Москва, 13 июня 2012 – В минувший день, 12 июня, сайты «Новой газеты», Slon.ru и телеканала «Дождь» подверглись атаке мощного ботнета, насчитывающего 133 000 зараженных компьютеров. Это уже третья по счету, и самая масштабная волна DDoS-атак на эти интернет-СМИ за последние полгода.
Атаки были направлены не только на исчерпание ресурсов серверов, но и на забивание каналов связи. Сеть фильтрации трафика Qrator зафиксировала SYN-флуд и UDP-флуд с общей пропускной способностью 5 Гбит/с. В предыдущие инциденты в декабре и мае каждое СМИ атаковали отдельные ботнеты. Однако вчера пересечение атакующих IP-адресов впервые составило 35%. Это наводит на мысль о том, что за организацией атак стоит один и тот же исполнитель и заказчик.
Сайты slon.ru и tvrain.ru подверглись атакам 12 июня в 11:00 по московскому времени. DDoS-атака на сайт novayagazeta.ru началась часом позже и оказалась более сильной: пиковая мощность достигла 800 Мбит/с, было задействовано 83 000 ботов и зафиксировано 2 500 запросов в секунду. Наименьший удар пришелся на slon.ru: 450 Мбит/с в пике, 8 000 ботов и 1 500 запросов в секунду.
Основные события разворачивались после 16:00 мск. К атаке на tvrain.ru, кроме 80-тысячного ботнета, были подключены выделенные сервера, которые генерировали значительный SYN-флуд и UDP-флуд. Эти генераторы создавали трафик объемом около 2 Гбит/с, на фоне непрекращающейся атаки прикладного уровня в более чем 5 000 запросов в секунду. Источники трафика находились относительно близко, что усложняло балансировку нагрузки с использованием BGP.
Инженеры Qrator, управляя маршрутами, смогли изолировать паразитный трафик на одной точке фильтрации. Это позволило временно понизить приоритет трафика, поступающего из-за границы, и обеспечить доступ к информации для российских пользователей. В течение получаса удалось найти оптимальный путь решения проблемы, после чего сайты снова стали доступны для всех легитимных пользователей.
Большее количество зараженных компьютеров расположено в Индии – 12 475 машин, следуют Пакистан, Германия, Россия, Египет, Индонезия, Украина, Израиль, Тринидад и Тобаго, а также другие страны. Интересно, что доля России в ботнете чуть уступает Индии – 9 908 машин. По состоянию на 15:00 мск 13 июня, DDoS-атака продолжается на сайт телеканала «Дождь»: сеть Qrator фиксирует 410 Мбит/с и 36 000 ботов, однако сайт функционирует в штатном режиме.
