- 14.10.13
- 1,776
- 1,000,000 ₽
- 28
В даркнете DDoS-атаки - обычное дело. Они почти всегда целевые: либо чтобы убрать конкурента, либо чтобы выманить деньги за остановку атаки. Возникает вопрос: почему в обычном интернете (клире) такого нет? Чем даркнет так отличается?
Ответ кроется в одном ключевом моменте: TOR децентрализован. Связь пользователя с сайтом идёт не напрямую, а через цепочку узлов. Чтобы «положить» сайт, атакующему не нужно атаковать сам сервер - достаточно перегрузить эти узлы. Забанить агрессора по IP невозможно, потому что в TOR IP постоянно меняется. Это основная фича сети для анонимности, но она же убивает любую нормальную сетевую защиту.
В результате DDoS в TOR при наличии мощностей становится крайне простой процедурой, а защита от него - нетривиальной задачей. Не получится просто поставить капчу или арендовать сервер помощнее - это часто бессмысленно, так как атаковать будут узлы. Атакующие используют три специфических вектора. Первый - это бомбардировка запросами скрытых сервисов-посредников, которые хранят информацию о местонахождении сайта. Второй - перегрузка входящих узлов или всех ретрансляторов в цепи, что делает сервис недоступным даже при работающем сервере. Третий - прямое нападение на физический сервер, если его реальное местоположение было раскрыто.
Ключевое отличие от атак в обычном интернете - их точечный и целевой характер. В TOR DDoS выступает инструментом шантажа, устранения конкурентов или политической цензуры, а не просто рыночной услугой. Экономика иная: в клире атаки часто продают как товар, в TOR это инструмент для решения конкретных задач внутри экосистемы. Для вывода ресурса из строя часто достаточно атаковать его слабые узлы, что требует на порядок меньше ресурсов, чем DDoS на защищённый сервер в клире, где для защиты можно заблокировать IP или использовать мощные CDN.
По этой логике кажется, что правоохранители могли бы легко атаковать даркнет-сайты. Но они этого не делают. Почему? Всё просто: массовые DDoS-атаки почти всегда проводятся через ботнет - сеть заражённых устройств. Для государства создание такого ботнета - нелегальный метод, прямое нарушение закона. Устраивать сетевые налёты, не заражая чужие устройства, практически невозможно в нужных масштабах. Альтернативные методы - целевое давление на операторов узлов или эксплуатация уязвимостей в коде TOR - требуют больше ресурсов и применяются выборочно.
Как тогда обеспечивается защита? Здесь, как говорится, «секрет фирмы». У каждого уважающего себя сайта свои заморочки. Поскольку классическая защита не работает, используются нестандартные подходы. Если отбросить базовую капчу, то основные методы включают децентрализацию - создание сети зеркал с разными адресами, чтобы нагрузка распределялась. Также часто применяется приватный доступ, когда сайт работает только по инвайтам или с приватными ключами. Другие методы - динамическая адаптация, при которой меняются параметры службы, чтобы сбросить атакующего, и изоляция, когда функции сайта разделяются между несколькими скрытыми сервисами. Эти меры сложны в реализации и часто составляют коммерческую тайну. Без использования полного спектра таких уловок любой сайт в TOR остаётся крайне уязвимым. Такова цена анонимности.
Ответ кроется в одном ключевом моменте: TOR децентрализован. Связь пользователя с сайтом идёт не напрямую, а через цепочку узлов. Чтобы «положить» сайт, атакующему не нужно атаковать сам сервер - достаточно перегрузить эти узлы. Забанить агрессора по IP невозможно, потому что в TOR IP постоянно меняется. Это основная фича сети для анонимности, но она же убивает любую нормальную сетевую защиту.
В результате DDoS в TOR при наличии мощностей становится крайне простой процедурой, а защита от него - нетривиальной задачей. Не получится просто поставить капчу или арендовать сервер помощнее - это часто бессмысленно, так как атаковать будут узлы. Атакующие используют три специфических вектора. Первый - это бомбардировка запросами скрытых сервисов-посредников, которые хранят информацию о местонахождении сайта. Второй - перегрузка входящих узлов или всех ретрансляторов в цепи, что делает сервис недоступным даже при работающем сервере. Третий - прямое нападение на физический сервер, если его реальное местоположение было раскрыто.
Ключевое отличие от атак в обычном интернете - их точечный и целевой характер. В TOR DDoS выступает инструментом шантажа, устранения конкурентов или политической цензуры, а не просто рыночной услугой. Экономика иная: в клире атаки часто продают как товар, в TOR это инструмент для решения конкретных задач внутри экосистемы. Для вывода ресурса из строя часто достаточно атаковать его слабые узлы, что требует на порядок меньше ресурсов, чем DDoS на защищённый сервер в клире, где для защиты можно заблокировать IP или использовать мощные CDN.
По этой логике кажется, что правоохранители могли бы легко атаковать даркнет-сайты. Но они этого не делают. Почему? Всё просто: массовые DDoS-атаки почти всегда проводятся через ботнет - сеть заражённых устройств. Для государства создание такого ботнета - нелегальный метод, прямое нарушение закона. Устраивать сетевые налёты, не заражая чужие устройства, практически невозможно в нужных масштабах. Альтернативные методы - целевое давление на операторов узлов или эксплуатация уязвимостей в коде TOR - требуют больше ресурсов и применяются выборочно.
Как тогда обеспечивается защита? Здесь, как говорится, «секрет фирмы». У каждого уважающего себя сайта свои заморочки. Поскольку классическая защита не работает, используются нестандартные подходы. Если отбросить базовую капчу, то основные методы включают децентрализацию - создание сети зеркал с разными адресами, чтобы нагрузка распределялась. Также часто применяется приватный доступ, когда сайт работает только по инвайтам или с приватными ключами. Другие методы - динамическая адаптация, при которой меняются параметры службы, чтобы сбросить атакующего, и изоляция, когда функции сайта разделяются между несколькими скрытыми сервисами. Эти меры сложны в реализации и часто составляют коммерческую тайну. Без использования полного спектра таких уловок любой сайт в TOR остаётся крайне уязвимым. Такова цена анонимности.
