Расчет атакующих мощностей

Достигнуть сбоев в работе вебхостинга можно двумя способами [26,27]:

• Создать значительный поток запросов к серверу, так, что он не только не сможет его обслужить, но и сохранить все запросы в очереди.
• Создать значительный поток трафика из запросов, переполнив, таких образом, емкость входящего канала. И сделав невозможной дальнейшее получение запросов на обслуживание

То есть в обоих случаях требуется создавать значительный входящий поток. Успешно решить данную задачу возможно только в том случае, когда число атакующих хостов велико, и каждый из них генерирует небольшую нагрузку. В противном случае достаточно легко засечь IP адреса, с которых ведется атака, и заблокировать трафик с них [28].

Обозначим через - число компьютеров в ботнете и пусть каждый из них посылает запросы с частотой . Тогда для входящего потока с интенсивностью из уравнения (2.3)

, (2.6)

для перегрузки сервера запросами необходимо от каждого из хостов посылать запросы не чаще, чем один раз в минуту. Такая частота запросов достаточно трудно обнаруживается, но для генерации критического потока запросов необходим ботнет из

(2.7)

Такой размер ботнета достаточно большой, но все равно при анализе достаточно большой выборки данных, приблизительно несколько часов, этот ботнет может быть обнаружен по данным NetFlow, так как IP адреса его хостов будут постоянно повторяться.

Попробуем проанализировать теперь уровень атаки на переполнение канала к стандартному серверу, который тяжело обнаружить. Предположим, что каждый из хостов ботнета генерирует трафик со скоростью Kbps. Принимая средний размер потока равен среднему размеру файла KB, оценим уровень обнаружения в один поток в минуту. Тогда для малозаметного нарушения работоспособности сервера с шириной внешнего канала Mbps требуется ботнет из

225 000 (2.8)

225 000 компьютеров при трехкратном превышении емкости канала. При этом каждый из компьютеров будет генерировать чуть больше 1 Kbps трафика. Мощность подобной атаки может быть повышена, но тогда сократится время на ее обнаружение. Создать такого размера ботнет очень тяжело, их в мире не более 10. Отсюда можно сделать вывод, что при подключении по каналу 1 Gbps необходима атака очень высокой мощности, порядка 100 Kbps с приблизительно 25 тысяч хостов. Такая атака может быть легко обнаружена и заблокирована при применении современных методов борьбы.