«Лаборатория Касперского» отразила DDoS-атаку мощностью до 60 Гб/с

«Лаборатория Касперского» объявила об успешном отражении DDoS-атаки, которая продолжалась в течение трех дней и в пиковые периоды превышала 60 Гб/с. Все это время сайт одного из заказчиков сервиса Kaspersky DDoS Prevention — «Новой газеты» — был доступен для посещения. Исключение составляли лишь те периоды, когда с нагрузкой не справлялись магистральные каналы связи.

По оценкам экспертов компании, данная атака была одной из самых масштабных в истории рунета и ее мощности хватило бы для отключения части российского Интернета.

Распределенная атака на сайт «Новой газеты» началась 31 марта в 22:00 и представляла собой плавно нарастающую по силе атаку типа SYN-flood. Все это время сайт не испытывал проблем с доступностью. В середине следующего дня, после того, как был достигнут пик 700 Мб/с, атакующие сменили тактику, реализовав мощную атаку типа DNS amplification, в результате которой каналы нескольких крупных российских провайдеров были блокированы, а сайт «Новой газеты» в течение 25 минут был недоступен. Однако, в результате взаимодействия специалистов «Лаборатории Касперского» с провайдерами работа сайта была восстановлена при продолжающейся атаке.

Следующим шагом злоумышленников стала массированная атака, начавшаяся 2 апреля после 16 часов и вынудившая нескольких крупных операторов связи принять меры для прекращения перегрузки своих магистральных каналов, что привело к блокировке маршрутов до сайта «Новой газеты». К 19:00 эксперты восстановили доступ к сайту СМИ в пределах российского сегмента Сети.

3 апреля был ограничен транзит основного потока атакующего трафика, достигающего в пике 60 Гб/с и способного причинить значительный ущерб всему рунету. Это позволило полностью восстановить доступность сайта «Новой газеты».

Очередная попытка повлиять на доступность ресурса началась в 13:05 с комбинации атак типа HTTP flood и RST flood незначительной мощности. После 40 минут атаки, никак не повлиявшей на работу сайта, атака дополнилась компонентами DNS Amplification мощностью около 5Гб/с и SYN-flood мощностью около 3,5 млн пакетов/сек. Однако из-за того, что атакующие DNS-сервера находились за пределами российского сегмента Сети, увеличить этот вид атаки до критических значений злоумышленникам не удалось. В течение последующих двух часов атакующие безуспешно использовали разные комбинации атак, сменяющих друг друга каждые 4-5 минут. В итоге, после 17:00 попытки заблокировать доступ к сайту прекратились. Активной еще почти на сутки осталась незначительная атака типа SYN-flood мощностью около 20 тыс. пакетов/сек. На данный момент атака полностью прекратилась.

Как отметили в «Лаборатории Касперского», «очевидно, что подобная атака была организована профессионалами, а затраты на ее проведение могут составлять десятки тысяч долларов».

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365