Есть щит, нет меча
Тут вот коллеги обсуждают тему защиты от (D)DoS-атак. В частности, всплыл вопрос о тестировании такой защиты.
Атаки бывают очень разные: от тупого пинга с фиксированной сигнатурой до хитрейшей имитации легитимных запросов через ботнет. Средства защиты тоже весьма различны, более эффективные против одних атак, менее - против других. В том числе, встречается и халтура, и узкоспециализированные средства, и устаревшие. Без тестирования обойтись сложно. Но на чём тестировать?
Есть трафикогенераторы. Есть примитивные программы-флудеры. Но с имитаторами DoS-атак, близких к реальным - проблема.
Сказка про курочку Рябу - это завет Древних для тестеров. Неуспешность атаки типа "brute force" ещё ничего не говорит о защищённости объекта. Казалось бы, выход прост. Обращаетесь к "чёрным шляпам" и заказываете атаку на себя нужной мощности. Текущие цены на DoS-атаки колеблются от десятков до сотен долларов в сутки. Короткую демонстрационную атаку можно получить даже бесплатно. По сравнению с бюджетом проекта (сотни тысяч долларов, до миллиона) это немного.
Но есть проблемы. Во-первых, этическая. Допустимо ли тратить ассигнованные на защиту деньги на поддержание и развитие чёрных технологий? То есть, финансировать своего противника. Во-вторых, проблема бухгалтерская. Злохакеры не любят белых платежей и, как правило, не умеют подписывать договор, выставлять счёт и присылать счёт-фактуру в соответствии с ПБУ РФ. И в-третьих, наши противники не такие уж глупые и могут сыграть с нами в поддавки. Зная, что атака нужна для тестирования средств защиты, они могут её существенно упростить. Как известно, мощность атаки (трафик) - это не единственный показатель. Например, пакет, относящийся к протоколам маршрутизации, требует ресурсов процессора раз в десять-сто больше, чем обычный транзитный пакет. Более эффективную атаку наши противники, заинтересованные в успешном тестировании, приберегут на будущее.
С другой стороны, самому создавать специальный атакующий софт, который бы не уступал по эффективности вражескому - это как-то... Как-то не того... Не достойно благородных рыцарей. Опять же, на ком его тестировать-то?
Атаки бывают очень разные: от тупого пинга с фиксированной сигнатурой до хитрейшей имитации легитимных запросов через ботнет. Средства защиты тоже весьма различны, более эффективные против одних атак, менее - против других. В том числе, встречается и халтура, и узкоспециализированные средства, и устаревшие. Без тестирования обойтись сложно. Но на чём тестировать?
Есть трафикогенераторы. Есть примитивные программы-флудеры. Но с имитаторами DoS-атак, близких к реальным - проблема.
Сказка про курочку Рябу - это завет Древних для тестеров. Неуспешность атаки типа "brute force" ещё ничего не говорит о защищённости объекта. Казалось бы, выход прост. Обращаетесь к "чёрным шляпам" и заказываете атаку на себя нужной мощности. Текущие цены на DoS-атаки колеблются от десятков до сотен долларов в сутки. Короткую демонстрационную атаку можно получить даже бесплатно. По сравнению с бюджетом проекта (сотни тысяч долларов, до миллиона) это немного.
Но есть проблемы. Во-первых, этическая. Допустимо ли тратить ассигнованные на защиту деньги на поддержание и развитие чёрных технологий? То есть, финансировать своего противника. Во-вторых, проблема бухгалтерская. Злохакеры не любят белых платежей и, как правило, не умеют подписывать договор, выставлять счёт и присылать счёт-фактуру в соответствии с ПБУ РФ. И в-третьих, наши противники не такие уж глупые и могут сыграть с нами в поддавки. Зная, что атака нужна для тестирования средств защиты, они могут её существенно упростить. Как известно, мощность атаки (трафик) - это не единственный показатель. Например, пакет, относящийся к протоколам маршрутизации, требует ресурсов процессора раз в десять-сто больше, чем обычный транзитный пакет. Более эффективную атаку наши противники, заинтересованные в успешном тестировании, приберегут на будущее.
С другой стороны, самому создавать специальный атакующий софт, который бы не уступал по эффективности вражескому - это как-то... Как-то не того... Не достойно благородных рыцарей. Опять же, на ком его тестировать-то?