Атака на Сеть отбита, но угроза остается

Широкая, но бесхитростная атака на компьютеры, выполняющие функции адресных книг интернета, не вызвала серьезных проблем, однако эксперты предупреждают о необходимости дополнительных мер безопасности.

Начиная с понедельника на 13 главных серверов доменных имен (DNS) обрушился поток данных, вызванный так называемой атакой отказа на обслуживание. Однако простая природа этих данных и устойчивость систем позволили администраторам быстро заблокировать поток.

Эксперты считают, что более изощренная атака могла бы надолго парализовать главные серверы и нарушить доступ к Сети. Если бы это продолжалось в течение десяти часов, рядовые пользователи компьютеров заметили бы замедление реакции сети, говорит Крейг Лейбовиц (Craig Labovitz), директор по сетевой архитектуре компании Arbor Networks, специализирующейся на предотвращении атак отказа на обслуживание. «Если кто-то действительно сможет подорвать инфраструктуру, то ситуация будет принципиально иной», — сказал он.

Сеть устояла, однако в среду все еще сохранялись признаки продолжения атаки, правда, с меньшей интенсивностью. К тому же локализовать злоумышленников будет нелегко, так как они умеют заметать следы. В связи с атакой компании и организации, администрирующие 13 ключевых серверов, принялись за укрепление защиты своих компьютеров. VeriSign, которая управляет двумя корневыми серверами и 13 серверами доменов верхнего уровня, оценивает, нужно ли усиливать меры безопасности. «VeriSign постоянно ищет способы повысить безопасность, — сказал представитель компании Брайан О’Шоунесси (Brian O'Shaughnessy). — Мы живем в зыбкой среде: плохие парни то и дело совершают дурные поступки». Он опроверг слухи, будто в процессе атаки вышли из строя оба подопечных компании — корневые серверы A и J: «Это неправда. Из четырех выдержавших атаку два сервера наши».

Случившаяся в понедельник атака имела форму наводнения данными: 13 серверов, содержащих информацию об именах доменов верхнего уровня, таких как .com, .org и .uk, оказались наводнены пакетами протокола управления интернет-сообщениями (ICMP). Пакеты ICMP переносят данные сообщений об ошибках или контроля целостности сети, такие как общеупотребляемые пакеты ping. Поток таких данных может заблокировать доступ к серверам, запрудив узкие места сетевой инфраструктуры, что помешает нормальным данным достигать места назначения.

Однако данные ICMP не являются основным средством администрирования сети, и во многих серверах и маршрутизаторах этот протокол заблокирован. Именно так администраторы поступили в понедельник днем, чтобы помешать потоку данных добраться до корневых DNS-серверов.

Нынешняя и будущие атаки
Тем не менее эксперты предупреждают о возможности более изощренных атак. «В данном случае интернет не пострадал благодаря своей гибкости и быстрой реакции операторов», — говорит Тиффани Олсен (Tiffany Olsen), представительница Совета по вопросам критической инфраструктуры при президенте США — организации, ответственной за разработку национальной стратегии безопасности киберпространства. Однако «будут и другие атаки, более серьезные, чем эта».

ФБР начала следствие по факту атак, но ему будет нелегко найти ответственного за них человека или группу, так как при распределенной атаке отдельные порции данных исходят из выбранных случайным образом источников информации. Тем не менее эксперты отмечают, что атака организована неумело. «Существуют десятки сценариев и инструментов, позволяющих совершать подобные атаки, — говорит Лейбовиц из Arbor. — Для этого даже не нужно быть специалистом по компьютерам или опытным хакером».

Между тем в среду служба Matrix NetSystems, измеряющая пропускную способность интернета, сообщила, что атака, возможно, продолжается. «Сейчас проблемы наблюдаются на пяти серверах», — сказал директор компании Билл Палумбо (Bill Palumbo). Он признал, что они могли быть отключены на профилактику или по другим причинам, но это все же задерживает обработку запросов на имена доменов. Справочная система доменных имен является многоуровневой, так что тот, кто обращается за конкретным адресом, сначала попадает на локальный сервер. Если домен не найден, запрос переадресуется на сервер домена более высокого уровня. Лишь в редких случаях запросы доходят до корневых серверов; обычно это происходит, когда где-то добавляется новый сервер имен. Кроме того, каждая запись в сервере DNS имеет срок хранения — time to live (TTL). По истечении этого срока запись считается удаленной, и локальный сервер DNS должен обращаться к серверу домена верхнего уровня за свежей информацией.

«Нужно понимать, что каждый день объявляется несколько десятков тысяч новых маршрутов, — говорит Палумбо из NetSystems. — Поэтому достоверность хранящейся информации утрачивается очень быстро». Выход из строя всех 13 серверов DNS не приведет к мгновенной остановке интернета — он проработает еще несколько часов или дней, пока не устареют данные локальных DNS.

Пол Мокапетрис (Paul Mockapetris), изобретатель DNS и главный специалист компании Nominum, разрабатывающей ПО для системы доменных имен, говорит, что 300 или около того записей, содержащихся в каждом из корневых серверов, ничто по сравнению с 3 млн записей, которые хранятся в серверах DNS домена .com, — вот что должно беспокоить администраторов. «Через месяц корневые серверы станут надежнее, чем сегодня. По существу это была атака „тупыми бомбами”, если заимствовать терминологию Афганистана, а сейчас самое время позаботиться о предотвращении более изощренных атак».

Предыдущие публикации:

2000-11-16		RealNames бросает вызов традиционной системе интернет-имен
2002-07-01		Веб созрел для массированной атаки червей
2002-07-08		Касперский: «Интернет необходимо запереть»

В продолжение темы:

2002-11-26

Атаки на инфраструктуру интернета продолжаются

Обсуждение и комментарии

	Lox - loxlox.com 24 Oct 2002 5:46 PM
Херня это все. Убыстрение, замедление. В командной строке этого не чувствуешь. Это ламерам гнило. Они свою любимую порнуху дождаться не могут. А по большому счету DNS это ху...я. Я принципиально по IP хожу. Надежнее. Проблемы DNS-это проблемы тех кто 12 цифр запомнить не могут. Таблетки пейте для улучшения памяти. Ламеры тухлые.

	Qrot 24 Oct 2002 7:24 PM
Lox: дядя, научи меня тоже по этому IP ходить! и расскажи, пожалуйста, где мне коммандную строку взять, а то все говорят про нее а нигде нету :((

	Наши ето сделали!!! 25 Oct 2002 9:43 AM
Наши ето сделали!!! http://www.securitylab.ru/?ID=33824

	Артур 25 Oct 2002 10:14 AM
2Loх А ты по IP попробуй зайти на name based виртуальные хосты... Интересно как это у тебя получится? :)

	Артур 25 Oct 2002 10:25 AM
2Loх Да и еще... А причем тут командная строка к службе DNS? Ты что ВЭБ странички через nslookup смотриш? :))) Или типа Links к DNS не обращается ? :)) Действительно Loх :)) (Прости господи)

	Гы 25 Oct 2002 11:29 PM
А какое отношение TTL имеет к времени хранения записи в DNS? И что это за корневые сервера у которых по 300 записей и которые оказывается ничего не значили? Гы :)

	DemonZla 30 Oct 2002 1:55 PM
А мне вот ARP нравится.... и винда нестатичная... угу....

← сентябрь 2002

18 21 22 23 24 25 28 29 30

ноябрь 2002 →