалки microsoft.com видно не будет? Ой, что-то мне не верится!.. А будет видно - так значит доступ будет, а, значит, и атаковать будет что.
PS Как я люблю местных журналистов! Они так мило пишут о том, чего не видели!
HINT:
http://a12.g.akamai.net/7/12/282/91041da0d85644/av.com/g/search.gif vs http://av.com/g/search.gif - чем отличаются? ;-) |
|
| Boris
30 Jan 2001 7:32 PM |
A esli polnostiu peredelati slujbu DNS ili je TCP-IP dlea togo ctob legalino ukazivali na deseatki sites raspredelennih geograficeski po miru?
Pricem s avtomaticeskim viravnivaniem nagruzki (paralelinie sistemi).
Eti sites budut replitirovatisea avtomaticeski (polnostiu, ne toliko content) iz odnogo istocinika (zakritogo dlea shirokoi publiki).
DDoS ili smojet prikriti lishi odin site, ili pridetsea ispolizovati namnogo bolishe kompov-"rabov" dlea atak...
Godika 2 nazad I opisal eto v svoei dissertatii mejdu procim... Akamai dlea menea otkrovenie, cestno. V etom slucae esti problemi. I iasno cto eto lishi vremennaia mera dlea MS.
Na meste MS dlea menea eto scoree povod razvernuti boo-o-oloshuiu seti serverov pod W2K po miru i sdavati v arendu.
...I doliu Web-serverov pod W2k podnimut. |
|
| Zack
30 Jan 2001 9:54 PM |
| Борис, ты лучше бы русский язык себе поставил, чем диссертации писать. |
|
| ламерюга махровый
30 Jan 2001 11:10 PM |
а контент на сервера Акамая будут
доставлять специальные конные гонцы
в запечатанных сургучом пакетах ;-) |
|
| Mahrovyi Professional
31 Jan 2001 1:55 AM |
| Для доставки контента есть "Content Management Tools" |
|
| Aleks
31 Jan 2001 8:37 AM |
| Другой вариант развития событий - хакеры захватывают сеть Акамая - вот идеальный инструмент для DDOS. |
|
| Boris
31 Jan 2001 11:09 AM |
2Aleks: Атакующие должны быть намного сильнее нападающих в десятки раз (как сумма пропускных каналов) - это главный принцип DDoS. Десяток серверов Акамай будет трудно забить а для атак они не очень ценное приобретение...
2Zack: Извините Ваше багородие, надеюсь великодушно на Ваше снисходительное отношение ко мне и ... может быть даже прощение. Я, дурья моя башка думал что форум неформальный да сунулся раз в год со своими глупостями... Опамятовал что нельзя тревожить Старожилов варящихся здесь в собственном соку. А ПО СУЩЕСТВУ ТО ЧТО СКАЖЕШЬ?
... А вааще-то я не из России, облом было клавиатуру переключать, привычка великое дело. Хотя по моему я не хуже vlv, мне тоже было сложно через жаргон продираться (енто было извинение) |
|
| Прокопий Евлампиевич - акамаймахалай
31 Jan 2001 1:18 PM |
| Мне это слово не нравится...Акамай...что то в нем не то... |
|
| Dmitry - dgzhmail.ru
31 Jan 2001 1:37 PM |
Все очень толково. Все очень умные ребята :))) Только вот одно осталось без внимания - а кто ж, собственно, на сайты нападает ???
Уууу, жаль что она умерла ...
PS Граждане вопиющие, это не к вам относится :)))) |
|
| vIv
1 Feb 2001 10:59 AM |
| "На сайты нападает", естественно, Чёрная Сотня поклонников Явы под Линукс. Во главе этого Великого Тайного Братства стоит Великий Магистр Торвальдс. |
|
| AT - 220220pager.icq.com
2 Feb 2001 2:55 AM |
P.S> Так что причину и следствие стоит поставить в порядке, несколько отличающемся от описанного в статье.
P.P.S> Ненавижу форум ZdNET - 3 дня не мог сюда запостить ничего - HTTP 500 Server Too Busy |
|
| AT - 220220pager.icq.com
2 Feb 2001 3:05 AM |
MICROSOFT.COM.WONT.ADMIT.THAT.THEIR.SOFTWARE.BELONGS.IN.SEWAGEPIPES.COM
MICROSOFT.COM.WILL.LIVE.FOREVER.BUT.LUNIX.SUCKS-BYBIRTH.ARTISTICCHEESE.COM
MICROSOFT.COM.WHOIS.RESULTS.MAKE.A.GREAT.HUMOUR-LIST.COM
MICROSOFT.COM.WEBSITES.ARE.ONE.BIG.ERROR404.COM
MICROSOFT.COM.WAS.HACKED.TODAY.BY.JAMESSMALL.COM
MICROSOFT.COM.TOLD.ME.TO.KILL.UR.PC.LIVE-EVIL.COM
MICROSOFT.COM.SUPPORTERS.SHOULD.JUST.GIVE.UP.AND.VISIT.A.MACOUTLETINC.COM
MICROSOFT.COM.SHOULD.GIVE.UP.BECAUSE.LINUXISGOD.COM
MICROSOFT.COM.SHOULD.BE.FORCED.TO.PAY.OUT.FOR.CRASHLIABILITY.COM
MICROSOFT.COM.SE.FAIT.HAX0RIZER.PAR.TOUT.LE.ZOY.ORG
MICROSOFT.COM.OWNED.BY.MAT.HACKSWARE.COM
MICROSOFT.COM.NEEDS.TO.WRITE.MORE.SECURE.PROGRAMSPLEASE.COM
[...]
To single out one record, look it up with "xxx", where xxx is one of the
of the records displayed above. If the records are the same, look them up
with "=xxx" to receive a full display for each record. |
|
| AT - 220220pager.icq.com
2 Feb 2001 3:06 AM |
Факты ??
1. В тот день когда MSFT лежал я делал nslookup и SOA для microsoft.com выдавалась, а www.microsoft.com не ресолвилось. А также однажды (кажись под Solaris - где у nslookup почти бесконечный тайм-аут) было проскочил akadns.net.
2. До сих пор на whois.internic.net:whois видно следуещее:
[tag@tigger2 ~]$ telnet whois.internic.net whois
Trying 198.41.0.6...
Connected to whois.internic.net.
Escape character is '^]'.
microsoft.com
Whois Server Version 1.3
Domain names in the .com, .net, and .org domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information. |
|
| AT - 220220pager.icq.com
2 Feb 2001 3:06 AM |
Что не говорите, но у меня есть своя версия случившегося.
akadns.net (Akamai) было уже договорился с MSFT о сотрудничестве. MSFT было уже достаточно достали "местные" провайдеры т.к. в последнее время у них наблюдались заторы, да и давно стоило вынести серверра за пределы кампуса (как никак не пучок Gigabit EtherNet тянуть ?).
Ну вот пришел знаменательный день, один из серверов успешно перешел к akadns и проработал с неделю (не уверен). Порешили - а давайте и все остальные переместим, как никак польза огромная намечается, но akadns не справился (или таки руки оказались кривые) и появился миф о хакерах и упавшем маршрутизаторе. MSFT стало жалко обижать своего партнера эти мифы быстро распространились (хоть и противоречили друг-другу).
|
|
|
