«Праздничный» DDoS: оппозиционные издания атаковал один ботнет

автор: Юрий Ильин  13 июня 2012

DDoS-атаки на оппозиционные СМИ в дни общественных волнений стали уже «доброй традицией» российской политической жизни. Цели обыкновенно одни и те же, и вот 12 июня временно «полегли» сайты «Новой газеты», Slon.ru, радиостанции «Эхо Москвы» и телеканала «Дождь». Разница с предыдущими атаками на сей раз состояла в том, что по всем целям бил, по-видимому, один и тот же ботнет. Не очень большой, но гиперактивный.

Согласно статистике, собранной сетью фильтрации Qrator, принадлежащей компании Highloadlab, во время декабрьских и майских инцидентов каждое СМИ атаковал отдельный ботнет. В этот раз пересечение атакующих IP-адресов впервые составило 35 процентов. Суммарная интенсивность «бомбардировки» мусорным трафиком (ICMP, UDP, TCP) составила 5Гбит/с.

Сайты slon.ru, tvrain.ru и echo.msk.ru были атакованы 12 июня в 11:00 по московскому времени. DDoS-атака на novayagazeta.ru началась часом позже и была мощнее: по данным Highloadlab — 800 Мбит/с в пике, 83 000 ботов, 2 500 запросов в секунду. Проще всего пришлось slon.ru: 450 Мбит/с в пике, 8 000 ботов, 1 500 запросов в секунду.

Главные события начали разворачиваться уже после 16:00 (фактически после окончания митинговой активности). К атаке на echo.msk.ru и tvrain.ru, помимо 80-тысячного ботнета, были подключены ещё и выделенные серверы, направлявшие большой поток SYN- и UDP-флуда. Суммарно только эти генераторы создавали трафик объёмом около 2 Гбит/с на фоне непрекращающейся атаки прикладного уровня мощностью более 5 тыс. запросов в секунду.

Источники генераторов трафика были расположены относительно локально, что создало проблемы при балансировке нагрузки с использованием механизмов BGP. Управляя политиками маршрутизации, инженеры Qrator изолировали паразитный трафик на одной точке фильтрации, что позволило, временно деприоретизировав трафик, идущий из-за рубежа, оперативно предоставить доступ к информации для российских пользователей. В течение получаса был найден оптимальный способ разрешения инцидента, после чего сайты СМИ стали доступны для всех легитимных пользователей.

Если говорить о физическом расположении заражённых компьютеров, использовавшихся в ходе DDoS-атаки, то большинство их находилось в Индии (12 475 штук), но при этом почти десять тысяч машин-«зомби» располагаются и в России. Почти наверняка это компьютеры с непропатченной ОС Windows.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
  • И кому бы это выгодно? Уж не царю ли чекисту?

    • Михаил

      Вам. Что характерно.

  • nkgb

    Некоторые граждане заняли весьма активную гражданскую позицию. Что не может не радовать.

    • цукен

      Лизать зад путену, стоя на коленях и восторгаясь стабильностью своего положения — это да, весьма активная "гражданская" позиция. Вас это радует? Стойте и дальше…

      • nkgb

        Демократия предполагает уважение мнение других граждан, даже если вы с ним не согласны. Оскорбления инакомыслящих — верный признак тоталитарного мышления.

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2017
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"