Stopddos.ru идет ловить ботнеты

комментарии (13)
версия для печати

В субботу стартовал проект StopDDoS.ru, на котором публикуются списки узлов-источников DDoS-атак, сгруппированные по провайдерам.

Информация поступает почти в реальном времени (данные обновляются два раза в час) на основе статистики некой системы защиты веб-сайтов, отслеживающей "довольно существенное количество узлов". Сейчас на сайте делаются отчеты для русскоговорящих стран, но обещают и англоязычную версию сервиса. Вскоре провайдеры смогут получать данные с сайта автоматически, с раскрытием подробностей.

Планируется также сервис для оповещения "зараженных" посетителей сайтов - для этого проект готов предложить партнерские отношения сайтам, которых интересует защита от DDoS.

Специалисты по сетевой безопасности, которых мы попросили прокомментировать эту новость, пока относятся к проекту скептически. В частности, предупреждение пользователей не сильно поможет в том случае, когда домашние сети ходят в Интернет с одного адреса шлюза - под одним таким "натом" могут оказаться тысячи абонентов, а заражен только один. О том же говорят и в обсуждении проекта на форуме Searchengines.ru.

Что касается пользы для провайдеров - эксперты сомневаются, что провайдеры будут тратить ресурсы на подобный мониторинг, поскольку это удорожает их услуги, а рынок заточен на массовость и дешевизну.

Еще одно сомнение специалистов связано с создателями проекта - компания "Нетвиллидж", организовавшая StopDDoS.ru, оказалась малоизвестной (сайта у нее нет), а сервер StopDDoS.ru вообще отлично замаскировался (определить, где он стоит, очень непросто). Поэтому "Вебпланета" задала несколько вопросов организаторам проекта:

- Можно ли посмотреть сайт вашей компании?

- Всему своё время. Компания Нетвиллидж была учреждена специалистами, проработавшими более 10 лет в области телекоммуникаций. Занимается разработкой и внедрением решений для защиты от DDOS.

- Насколько широкий охват ботнетов вы можете получить?

- Охват громадный. Мы подключаем к статистике фильтрующие системы ДЦ, где софт наш стоит. В ближайшее время планируется подключить еще 15 фильтрующих бордеров. Данные планируется использовать в системах для вычисления центров управления ботнетами.

- Как провайдеры могут использовать ваши данные?

- Они тратят большие деньги на системы анализа трафика... Но без поставщиков информации о зловредной активности они не смогут обходится. Не все атаки видны по статистике netflow, а прослушивать трафик запрещает закон о тайне связи. Мы же используем журналы с нашей системы и можем делать с этой информацией все, что угодно.

- Какие провайдеры уже сотрудничают с вами?

- С кем-то договоренности уже есть, но подробнее сказать не могу. Когда все стабилизируется, провайдеры сами об этом скажут.

Борьба с DDOS и без нас идет вовсю. Некоторые крупные провайдеры РФ внедрили у себя продукты фирмы Arbor, позволяющие коррелировать данные в том числе и с нашей информацией. Arbor - недешевое решение, и он как раз для этого предназначен. Ну кто будет платить порядка 250k$ за одну железку, анализирующую трафик, если проблема борьбы с DDOS изнутри не стоит так остро? Внедрение таких железок в крупных сетях экономически оправдано. 1000 зараженных абонентов с высокоскоростным подключением могут скушать полгигабита полосы. Смотрите, что творилось первого марта...

- Одна из серьезных трудностей - когда тысячи абонетов сидят под "натом". Поможет ли в этом случае предупреждение пользователей?

- Двойственно, на самом деле. На Украине под натом тысячи, а в других местах 1-2. Обычно флудят из сетей крупных провайдеров, у кого большая масса абонентов. Из сетей "Корбины", МТУ, "Укртелекома". Если мы пойдем на создание системы предупреждения пользователей на самих сайтах, то мы как-то учтем это.

Другие интервью