Сюжеты · Общество

«Это было нечто!»

Почему апрельская DDoS-атака на сайт «Новой газеты» войдет в историю Рунета

Этот материал вышел в № 38 от 8 апреля 2013
Читать номер

Этот материал вышел в
№ 38 от 8 апреля 2013

15:15, 5 апреля 2013Константин Полесков, редактор Novayagazeta.Ru, [email protected]

26551

15:15, 5 апреля 2013Константин Полесков, редактор Novayagazeta.Ru, [email protected]

26551

Фото: «Новая газета»

[](http://www.novayagazeta.ru/storage/c/2013/04/05/1365367105_802118_63.png) Атака на портал «Новой газеты» началась в воскресенье, 31 марта. Ночная смена сотрудников, в задачи которых входит выкладывать материалы свежего номера газеты на сайт, потеряла доступ к «админке» — редакторскому интерфейсу, или, если по-простому, изнанке сайта — в 21:50 по Москве. Сказать, что сообщение технических специалистов о начале DDoS-атаки на портал заставило редакцию «Новой» в ужасе рвать на себе волосы — соврать. Сам сайт был защищен и продолжал работать. Работоспособность ресурса была прикрыта отделом «Лаборатории Касперского», специализирующемся на защите именно от таких угроз. Более того, накануне 20-летнего юбилея газеты с партнерами договорились перевести режим защиты в боевую готовность — ждали «подарочка».
А как не ждать? Вспомним хронику «боевых действий»: сайт «Новой» был атакован в декабре прошлого года (сбор подписей против «Закона подлецов») и январе нынешнего (сбор подписей за роспуск Госдумы), да и раньше случалось.

Не удалось отобразить 667

Примерно месяц или чуть больше будут исследовать богатейший материал, полученный в борьбе с ботами, аналитики «Лаборатории Касперского», но нам уже подтвердили: апрельская атака на «Новую» беспрецедентна не только для истории самой газеты, но и для всего Рунета. Во многом это связано именно с тем, что «Новая» сопротивлялась, и обычная атака вечера 31 марта превратилась в то-чего-еще-никто-не-испытывал. По крайней мере, в России.
Но дьявол в деталях, к ним и перейдем.
Передо мной отчет «Лаборатории Касперского». Обратим внимание на говорящие цифры — они многое объяснят. Итак: в «мирное время» средняя суточная нагрузка на канал «Новой газеты» с посещаемостью около 90-100 тысяч уникальных посетителей в сутки составляет 50 мегабит/сек. Рекорд сайта поставила мартовская публикация «Москва-Юрт» — 600 000 просмотров за сутки и почти 400 000 уникальных посещений сайта за сутки. В переводе на загрузку канала это примерно 350 мегабит/сек. Столько «весили» все обращения к этому материалу, а видела его большая часть активных пользователей Рунета.
Для сравнения: средняя суточная нагрузка на канал крупного российского банка со всем его электронным документооборотом — 100 мегабит/сек. Теперь внимание: объем нагрузки на канал «Новой газеты» за сутки с 1-2 апреля в пиковые периоды достигал 60 гигабит. В  **тысячу раз больше**  наших средних показателей — или  **в 600 раз больше** , чем переваривает банк со всеми своими электронными проводками.

Не удалось отобразить 667

— Мы впервые сталкиваемся с атакой такой мощности в России, — рассказывают специалисты «Касперского». — Россия пока не готова преодолевать их, по самым смелым прогнозам что-то похожее ожидали здесь не раньше 2014-15 годов. На это время запланирована модернизация оборудования магистральных провайдеров, чтобы если не бороться, то хотя бы сдерживать такие атаки. Ваш случай — эксклюзивный. После всестороннего изучения этой атаки мы готовы сделать кейс «Новой газеты» публичным.
То есть «подлянка» действительно оказалась подарком. Мы попадем в учебники!

Не удалось отобразить 667

Во-первых, мощность ее росла пропорционально нашим сдерживающим мерам. Во-вторых, особенно в последней своей фазе, атакующие менялись. Когда злоумышленники понимали, что данный вид атаки не способен «завалить» сайт, происходила смена атаки, то есть заказ на то, чтобы сделать ресурс недоступным, отрабатывался старательно. Это было нечто: они перебирали все существующие типы атак, как будто искали отмычки.
 **— Что говорят цифры?** 
— По поводу мощности. Вечером 31 марта мощность равнялась 300 мегабит/сек, 1 апреля она увеличилась до 700 мегабит — мы стали подключать резервные фильтрационные площадки. Но к середине дня от магистральных провайдеров (_так называемых «провайдеров для провайдеров» — крупнейших игроков по передачи данных, контролирующих ключевые, «магистральные» оптико-волоконные сети _—  **К.П.** ) поступила информация, что объем трафика стал аномальным даже для них: сначала 40, а затем и 60 гигабит/сек. На этот случай есть только одна инструкция: объектам атаки (сайту «Новой газеты» и прикрывающему его ресурсу), подвергающим опасности работоспособность магистральных каналов связи, отключают внешний трафик. Нас отключили вместе с вами.
 **— Нокаут?** 
— Временный. Мы вступили в переписку с провайдерами, передали им аналитические справки — после чего удалось отфильтровать весь мусорный транзитный трафик. Сайт удалось поднять, включив строгую фильтрацию.
 **— Как объяснить, что у кого-то 2 апреля сайт открывался, а у кого-то нет?** 
— Доступ к сайту имели только те интернет-пользователи, чьи провайдеры были подключены напрямую к Московскому узлу обмена трафиком. То есть даже в границах Москвы одни могли вас видеть, а другие нет.

Не удалось отобразить 667

А 3 апреля, когда «доброжелатели» увидели, что прежняя тактика мультигигабитных атак не работает, заказ бросали бот-нетам из разных стран. Боты были распределены примерно в следующем соотношении: на втором месте США, затем - Украина, Германия, Белоруссия, Казахстан, Израиль… Ну тут уж и география стала меняться, так как перепробованы были все типы атак.
 **— Есть ли шанс, что заказчик атаки на «Новую» все-таки будет установлен?** 
— У нас есть опыт обнаружения центров управления бот-нетами.

Не удалось отобразить 667

 **— Сможете ли вы нас защищать в дальнейшем?** 
— Мы не бросаем наших заказчиков на полдороги. Мы также вынесли определенные уроки из этой атаки, что в будущем поможет нам сделать нашу защиту еще более эффективной.

Делаем честную журналистику вместе с вами

Каждый день мы рассказываем вам о происходящем в России и мире. Наши журналисты не боятся добывать правду, чтобы показывать ее вам.

В стране, где власти постоянно хотят что-то запретить, в том числе - запретить говорить правду, должны быть издания, которые продолжают заниматься настоящей журналистикой.

Ваша поддержка поможет нам, «Новой газете», и дальше быть таким изданием. Сделайте свой вклад в независимость журналистики в России прямо сейчас.

важно

2 часа назад

Украина прекращает авиасообщение с Беларусью с 26 мая

Slide 1 of 5

выпуск

№ 55 от 24 мая 2021

Slide 1 of 11
  • № 55 от 24 мая 2021

Топ 6

1.
Комментарий

Шойгу призвал тайгу 70 лет назад солдаты пожгли у них скиты и монастыри, сегодня старообрядцы-беспоповцы учат военную элиту государства. Как это устроено

276359

2.
Сюжеты

Два термоса с кипятком 13 лет без воды, света и канализации в московской квартире прожила пожилая женщина, исправно оплачивая коммунальные услуги

262414

3.
Комментарий

Как белорусские спецслужбы выследили Романа Протасевича Рассказывает спецкор отдела расследований «Новой» Денис Коротков

224798

4.
Колонка

Потомственные думцы Депутаты проголосовали за законопроект, который закроет ход в политику всем, кто требует смены власти

140352

5.
Интервью

«Какая твоя фамилия, сволочь?‎» Авиаэксперт Вадим Лукашевич о «воздушных пиратах», захвативших самолет с экс-главредом NEXTA Романом Протасевичем

128307

6.
Комментарий

«Это жестокая атака на весь Евросоюз» Как европейские страны реагируют на экстренную посадку самолета Афины—Вильнюс и задержание экс-главреда Nexta

88811

Вы можете просто закрыть это окно и вернуться к чтению статьи. А можете — поддержать газету небольшим пожертвованием, чтобы мы и дальше могли писать о том, о чем другие боятся и подумать. Выбор за вами!

К сожалению, браузер, которым вы пользуетесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera