Щит против тысячи мечей
Как из научного эксперимента, «положившего» сеть МГУ, выросла компания с выручкой в два миллиарда и сетью центров в Европе, Юго-Восточной Азии, Латинской Америке и на Ближнем Востоке
Может ли научный, некоммерческий проект, организованный кучкой энтузиастов, перерасти в уважаемую компанию с хорошими финансовыми показателями и прочными позициями на международном рынке? Истории известны такие примеры, причем как за рубежом, так и в России, и каждый подобный кейс выглядит удивительным и по-настоящему эксклюзивным. Сегодня мы расскажем об одном из них. Знакомьтесь: компания Curator и ее генеральный директор, математик Дмитрий Ткачев.
Сначала была наука
Началась эта бизнес-история с любопытства: ее участники очень хотели найти решения задач, с которыми внезапно начали сталкиваться мировые технологические гиганты. Тогда, в начале «нулевых», в далекой Америке проблема компьютерных взломов уже становилась реальностью. Так, в феврале 2000 года произошла одна из первых по-настоящему громких серий DDoS-атак в мире: 15-летний канадский хакер Майкл Кальс последовательно «положил» крупнейшие сайты: Yahoo, Amazon, eBay и CNN. А в январе 2003-го случился еще более дерзкий выпад: сетевой червь SQL Slammer атаковал непропатченные серверы Microsoft SQL-2000, за десять минут заразив 75 тыс. компьютеров. Это вызвало резкое снижение глобального интернет-трафика.
Отработанных технологий противодействия подобным налетам в мире на тот момент еще не существовало, а для российской научной повестки эта тема и вовсе была новой. И наши герои — группа исследователей из МГУ, в которой были молодые преподаватели, аспиранты и студенты, — решили заняться противодействием угрозам, нависающим над архитектурой стремительно расширявшегося интернет-пространства.
В МГУ их начинания нашли поддержку: в рамках действующего там Центра телекоммуникаций и технологий интернета (ЦТТИ) для изучения проблематики противодействия атакам в облаке был запущен прикладной проект. Университет открыл ученым-энтузиастам доступ к своей сетевой инфраструктуре — двум серверным, одна из которых располагалась в главном здании МГУ, там же, где и ЦТТИ, а другая была вскоре построена в технических подвальных помещениях. Впоследствии в рамках этого проекта в подвале был организован и первый узел очистки трафика. Для понимания: защита от DDoS и ботов работает примерно так же, как фильтрация воды. То есть весь трафик, прежде чем прийти к клиенту, сначала проходит через узлы фильтрации. Там нормальные запросы в режиме реального времени пропускаются дальше, а «мусорные» — останавливаются.
В основе таких фильтров — особая научная «начинка». «По сути, это система, созданная на пересечении сетевых протоколов, статистики и теории систем управления. Она стоит на двух “слонах”. Во-первых, это сигнатурный анализ трафика: известные паттерны атак фиксируются, описываются и блокируются по признакам. Это в значительной мере “библиотека рецептов” — но ее нужно постоянно пополнять, потому что атаки мутируют. Ботнет меняет векторы, размер пакетов, TTL (счетчик времени жизни сетевого пакета. — “Монокль”), порядок флагов — и старая сигнатура перестает работать, — поясняет Дмитрий Ткачев. — Во-вторых, крайне важен поведенческий анализ: здесь применяется еще более серьезная математика. Система строит статистическую модель “нормального” трафика для конкретного ресурса: распределение запросов по времени, соотношение GET/POST (методы протокола HTTP, которые указывают на конкретное действие, которое клиент хочет выполнить с ресурсом. — “Монокль”), характер сессий, географический профиль. Отклонение от этой модели — триггер. Это методы статистического контроля качества, адаптированные под сетевой трафик».
Таким образом, была создана технология, позволившая фильтровать поток в реальном времени при больших нагрузках, когда через инфраструктуру проходит более шести терабит в секунду. Это можно сравнить еще и с иммунной системой, которая должна отличать «своих» от «чужих» — мгновенно, при постоянно меняющемся «противнике».
Поначалу сотрудники тренировались на синтетических данных, которые генерировались алгоритмами, но они не всегда дают картину настоящего трафика. Для полноценного исследования нужна была реальная нагрузка и реальные пользователи. Этот актив набирали как могли — по сарафанному радио. В итоге в проект удалось вовлечь около 300 пользователей, которым предложили защиту от гипотетических атак на безвозмездной основе. Приходили эти «клиенты», как правило, при первых признаках угрозы — не обязательно в момент активной атаки, а, например, после получения письма с требованием злоумышленника заплатить, чтобы ресурс продолжал работать. Так лаборатория одновременно решала исследовательские задачи и закрывала практическую потребность рынка.
Но 20 июня 2010 года эксперимент вышел из-под контроля: высокоскоростная атака, превысившая 12 гигабит в секунду, «положила» сеть самой лаборатории. Кто и почему ее атаковал, выяснить не удалось: так устроены DDoS — пакеты приходят с подмененными адресами отправителя, реальный источник за ними не виден. Скорее всего, атаковали одну из сотен организаций, которые были под защитой лаборатории. Лаборатория же не смогла себя защитить, потому что общая пропускная способность университетской сети была рассчитана всего на 10 гигабит трафика в секунду. В итоге на короткий период сеть МГУ осталась без связи с внешним миром: пропал доступ в интернет и «упали» все онлайн-сервисы — почта, сайт и удаленный доступ.
После этого на лабораторию обратил внимание ректор МГУ Виктор Садовничий: «Ребята, у нас же лето, скоро начнутся вступительные экзамены. Все понимаю, но давайте прекращать эти эксперименты».
И участникам теперь уже вчерашнего университетского проекта пришлось приступить к постройке собственной инфраструктуры, не используя сеть МГУ. Тогда все сошлись во мнении, что пора переходить к коммерческой деятельности. Инженеры и математики, пока еще не имевшие за плечами управленческого опыта, стали учиться зарабатывать деньги.
Период наработки репутации
Так родилась компания Curator. К слову, изначально она называлась High Load Lab — «Лаборатория высоконагруженных систем». Новое название возникло из разработанной технологии компании — Queue Rator, Queue Rate Limiter. Это означает постановку пакетов данных в некое подобие очереди для очистки и фильтрации и последующей передачи клиентам.