Особенности DdoS-пиара в Рунете

DdoS-атака на «Новую газету» стала крупнейшей в Рунете, однако до мировых не дотягивает. Эксперты рынка смотрят на случившееся предельно широко: одни видят пиар, другие — демонстрацию возможностей по защите, третьи — свидетельство того, что русскоязычный сегмент и российские сети в частности выходят на качественно новый уровень, где за скорость придется платить. В том числе и увеличивающимся «мусорным» трафиком.

Эксперты «Лаборатории Касперского» 8 апреля отрапортовали о том, что ими поставлен своеобразный рекорд: отбита сама мощная атака в истории Рунета. На сайт «Новой газеты». Вот только некоторые параметры отраженного нападения: атака продолжалась три дня с пиками трафика в 60 Гбит/с и 4 миллионами отправленных пакетов в секунду. «Благодаря усилиям специалистов, все это время веб-сайт одного из заказчиков сервиса Kaspersky DDoS Prevention – «Новой газеты» – был доступен пользователям для посещения с минимальными задержками. Исключение составляли лишь те непродолжительные периоды, когда с нагрузкой не справлялись магистральные каналы связи", - говорится в официальном релизе компании.

Сайт газеты стали засыпать «мусорные» обращения около 22 часов 31 марта, 1 апреля шутка уже казалась затянувшейся, однако сайт, несмотря на постоянно увеличивающийся напор SYN-flood'а, оставался доступен. В середине дня атакующие сменили тактику DdoS'а на DNS amplification, что привело к тому, что были забиты каналы связи ряда крупнейших провайдеров. Так что и интернет-версия «Новой газеты» на четверть часа перестала открываться у некоторых пользователей. Сутки спустя атака усилилась, в итоге провайдеры просто закрыли доступ к ресурсу.

Как рассказали «Фонтанке» в «Лаборатории Касперского», в данном случае «Новая газета» является клиентом сервиса Kaspersky DDoS Prevention. Это означает, что во время атаки на сайт трафик проходит через центры очистки «Лаборатории», которые отсеивают «мусор», позволяя реальным пользователям иметь доступ к ресурсу. В данном случае атака была такой мощности (до 60 Гбит/с), что блокировала каналы провайдеров. Вследствие этого последние были вынуждены блокировать маршрут к сайту. В экстренном режиме специалисты «Лаборатории Касперского» совместно с инженерами провайдера блокировали трафик атаки так, чтобы он не мешал работе каналов. Поэтому доступ к защищаемому ресурсу был восстановлен сначала в российском сегменте Интернета, а затем и во всей Сети.

Буквально сразу же за сообщением от «лаборантов» в адрес редакций российских СМИ посыпались сообщения от неких «хомячков», которые взяли на себя ответственность за атаку и в начале месяца, и 7 апреля. «Хомячки – это тысячи интернет-пользователей, которые читают, смотрят и умеют анализировать информацию... Мы признаемся в том, что сделали это намеренно, чтобы сайт газеты стал недоступен», - говорится в распространенном заявлении. Правда, они сразу как-то принизили уровень проблемы. По их уверению, атака была не в 60 Гбит/с (да, крупнейшей в Рунете, но в пять раз меньшей, чем самая крупная в мире, произошедшая в конце марта на Spamhaus), а «скромные» 20 Гбит/с. Есть и сайт «правдорубов», которые объединяются против информационной политики конкретно этой газеты, а также ряда ей подобных. Однако на нем, судя по счетчику, на день 8 апреля было немногим менее 2,5 тысяч пользователей.

В «Лаборатории Касперского» с большим сомнением отнеслись к заявлениям неких представителей интернет-общественности, которые хотели бы выдать себя за реальных организаторов DdoS-атаки. С учетом тактики злоумышленников, которая включала в себя частую смену типов атаки, эксперты уверены, что данные атаки не относятся к так называемому «социальному DdoS-у».

Помимо непосредственно факта отражения нападения, в «Лаборатории» особо подчеркивают, что у врага должна была быть мощная финансовая база. Так, по мнению руководителя проекта Kaspersky DDoS Prevention Алексея Афанасьева, «атака была организована профессионалами, а затраты на ее проведение могут составлять десятки тысяч долларов США».

Аналитики рынка это заявление ставят под сомнение. «Стоимость атаки могла измеряться для злоумышленника пятизначной суммой, а могла не стоить ни копейки - это зависит от того, является ли он владельцем ботнета, который был для ее проведения использован», - полагает Леонид Исупов - эксперт в области информационной безопасности, специалист по комплексному обеспечению безопасности автоматизированных систем, постоянный автор журнала "Хакер". С ним согласен и Борис Горлин, колумнист Telecomblog.ru. По его мнению, зачастую для тех, кто постоянно занимается подобными атаками, такая операция, даже столь масштабная, может обойтись даром.

При этом и стоимость защиты тоже весьма предсказуема: точной суммы для «Новой» в «Лаборатории» не называют, но отмечают, что «в данном случае применялся типовой продукт «Лаборатории Касперского», который лицензируется по количеству защищаемых IP-адресов. Их число, равно как и стоимость защиты, варьируется от заказчика к заказчику». Соответственно, никаких запредельных показателей по финансовой составляющей от оборонявшейся стороны произошедшее также не затребовало.

Что касается мотивов "нападения", то, по словам Бориса Горлина, было бы "ребячеством и глупостью", если за ними стояли бы те, кто оказался обижен на редакцию издания за информационную политику или какой-то конкретный материал. "Вряд ли временный выход из строя сайта может привести к тому, что издание закроется или ему будет нанесен какой-то значимый финансовый урон. А постоянные атаки слишком дорогое удовольствие и требует довольно больших технических ресурсов", - поделился он в разговоре с «Фонтанкой».

"Случившееся стоит рассматривать исключительно как персональное достижение "Лаборатории Касперского", - добавляет Исупов. - Атаки на отказ в обслуживании - события распространенные и банальные, хоть и не рядовые, и с ними уже давно и успешно справляются. Существуют отличные программно-аппаратные комплексы для защиты от подобных действий злоумышленников, а также сервисы, зарекомендовавшие себя". В этой ситуации показательна как раз атака на Spamhaus мощностью до 300 Гбит/с, так как с течением времени будет увеличиваться пропускная способность каналов связи, будет возрастать и масштабность атак. Это неизбежное явление, - пояснил Леонид Исупов.

При этом весьма распространенным среди специалистов IT-рынка остается мнение о том, что столь широкое распространение информации о самой атаке, пострадавших и спасителях - прекрасная почва для пиара. Всех сторон-участников. В этот раз критических последствий для «Новой» также не наступило - на время отключения газета просто перешла в жж-режим.

Ксения Потеева,

«Фонтанка.ру»