IP-stresser: как инструмент тестирования стал кибероружием

За последние два десятилетия киберпространство существенно развилось. Уже практически невозможно найти компанию или госсервис, который не имел бы свой ресурс в сети. Некоторые проекты и вовсе существуют только «в цифре» и не имеют своего физического выражения. Деятельность огромного количества компаний просто невозможна без доступа к Интернету.

У этой тенденции есть и побочные эффекты. Один из них – развитие недобросовестной конкуренции с использованием программных методов. Наиболее простой способ безопасно вывести конкурента из игры – это «положить» его веб-ресурсы. Например, на время пика продаж. Как правило, для этого используются IP-стрессеры, с помощью которых реализуется DDoS-атака.

В уходящем году недобросовестная конкуренция отошла на второй план, поскольку главной причиной DDoS-атак стало не получение выгоды, а нанесение ущерба. Хакерские и хактивистские сообщества разных стран буквально атакуют всех, до кого могут дотянуться, придавая DDoS-атакам масштаб эпидемии.

В этой статье будут разобраны основные технические особенности IP-стрессоров, правовые аспекты их применения, кто занимается атаками типа «отказ в обслуживании» и как устроен рынок DDoS-услуг.

Что такое IP-stresser

Формально, под стрессером понимается любое программное обеспечение для тестирования нагрузки на ресурс – сайт или сервер. В такой трактовке стрессер – абсолютно легитимное ПО, которое специалисты используют для слабых мест в собственной инфраструктуре, распределения и оптимизации нагрузки, настройки ресурса перед запуском.

Однако, ничто не запрещает злонамеренному пользователю применять стрессор для «тестирования нагрузки» на другие сайты. В таком случае изначально легальное ПО становится инструментов реализации DDoS-атаки.

Как правило, DDoS позволяет атакующему:

1. Полностью «положить» сайт.
2. Вызвать сбои в функционировании ресурса.
3. Замаскировать другую атаку или для иных целей отвлечь внимание защищающих.

Тимофей Коптяев

Системный архитектор Angara Security

IP stresser – это очень общее понятие, которое под собой подразумевает принцип генерации трафика, направленного на тестирование полосы пропускания сетевого железа. По сути любое генерирующее трафик ПО можно использовать в качестве атакующего механизма, и тут главным моментом является цель атаки. Если это какой-то веб-ресурс внутри маленькой сети и злоумышленник со своего локального компьютера хочет его заDDoSисть, то скорее всего у него это получится самыми примитивными средствами (например hping), потому как на пути не будет никаких средств защиты и маршрутизирующих устройств.

В реалиях интернета, когда целью является какой-то серьезный публичный ресурс, такая атака не пройдет. Скорее всего этот сгенерированный трафик будет отброшен на уровне провайдера последней мили по самому базовому пороговому правилу. Для DDoS публичных сайтов злоумышленниками используются распределенные сети ботов, которые разворачиваются скриптами в публичных облаках, и как правило даже не в одном. В таком случае каждый бот может также являться средством Ip-stress (тот же hping), только в таком случае такой флуд уже так просто не остановить. Трафика можно с каждого бота генерить очень много, чтоб провайдеры его не резали, но в итоге на ресурс придет критическая нагрузка в результате суммирования трафика с каждого бота.

Мир стрессеров достаточно обширен, большинство решений достаточно гибки с точки зрения используемых источников трафика и выборов типа атак, что позволяет использовать одно и то же ПО как для того, чтобы положить и без того «еле живой» сайт-визитку с нулевой защитой, так и серьезный корпоративный сайт. Многое зависит от квалификации самого специалиста, который реализует атаку.

Весьма популярны «пользовательские» стрессеры, которые работают по принципам сервисной модели и ориентированы на клиентов, которые слабо понимают технические аспекты и хотят просто получить результат. В таком случае все взаимодействие сводится к пополнению кошелька, выбору цели и нажатию на кнопку «старт».

Для чего используется стрессер и насколько это законно

Сам по себе IP-stresser – это легитимное ПО, которое можно найти, например, на GitHub. И до тех пор, пока пользователь использует его по прямому назначению – для тестирования собственной инфраструктуры на нагрузку, никаких проблем с законом возникнуть не может.

Дарья Зубрицкая

Директор по маркетингу и коммуникациям цифровой платформы для организации командировок и управления расходами Ракета

Стрессоры достаточно эффективный инструмент проверки своей системы защиты. Использование стрессора позволяет определить, достаточно ли сильна ваша сеть, чтобы противостоять DDoS-атаке, и помогает определить, нужно ли применять какие-либо дополнительные меры безопасности. Использование стрессора в разы проще, чем запуск DDoS-атаки через ботнет сеть. Также использование стрессора законно по сравнению с другими способами проверки своих ресурсов.

Если говорить о других популярных направлениях использования стрессоров, то можно выделить два основных, по типу их легальности:

1. Однозначно «черный». Применение стрессоров для проведения DDoS-атак «на заказ» или с целью вымогательства. И тот, и другой вариант, подпадает сразу под несколько статей уголовного кодекса.
2. Условно «серый». Такие атаки, как правило, не имеют финансовой мотивации и имеют социально-политические мотивы. Однозначной трактовки такой деятельности нет, как и правоприменительной практики.

Алексей Морозков

Старший руководитель группы Центра управления кибербезопасностью ICL Services

DDoS атаки могут подпадать под статью 273 УК РФ "Создание, распространение и использование вредоносных компьютерных программ". Более того, недавно УК РФ был дополнен специальной статьей 274.1 “Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации”, так что в целом правовая база для привлечения к ответственности по таким правонарушениям есть.

Однако собирать доказательства, идентифицировать подозреваемых и расследовать такие случаи бывает сложно. Тут требуется скоординированная работа юристов, специалистов по информационной безопасности и пострадавшего. Судебная практика по таким преступлениям пока особо не распространена в России, но тем не менее существуют компании, специализирующиеся на расследовании компьютерных преступлений.

Несмотря на наличие правового фундамента для привлечения участников DDoS-атак к ответственности, на практике это случается довольно редко. Причин множество, но можно выделить три основные:

1. Атакующий находится вне юрисдикции правоохранительных органов. Взаимодействие между странами по части отлова киберпреступников и раньше было достаточно медленным, а в условиях геополитического кризиса – практически прекратилось.
2. Нет заявителя. Пострадавшие в ходе DDoS-атаки нечасто обращаются в профильные органы по самым разным причинам. Как правило, потому что считают это пустой тратой времени.
3. Не удалось найти злоумышленника. VPN, прокси и другие инструменты анонимизации сейчас используют даже рядовые пользователи, не говоря о киберпреступниках.

Важно понимать, что отказ от подачи заявления – это, фактически, создание условий для существования DDoS-услуг и поощрение безнаказанности. Нет смысла ждать когда появится «совершенное киберзаконодательство», нужно пользоваться теми рычагами и инструментами, которое предлагает существующая правоприменительная практика.

Стрессоры и хактивизм

С прошлого года хактивисты стали основными пользователями стрессоров. Это обусловлено тем, что DDoS – одна из самых простых техник атаки в киберпространстве, для ее освоения не нужно иметь глубоких профильных знаний. Второй аспект актуальности DDoS заключается в том, что этот тип атаки, как раз таки, нуждается в массовом участии. «Массовость» может достигаться вовлечением пользователей «в темную» – классическим созданием ботнета, либо «в открытую», что и актуально для хактивизма.

В этом плане можно считать феноменальным проект группы No Name 057 (16), который можно назвать первым «социальным ботнетом», участие в котором люди принимают абсолютно осознанно. С точки зрения эффективности у такого типа стрессера есть некоторые проблемы, которого нет у «классического» стрессера или ботнета.

Главная из них – это необходимость в координации всех участников и их мотивации на участие. Классическому ботмастеру всем этим заниматься не нужно, поскольку он в принципе не работает с людьми и использует мощности их устройств напрямую.

Как защититься

Важно понимать, что большинство операторов стрессеров – это не высокоуровневые специалисты, которые занимаются таргетированными атаками. Их навыки и знания, в большинстве случаев, находятся не на самом высоком уровне, и даже самые простые, бесплатные инструменты защиты, позволяют сделать ресурс «непробиваемым» для львиной доли «ддосеров».

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Что касается эффективности, то тут все зависит от того, как много вычислительных мощностей владельцам стрессера удастся сосредоточить в своих руках. Это могут быть собственные сервера или ботнеты, сервера с открытым спуфингом. Если говорить о монетизации, то аренда вычислительных мощностей – главная статья дохода. Тут могут возникнуть множество вариации, например, разовые услуги, подписочные модели, цены могут меняться в зависимости от атакуемой цели и так далее.

Принципиальных отличий по сравнению с другими способами DDoS-атак с точки зрения технических основ как таковых нет. Все IP-стрессеры пользуются хорошо известными узкими местами в протоколах различных уровней. Часто это атаки с использованием протоколов 3, 4 и 7 уровня модели OSI/ISO, например, атаки SYN-flood, ACK-flood, HTTP-Slowloris и другие. При этом стоит отметить, что стрессоры традиционно используют ботнеты для выполнения атак.

Превентивно повысить устойчивость сайта можно еще на этапе разработки, прибегнув к разветвленной, микросервисной архитектуре. Она по умолчанию более устойчива к атакам типа «отказ в обслуживании», чем монолитная.

Можно прибегнуть к специализированным антиддос-решениям, таким как, например, DDoS Guard (DDG) или Cloudflare. Они, как и любой другой инструмент, не дадут стопроцентной защиты, но пробить их примитивными стрессерами уже не получится.

Ультимативным решением будет использование «капчи», для большинства «специалистов по DDoS» это почти непреодолимое препятствие, которое можно обойти только «долгой/медленной» атакой, для реализации которой нужно уметь генерировать «чистые запросы», что без ботнета практически нереализуемо.

Итоги

IP-stresser – это не «бог из машины» и не уникальный инструмент атаки, от которого невозможно отбиться. Если в случае с атаками шифровальщиков дискуссия о целесообразности выкупа еще возможна, то в случае с DDoS-атаками это не имеет смысла, поскольку есть много бюджетных решений, позволяющих сделать этот тип атаки на ресурс малоэффективным.

В то же время, наравне с использованием средств защиты, важны и обращения в полицию по факту DDoS-атак. Далеко не всегда они принесут результаты, поскольку атакующий может находиться вне юрисдикции российских государственных органов. Однако, это позволит сформировать саму правоприменительную практику и осложнить жизнь тем киберпреступникам, которые находятся внутри страны.