Знаем всё о доступности в интернете
49,57
рейтинг
6 декабря 2011 в 19:34

Разное → DDoS-атаки на Интернет-СМИ: хроника событий

4 декабря 2011 года в Российской Федерации прошли выборы в Государственную Думу. Одновременно с этим были зарегистрированы крупные атаки на ряд популярных Интернет-СМИ. Сервис Qrator компании Highload Lab осуществлял фильтрацию большинства этих атак. Ниже приводится хронология событий с нашей точки зрения.

Disclaimer: компания Highload Lab никак не связана ни с одной политической партией и готова предложить свои услуги любым организациям, чья деятельность не нарушает законов Российской Федерации. Данный обзор публикуется на специализированном IT-ресурсе, сфокусирован на технических подробностях событий и ни в коей мере не ставит своей целью определение причин и виновников описываемого в статье.

02 декабря 2011. На qrator.net регистрируются сайты zaks.ru и novayagazeta.spb.ru. Активная фаза атаки продлилась до вечера 04 декабря, в пике было зарегистировано около 3400 запросов/с суммарно на оба ресурса, что на порядки превышало обычную нагрузку. При этом большинство запросов составляли тяжёлые POST'ы по различным URL. До начала фильтрации время ответа на запрос составляло до 60 с, после подключения эта цифра быстро выправилась.

zaks.ru

В этот момент ещё была мысль, что этой атакой всё ограничится. Как ни странно, в основном DDoS-атаки начались не за неделю до выборов, не в период агитации, а непосредственно в сам день народного голосования. Возможно, расчёт злоумышленников был на то, что владельцы атакуемых сайтов будут не готовы к угрозе и потратят существенное время на выбор поставщика услуг фильтрации трафика и сетап. Частично этот расчёт оправдался.

04 декабря 2011. В 14:00 к Qrator подключается slon.ru. Фактически атака на ресурс имела две фазы:
— с 14:00 до 19:20 длилась атака на уровень приложения, HTTP-запросы типа GET и POST, плюс UDP-флуд. 250 Мбит/с (плюс доля в блекхоле), 2,5 тыс. запросов/с, 50-60 тыс. ботов
— с 19:20 до конца дня атака на уровень приложения изменила тактику, к ней также добавился SYN-flood. Суммарно было зарегистировано 200-250 тыс. ботов, преимущественно из Индии и Пакистана. Ряд ботов передавал в HTTP-заголовке X-Forwarded-For адреса локальных сетей наподобие «10.94.3.16». В связи с недостатком времени на обучение фильтров перемена стратегии принесла пользу атакующим, и с 19:24 до 21:12 slon.ru снова был недоступен, после чего уже работал непрерывно.

slon.ru

К сожалению, данный график не очень точно представляет реальное положение дел, поскольку трафик, фильтруемый непосредственно «на железе», не учитывается модулем сбора статистики. Ну, в общем, на то она и статистика, чтобы быть неточной.

В 19:40 подключается echo.msk.ru. Регистрируем в среднем 3,5 тыс. HTTP GET-запросов с примерно 3000 IP-адресов, а также SYN-флуд суммарным объёмом около 1 Гбита/с. 5 декабря SYN-флуд неоднократно возвращался, но мощность уже не превышала 100 Мбит/с.

20:20: kartanarusheniy.ru. В процессе обучения фильтров из-за возникшего недопонимания (накал страстей можете себе представить сами) администраторы сайта переключили DNS обратно напрямую, но вернулись на следующий день в 14:30 и успели вовремя — спустя 3 часа на сайт прилетел SYN flood мощностью 1,5 Гбит/с. После его окончания атака на сайт практически спала.

kartanarusheniy.ru

5 декабря 2011. В середине дня возвращается Карта нарушений, а в 18:40 на защиту становятся bg.ru и tvrain.ru. Имеют место быть HTTP-запросы, нацеленные на вывод из строя базы данных сайта. Суммарно 8 тыс. уникальных IP-адресов.

В данный момент активная фаза большинства описанных атак завершилась, однако ряд из них (например, DDoS на «Эхо Москвы») перешли в стадию ожидания: около сотни ботов пытается отправлять «тяжёлые» запросы на сервер, чтобы обнаружить момент, когда сайт начнёт «сдавать» — например, выйдет из-под защиты. Другой пример: атака на Слон.ру сейчас спала и в ней принимает участие на постоянной основе всего лишь 60000 ботов.

Какую мысль хотелось бы донести? Практика показывает, что DDoS-атаки в Рунете — впереди планеты всей. Ряд европейских хостингов в принципе оказывается не готов даже к средним атакам на российские сайты, не говоря уже о действительно серьёзных прецедентах. При этом переключение под фильтрацию занимает ощутимое время. Так что, если вы планируете серьёзное мероприятие в Рунете, стоит озаботиться страховкой до того, как ваш дом начнёт гореть.
Автор: @ximaera
Qrator Labs
рейтинг 49,57
Знаем всё о доступности в интернете
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Комментарии (34)

  • –2
    Очень интересный пост. Спасибо.
    • +29
      Очень содержательный комментарий. Спасибо.
  • +4
    Сейчас начнётся ещё один концерт ботов. Через 2 часа по тем же сайтам.
    Как происходят DDOS атаки технически мы понимаем, бороться тяжко, ведь это теперь не сильно дорогое удовольствие. :(
  • +2
    Забавно. Как 19-ого декабря у нас, в Минске. Всяких slonru.com не появилось случаем?
  • +73
    Чертова «Единая Росиия» — партия жуликов и воров!
    • 0
      Собственно время аттак сказало об атакующих всё.
    • +1
      Может Чурова? :)
      • +2
        Чуров, кстати, из ЛДПР.
  • 0
    Ну вот так и получается что на любом событии можно поднять бабла. Как держателям ботнетов, так и держателям защит от этого :)
    • +2
      А если ещё и договориться, то можно подзаработать обоим с псевдовойной. :)))
      • +7
        Я категорически не хочу выражать в данном посте свой личный взгляд на происходящее (даром что он скорее нейтрален). Однако касательно вашего комментария замечу, что есть такое слово — «западло».
  • 0
    Как же я не люблю всю эту псевдо-выборную лапшу с марковкой =\
  • +11
    Эх, жаль что livejournal.com не спешит воспользоваться вашей защитой ))
    • 0
      Они гордые, поэтому и сидят в полной жопе.
      • 0
        Лично я начал заходить на жж ближе к 6 часам 4 декабря, все остальное лежало, на карту нарушений в полночь было не зайти. Так что не уверен на счет жопы.
  • +1
    А кто знает что с golos.org?
  • +2
    Сводки с фронтов. Аж мурашки по коже!
  • +1
    Ещё www.kommersant.ru неслабо досталось. Следующий вал неработающих сайтов ждём 10-го числа
  • +3
    У нас в городе один местный новостной ресурс (не сказать, чтобы опозиционный, но пишущий не под диктовку власти в городе) verstov.info после публикации статьи (кеш google) о том как у одной партии 37% внезапно превратились в 63% свалился в даун минут через 10. Сайт утром вернулся в строй, но статьи уже нет. :(
    • +1
      Наш местный оппозиционный сайт новостей (КПРФ и немного Яблоко) лежал всю неделю до выборов, с редкими попытками подняться.
    • 0
      Ну почему владельцы этого сайта открыто не рассказали, кто и как на них давил? Всё равно через какие источники информации
  • –6
    Какие то ниачемные ресурсы, кому их надо досить только остается догадкой.
  • +4
    Плюсанул как минимум за последнюю фразу.

    Заботиться о защите стоит до того, как произошло нападение, не только в Рунете. Просто в Рунете это становится очевидным раньше.
  • +2
    Ну чтож, теперь я знаю какие сайты не прогибаются под ПЖИВ.
    Без этих атак про большинство из них даже не слышал :)
    Почитаем…
  • +3
    Подобные атаки и в целом активность «ботов» будет только усиливаться: очевидно, что все центральные СМИ «лишней» информации никогда не предоставят, остается интернет. Помимо атак на основные «протестные» сайты, будут так же создаваться всякие «левые» интернет-проекты, с идентичным дизайном и недостоверной информацией, возможно массовое появление различный липовых групп в том же контакте — с призывами к нарушению конституции и т.д. Либо же полностью копирующие аналогичные оригиналы, но, например, с измененным адресом встреч и т.д. + тот же Twitter.
    Пример: twitter.com/#!/navalny — оригинал
    twitter.com/#!/navainy — свежий клон
    • 0
      посмотрел твиты… первый от 1 февраля… свежий клон?
      • 0
        Это был лишь пример, «свежий» оживился недавно. Именно его стали активно другие упоминатьююю
  • 0
    Интересно, они твиттер Навального не пытались завалить?
  • 0
    slon.ru лежит до сих пор, или вы обрубили всю Азию в качестве аудитории?
    • +2
      Не всю, но некоторую часть (плюс учитывайте NAT). Если напишите в личку свой IP-адрес, разберёмся.
  • 0
    А как вы обрабатываете SYN-flood в 1.5Гбита, если не секрет?
    Умное сетевое железо или хитрым образом настроенный linux/freebsd?
    • 0
      Если под сетевым железом подразумевается Cisco Guard/Arbor, то нет. Обрабатываем программно-аппаратным комплексом, большая часть отвечающего за это кода — наша собственная.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное