Highloadlab отразила DDoS-атаки на сайты «Эхо Москвы» и Slon.ru

Изначально имело место предположение о том, что эти атаки имеют один источник, т.е. атака проводилась одним ботнетом. Однако они не только имели различные источники, но и значительно различались по своим характеристикам. Например, размер ботнета, атаковавшего сайт радиостанции «Эхо Москвы» составил примерно 25.000 зараженных машин, а Интернет-ресурс Slon.ru атаковали уже более 100.000 машин. Стоит отметить, что большинство зараженных машин находились не в России, а в таких странах, как Индия и Пакистан. 

Атака на Slon.ru в пике в 40 раз превышала нормальную нагрузку сайта, нагрузка в связи с атакой на сайт «Эха Москвы» также была намного выше среднего уровня. 

«Запрос от атакованных СМИ поступил к нам вечером 4 декабря, и в течение нескольких часов наши специалисты восстановили работу защищаемых ресурсов. Логика DDoS-атаки проста - мы де-факто живем в информационном обществе и cкорость распространения информации, особенно для интернет-ресурсов является очень важным критерием. Поэтому у любой атаки цель одна - заблокировать оперативное распространение такой информации», - прокомментировал Александр Лямин, генеральный директор компании Highloadlab. 

По словам Вадима Петрова, технического директора проекта Slon.ru, DDoS атака на сервер началась 4 декабря в 7.20 утра по московскому времени. В результате атаки сервер, на котором размещен проект, стал недоступен для пользователей, остановилась работа редакции, и пришлось искать альтернативные площадки для публикации материалов. Основной площадкой стал сайт телеканала «Дождь» tvrain.ru. 

«Как только стало понятно, что на проект осуществляется DDoS-атака, мы приняли решение воспользоваться услугами компании Highloadlab. С момента обращения к специалистам Highloadlab до момента возвращения slon.ru в сеть прошло около 2 часов – время потребовалось в основном на настройку нашей системы и отработку фильтров на серверах Highloadlab. После этого Slon.ru стал вновь доступен, а редакция получила возможность продолжить работу. Атака продолжается уже третий день, но проект slon.ru работает в штатном режиме», - говорит Вадим Петров. 

По словам генерального директора Highloadlab Александра Лямина, атаки продолжаются до сих пор, но на работе защищаемых ресурсов это уже никак не сказывается. 

В данный момент атака на http://echo.msk.ru/ практически спала, паразитные запросы выполняются примерно со ста IP-адресов. Целью атакующих является вывод из строя базы данных ресурса. Как правило, такой характер атаки свидетельствует о том, что злоумышленники перешли в режим ожидания и ждут, что сервер начнёт поддаваться под текущей нагрузкой, после чего атака вернётся в полном объёме. 

Атака на slon.ru также упала до определённого предела, в данный момент на ресурсе блокируется около 50000-60000 ботов, в основном из Индии (19000) и Пакистана (10000). Атакующие нацелены на исчерпание сетевых ресурсов сервера (например, количества возможных соединений), периодически наблюдаются всплески трафика до 400 Мбит/с.