«Это было нечто!»

Почему апрельская DDoS-атака на сайт «Новой газеты» войдет в историю Рунета

Атака на портал «Новой газеты» началась в воскресенье, 31 марта. Ночная смена сотрудников, в задачи которых входит выкладывать материалы свежего номера газеты на сайт, потеряла доступ к «админке» — редакторскому интерфейсу, или, если по-простому, изнанке сайта — в 21:50 по Москве. Сказать, что сообщение технических специалистов о начале DDoS-атаки на портал заставило редакцию «Новой» в ужасе рвать на себе волосы — соврать. Сам сайт был защищен и продолжал работать. Работоспособность ресурса была прикрыта отделом «Лаборатории Касперского», специализирующемся на защите именно от таких угроз. Более того, накануне 20-летнего юбилея газеты с партнерами договорились перевести режим защиты в боевую готовность — ждали «подарочка».

А как не ждать? Вспомним хронику «боевых действий»: сайт «Новой» был атакован в декабре прошлого года (сбор подписей против «Закона подлецов») и январе нынешнего (сбор подписей за роспуск Госдумы), да и раньше случалось.

Технические подробности того, что произошло, широкой аудитории легче всего объяснить ассоциативно. Так вот: ждали мы хулиганов и камня в окно (и радовались, что окна заранее поставили пуленепробиваемые), но прилетел — метеорит.

Примерно месяц или чуть больше будут исследовать богатейший материал, полученный в борьбе с ботами, аналитики «Лаборатории Касперского», но нам уже подтвердили: апрельская атака на «Новую» беспрецедентна не только для истории самой газеты, но и для всего Рунета. Во многом это связано именно с тем, что «Новая» сопротивлялась, и обычная атака вечера 31 марта превратилась в то-чего-еще-никто-не-испытывал. По крайней мере, в России.

Но дьявол в деталях, к ним и перейдем.

Передо мной отчет «Лаборатории Касперского». Обратим внимание на говорящие цифры — они многое объяснят. Итак: в «мирное время» средняя суточная нагрузка на канал «Новой газеты» с посещаемостью около 90-100 тысяч уникальных посетителей в сутки составляет 50 мегабит/сек. Рекорд сайта поставила мартовская публикация «Москва-Юрт» — 600 000 просмотров за сутки и почти 400 000 уникальных посещений сайта за сутки. В переводе на загрузку канала это примерно 350 мегабит/сек. Столько «весили» все обращения к этому материалу, а видела его большая часть активных пользователей Рунета.

Для сравнения: средняя суточная нагрузка на канал крупного российского банка со всем его электронным документооборотом — 100 мегабит/сек. Теперь внимание: объем нагрузки на канал «Новой газеты» за сутки с 1-2 апреля в пиковые периоды достигал 60 гигабит. В тысячу раз больше наших средних показателей — или в 600 раз больше, чем переваривает банк со всеми своими электронными проводками.

Для сравнения: мощность крупнейшей за всю историю атаки (хакеры атаковали сервера компании Spamhaus — К.П.), которая «затормозила» мировой интернет, — 300 гигабит в секунду. Всего в пять раз больше «метеорита» в наш огород.

— Мы впервые сталкиваемся с атакой такой мощности в России, — рассказывают специалисты «Касперского». — Россия пока не готова преодолевать их, по самым смелым прогнозам что-то похожее ожидали здесь не раньше 2014-15 годов. На это время запланирована модернизация оборудования магистральных провайдеров, чтобы если не бороться, то хотя бы сдерживать такие атаки. Ваш случай — эксклюзивный. После всестороннего изучения этой атаки мы готовы сделать кейс «Новой газеты» публичным.

То есть «подлянка» действительно оказалась подарком. Мы попадем в учебники!

— Атака была заказной — это видно по нескольким признакам.

Во-первых, мощность ее росла пропорционально нашим сдерживающим мерам. Во-вторых, особенно в последней своей фазе, атакующие менялись. Когда злоумышленники понимали, что данный вид атаки не способен «завалить» сайт, происходила смена атаки, то есть заказ на то, чтобы сделать ресурс недоступным, отрабатывался старательно. Это было нечто: они перебирали все существующие типы атак, как будто искали отмычки.

— Что говорят цифры?

— По поводу мощности. Вечером 31 марта мощность равнялась 300 мегабит/сек, 1 апреля она увеличилась до 700 мегабит — мы стали подключать резервные фильтрационные площадки. Но к середине дня от магистральных провайдеров (так называемых «провайдеров для провайдеров» — крупнейших игроков по передачи данных, контролирующих ключевые, «магистральные» оптико-волоконные сети — К.П.) поступила информация, что объем трафика стал аномальным даже для них: сначала 40, а затем и 60 гигабит/сек. На этот случай есть только одна инструкция: объектам атаки (сайту «Новой газеты» и прикрывающему его ресурсу), подвергающим опасности работоспособность магистральных каналов связи, отключают внешний трафик. Нас отключили вместе с вами.

— Нокаут?

— Временный. Мы вступили в переписку с провайдерами, передали им аналитические справки — после чего удалось отфильтровать весь мусорный транзитный трафик. Сайт удалось поднять, включив строгую фильтрацию.

— Как объяснить, что у кого-то 2 апреля сайт открывался, а у кого-то нет?

— Доступ к сайту имели только те интернет-пользователи, чьи провайдеры были подключены напрямую к Московскому узлу обмена трафиком. То есть даже в границах Москвы одни могли вас видеть, а другие нет.

— Теперь самое интересное: кто нас атаковал?

— Бот-нетов было несколько. Но наши данные показывают: в начале 75% ботов нападало из России.

А 3 апреля, когда «доброжелатели» увидели, что прежняя тактика мультигигабитных атак не работает, заказ бросали бот-нетам из разных стран. Боты были распределены примерно в следующем соотношении: на втором месте США, затем – Украина, Германия, Белоруссия, Казахстан, Израиль… Ну тут уж и география стала меняться, так как перепробованы были все типы атак.

— Есть ли шанс, что заказчик атаки на «Новую» все-таки будет установлен?

— У нас есть опыт обнаружения центров управления бот-нетами.

Статистика говорит о том, что если исполнители атаки видны сразу, то центры управления можно искать месяцы. Те, кто принимал заказ и передавал его, скорее всего, анонимно, в центры — еще более сложный уровень. Заказчик стоит еще выше.

— Сможете ли вы нас защищать в дальнейшем?

— Мы не бросаем наших заказчиков на полдороги. Мы также вынесли определенные уроки из этой атаки, что в будущем поможет нам сделать нашу защиту еще более эффективной.

Константин Полесков
novayagazeta.ru