“Лаборатория Касперского” объявила об успешном отражении DDoS-атаки, которая продолжалась в течение трех дней и в пиковые периоды превышала 60 Гбит/с. Благодаря усилиям специалистов, все это время веб-сайт одного из заказчиков сервиса Kaspersky DDoS Prevention – “Новой газеты” был доступен пользователям для посещения с минимальными задержками. Исключение составляли лишь те непродолжительные периоды, когда с нагрузкой не справлялись магистральные каналы связи.
По оценкам экспертов, данная атака была одной из самых масштабных в истории Рунета и ее мощности вполне хватило бы для отключения части российского интернета. Распределенная атака типа “отказ в обслуживании” (Distributed Denial of Service, DDoS) на сайт “Новой газеты” началась 31 марта 2013 г. в 22:00 и представляла собой плавно нарастающую по силе атаку типа SYN-flood. Все это время сайт СМИ не испытывал проблем с доступностью. В середине следующего дня, после того, как был достигнут пик 700 Мбит/с, атакующие сменили тактику, реализовав мощнейшую атаку типа DNS amplification, в результате которой каналы нескольких крупнейших Российских провайдеров связи были блокированы, а сайт “Новой газеты” в течение 25 минут был недоступен для пользователей. Однако в результате оперативного взаимодействия специалистов “Лаборатории Касперского” с провайдерами работа сайта была восстановлена при продолжающейся атаке.
Следующим заметным шагом злоумышленников стала массированная атака, начавшаяся 2 апреля после 16 часов и вынудившая нескольких крупнейших операторов связи принять оперативные меры с целью прекращения перегрузки своих магистральных каналов, что привело к блокировке маршрутов до сайта “Новой газеты”. К 19:00 экспертами “Лаборатории Касперского” было реализовано решение, позволившее обеспечить доступность сайта СМИ в пределах российского сегмента Сети.
3 апреля в сотрудничестве с операторами были предприняты действия, обеспечивающие ограничение транзита основного потока атакующего трафика, достигающего в пике 60 Гбит/с и способного причинить значительный ущерб всему Рунету. Это позволило полностью восстановить доступность сайта “Новой газеты” и обеспечить его дальнейшую эффективную защиту.
Очередная попытка повлиять на доступность ресурса началась в 13:05 с комбинации атак типа HTTP flood и RST flood незначительной мощности. После 40 минут атаки, никак не повлиявшей на работу веб-сайта “Новой газеты”, атака дополнилась компонентами DNS Amplification мощностью около 5Гбит/с и SYN-flood мощностью около 3,5 миллиона пакетов/сек. Однако из-за того, что атакующие DNS-сервера находились за пределами российского сегмента Сети, увеличить этот вид атаки до критических значений злоумышленникам не удалось. В течение последующих двух часов атакующие безуспешно использовали всевозможные комбинации атак, сменяющих друг друга каждые 4-5 минут. В итоге, после 17:00 попытки заблокировать доступ к веб-сайт “Новой газеты” прекратились: активной еще почти на сутки осталась незначительная атака типа SYN-flood мощностью около 20000 пакетов/сек. На данный момент атака полностью прекратилась. (Касперский/NovostIT)
