Первая волна: к атаке готовились заранее

Сайт «Новой газеты» начали атаковать в воскресенье, в 14:45 по Москве. DDoS-атака довольно быстро пробила защиту, мы простояли буквально 20 минут: было видно, что слабые места нашей инфраструктуры заранее изучили.

Анти-DDos-защита у сайта стояла на сервисе Google. Google, как известно, не оказывает услуги на территории Крыма, и с включенной постоянно защитой читатели оттуда не могли бы попасть на наш сайт. Поэтому защиту мы включали вручную. К 15:06 мск мощность атаки достигла 3 гигабит в секунду. Сайт «Новой газеты» боты пытались открыть до 550 тысяч раз в секунду.

В 17:00 мы справились с первой волной, но сразу пошла вторая.

Вторая волна. Метод перебора всех видов атак

Вторая волна сразу была в два раза мощнее: 10 гигабит в секунду (~1,2 млн запросов на сайт в секунду). Сначала нас ддосили просто на трафик (боты запрашивали домен novayagazeta.ru) и прерывали соединение. Это самый примитивный тип атаки, и сегодня уже самый безболезненный. Быстро к нему адаптировалась защита.

Но через 15 минут характер атаки изменился. Зараженные устройства смогли запрограммировать на то, чтоб они дожидались ответа от нашего сервера под видом пользователей с медленным интернетом. Тогда сайт пытается отозваться на все запросы псевдо-пользователей, а мы, обычные читатели, видели это как «тормоза сайта». Такую атаку научились сейчас делать с устройств интернета вещей: утюгов, чайников, микроконтроллеров, старых андроидов, старых (как правило, офисных) компьютеров. С такой атакой нам помог справиться кэш.

В 18.00 начался третий тип атаки. Трафик достигает 15G в секунду, судя по графику, они попеременно тестируют и первую (тупую, но более мощную), и вторую (дожидаются ответа с «утюгов»).

Уже можно точно сказать: каждые 15 минут тип атаки меняется, что не позволяло техникам с нашей стороны полностью адаптироваться, при этом мощность атаки постоянно росла. Сайт в это время то открывался, когда тип атаки был нам «по зубам», то нет, когда атакующие исчерпывали наши ресурсы, сменив тип атаки. Редакция «Новой газеты» перешла на трансляцию онлайна по выборам в социальные сети — посты подхватили друзья из «Синдиката», отдел политики собрался в Youtube на срочный стрим по итогам трех дней выборов.

Третья волна — прицельно по серверу, чтоб техники не смогли зайти

В 21:28 мы развернули новую защиту от DDoS-атак на Cloudflare, все типы атак на сайт «загасилась» на его огромных мощностях и скоро прекратились (атака — дело дорогое, и эффективность ее тоже все время мониторят). У кого-то сайт «Новой» даже успел загрузиться, но ненадолго.

Уже в 21:35 началась новая — третья — волна атаки, уже совсем не такая мощная, но целенаправленная — злоумышленники вручную направили силы напрямую IP нашего сервера, который они запомнили по первой атаке. Это надолго лишило техников удаленного доступа на сервер. Функция запасного IP, которую предлагал хост, не сработала: оказалось, у обоих айпишников общий файервол, и он был забит атакой.

Пробились на сервер мы уже за полночь. Сейчас он временно доступен, мы попробуем загрузить туда понедельничный выпуск, эту новость и выставить «Ужасные выборы» — видеострим по итогам выборов от отдела политики.

Четвертая волна

К моменту публикации этой новости на нас продолжаются сразу две атаки: одна — на сайт, которая гасится о защиту от DDoS. Вторая — все еще напрямую на сервер, куда админы смогли проникнуть и развернуть резервный доступ с фильтрацией.

Редакция собирает технические детали атак, чтобы обратиться к правоохранительным органам с заявлением о совершении сразу нескольких преступлений.