«Лабораторія Касперського» відобразила потужну DDoS-атаку на російський медіаресурс

«Лабораторія Касперського» оголосила про успішне відображенні DDoS-атаки, яка тривала протягом трьох днів і в пікові періоди перевищувала 60 Гбіт/с. Завдяки зусиллям фахівців, все це час веб-сайт одного з замовників сервісу Kaspersky DDoS Prevention - «Нової газети» був доступний користувачам для відвідування з мінімальними затримками. Виняток становили лише ті нетривалі періоди, коли з навантаженням не справлялися магістральні канали зв'язку.

За оцінками експертів, ця атака була однією з наймасштабніших в історії Рунета, і її потужності цілком вистачило б для відключення частини російського інтернету. Розподілена атака типу «відмова в обслуговуванні» (Distributed Denial of Service, DDoS) на сайт «Нової газети» почалася 31 березня 2013 року в 22:00 і являла собою плавно наростаючу по силі атаку типу SYN-flood. У середині наступного дня, після того, як був досягнутий пік 700 Мбіт/с, атакуючі змінили тактику, реалізувавши потужну атаку типу DNS amplification, в результаті якої канали декількох найбільших російських провайдерів зв'язку були блоковані, а сайт «Нової газети» протягом 25 хвилин був недоступний для користувачів. Проте в результаті оперативної взаємодії фахівців «Лабораторії Касперського» з провайдерами робота сайту була відновлена при поточній атаці.

Таким помітним кроком зловмисників стала масована атака почалася 2 квітня після 16 годин і що змусила декількох найбільших операторів зв'язку прийняти оперативні заходи з метою припинення перевантаження своїх магістральних каналів, що призвело до блокування маршрутів до сайту «Нової газети». До 19:00 експертами «Лабораторії Касперського» було реалізовано рішення, яке дозволило забезпечити доступність сайту ЗМІ в межах російського сегменту Мережі.

3 квітня у співпраці з найбільшими операторами зв'язку було вжито заходів, що забезпечують обмеження транзиту основного потоку атакуючого трафіку, що досягає в піку 60 Гбіт/с і здатного завдати значної шкоди всьому Рунету. Це дозволило повністю відновити доступність сайту «Нової газети» і забезпечити його подальшу ефективну захист.

Чергова спроба вплинути на доступність ресурсу почалася о 13:05 комбінації з атак типу HTTP flood і RST flood незначною потужності. Після 40 хвилин атаки, вона доповнилася компонентами DNS Amplification потужністю близько 5 Гбіт/с і SYN-flood потужністю близько 3,5 мільйона пакетів/сек. Однак через те, що атакуючі DNS серверу перебували за межами російського сегмента Мережі, збільшити цей вид атаки до критичних значень зловмисникам не вдалося. Протягом наступних двох годин атакуючі безуспішно використовували різні комбінації атак, що змінюють один одного кожні 4-5 хвилин. У підсумку, після 17:00 спроби заблокувати доступ до веб-сайт «Нової газети» припинилися: активної ще майже на добу залишилася незначна атака типу SYN-flood потужністю близько 20000 пакетів/сек. На даний момент атака повністю припинилася.

«DDoS-атака організована на сайт «Нової газети», є однією з наймогутніших в історії російського Інтернету: вони тривала протягом трьох днів, в пікові моменти досягала 60 Гбіт і 4 млн пакетів/сек. Незважаючи на це, більшу частину часу сайт працював в штатному режимі, а загальна тривалість недоступності склала менше трьох годин, - говорить Олексій Афанасьєв, керівник проекту Kaspersky DDoS Prevention «Лабораторії Касперського». - Очевидно, що така атака була організована професіоналами, а витрати на її проведення можуть становити десятки тисяч доларів США».

Додаткова інформація про атаку на «Нову газету» доступна на сайті: www.novayagazeta.ru/society/57539.html.

P.S.: на момент публікації цього матеріалу сайт "Нової газети" був недоступний. Можливо, DDoS-атака на нього відновилася.