Нам всем DDoS!

Исходная статья была написана

для проекта Ridus.ru

Во время выборов 4-го декабря сайтам СМИ пришлось несладко — некоторые из них испытывали явные проблемы из-за DDoS’ов. Прекрасным бортовым самописцем, записывающим, что происходит с доступностью сайта, является счётчик Liveinternet.ru. Посмотрим на статистику посещаемости «Эха Москвы»:

echo.png

По нему видно, что на сервере «Эха Москвы» (смотрим на зеленую линию) проблемы с посетителями начались в промежуток между пятью и шестью часами утра. К семи часам на сайт уже практически никто попасть не мог и до самого вечера, до 21-го часа «Эхо» было недоступно. Радиостанции оставалось только радоваться, что она не только сайт, но и радио. К поиску атакующих было решено привлечь генпрокурора и начальника управления «К» МВД России.

slon.png

Похожая картина была с сервером Slon.ru: проблемы с доступностью сайта начались в пять утра по московскому времени, а в 8 утра, когда началось голосование в центре России, «Слон» тоже повалился. Редакция утешать себя тем, что они ещё и радиостанция не могла, поэтому сайт временно начал размещать новости на постороннем сервисе Storify и на родственном TVRain.ru. Относительно нормальной работы Slon.ru удалось добиться лишь после обеда.

Сайт «Большого города» тоже не проснулся с утра: он упал утром рядом со «Слоном» и смог принять посетителей лишь после 16 часов. DDoSили и «Живой журнал», но по непонятной причине: то ли по случаю выборов, то ли по привычке.

Среди пострадавших числятся Publicpost.ru, Plushev.com, Kommersant.ru, а круче всего хакеры повалили сайты ассоциации «Голос»: Golos.org и Kartanarusheniy.ru, которые недоступны и вечером пятого декабря. (Надо сказать, что и 6-го декабря проблемы с доступом и DDoS-ами были весьма популярны. ЖЖ вообще демонстрировал какую-то странную заторможенность для российских пользователей, в то время как за рубежом, по уверению Антона Носика, всё было хорошо. Хотя наши читатели с Кипра сообщают, что и на Кипре ЖЖ выглядел не очень хорошо. Но Носику, конечно, виднее).

На фоне всех потерь оппозиционных проектов интересно и необычно сложилась в день выборов судьба The New Times (тут смотрим на синюю линию).

newtimes.png

Если в предыдущие недели посетители по воскресеньям просматривали по 30 с небольшим тысяч страниц, то 4-го декабря эти показатели были превышены вчетверо. Поэтому если DDoS на сайт и был (а шеф-редактор Newtimes.ru это утверждает прямо), то редакции The New Times следует прямо признать, что это был очень хороший DDoS. Практически ручной и добрый.

В ручной и добрый DDoS, но не для всех, верит и Евгений Валентинович Касперский, который в своём ЖЖ опубликовал сообщение от проекта «Анти-DDoS», в котором излагается другая картина событий:

1. С 28-го ноября по 5-е декабря ЖЖ атаковали один раз чуть более получаса.

2. Была (и есть) атака на Kartanarusheniy.ru. Атаковали Zaks.ru, Levada.ru (атака была слабой, этот же ботнет DDoSил Er.ru и Kprf-tula.ru).

3. Атак на Echo.msk.ru, Kommersant.ru, Golos.org, Bg.ru, Slon.ru, Newtimes.ru — не видно (отдельное мнение по данному поводу у компании Highloadlab, которую привлекли к разребанию DDoS-атак на сайты «Эха» и «Слона». По их уверениям DDoS был, паразитный трафик в десятки раз превышал стандартную нагрузку на сайты. Ко мнению Евгения Валентиновича они, мягко говоря, относятся настороженно).

Вывод Касперский делает простой: сайты, испытавшие проблемы с доступностью для посетителей, могли стать жертвой своей популярности, что лечится увеличением бюджетов IT-подразделений, переводом сайтов на более толстые каналы и сервера получше.

Но если кто-то хочет разобраться более детально в происшедшем, то Лаборатория Касперского берется помочь и дать рекомендации. Чтобы не было рецидива весной 2012-го года.

Синодов Юрий, Roem.ru

sinodov@roem.ru

Лучшие комментарии

  • Контекст комментария

    Максим Зотов LiveInternet

    > Вывод Касперский делает простой: сайты […] могли стать жертвой своей популярности Точно-точно, в 6 утра самая что ни на есть популярность, народ просто валом валит.

Добавить 15 комментариев

  • Ответить
    Виталий Махинов 2Товарища

    Подтверждаю атаку на Эхо и слона. Примерно в 20−00 4 декабря у нас были некоторые проблемы у некоторых клиентов с доступом на проекты. Выяснилось, что qrator принимал новых гостей в лице вышеперечисленных. Через пару минут всё наладилось. Комментарии Евгения Касперского по этому поводу, конечно, умиляют. Он рассуждает так, как-будто знает о всех ДДоС атаках, знает все ботнеты итп. И про ЖЖ, хоть и касперский и суп говорят не о атаке, а о проблемах доступа из России, выглядит всё как нагрузка или же атака. Т.к. сайт то работает, то не работает. То на главной есть топ. записей, то он пропадает при обновлении итп.

  • Ответить
    Альтер Эго

    Касперский удтверждает, что он знает и мониторит все крупные ботнеты. Соответственно знает и о ДДОС с участием этих ботнетов. последнее не очень понятно, т.е. топ на главной тоже пропадал от ддоса? :-)

  • Ответить
    Виталий Махинов 2Товарища

    Топ на главной мог пропадать из-за проблем с нагрузкой. Обычное дело, я как разработчик вижу это. А нагрузка могла быть вызвана либо полезным, либо левым траффиком. Учитывая что ранее ЖЖ всячески отказывались от услуг касперского и ХЛЛ, сдерживая нагрузку своими силами и расширяя каналы, я не исключаю что это повторилось и теперь. Касперский утверждает, что он знает и мониторит все крупные ботнеты. Флаг ему в руки, жаль что он забыл, что каждый день эти ботнеты растут и перерождаются. Я лично сливал им много гигабайт логов под атакой, ничего кроме как «да, видим в вашем траффике пару ботнетов, за которыми следим давно, спасибо» я не получил) Касперский очень хочет быть гуру ДДоСа, но как-то у него фигово получается. Он не видит и не может видеть всей картины, делает необоснованные заявления итп. Вспомните историю, когда упал чей-то сайт СМИ, они заявили что на них атака идёт, Касперский это подтвердил, типа да, есть такое дело. А ребята с куратора доказали опытным путём, что на самом деле СМИ сами отключили свой сайт, дабы привлечь внимание. Если не вспомните — найду ссылку.

  • Ответить
    Альтер Эго

    Я могу вспомнить как Касперский сначала подтверждал факты атак на ЖЖ, а с какого-то момента перестал это делать. но в данном случае [url=http://www.tpp-inform.ru/security/1826.html]не один так думает[/url]

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Ну, отмазка «у нас тут хакеры, поэтому сайт не работает» она просто классическая. На уровне школы «будильник не сработал». С другой стороны, очевидно, что факт того, что внешний наблюдатель не видит какую-то атаку ничего не говорит кроме того, что внешний наблюдатель её не видит. А почему он должен её видеть, собственно?

  • Ответить

    > Вывод Касперский делает простой: сайты […] могли стать жертвой своей популярности Точно-точно, в 6 утра самая что ни на есть популярность, народ просто валом валит.

  • Ответить
    Альтер Эго

    Криворукость админов ЖЖ не зависит от региона. Они сейчас уже не держат обычную дневную нагрузку.

  • Ответить
    Альтер Эго

    И «Живой Журнал», и сайт «Эха Москвы» программировали криворукие программисты, а поддерживает некомпетентный технический персонал. Когда происходят волнующие политические события, туда единым махом устремляются толпы пользователей, которые усиленно щёлкают по ссылкам и пишут комментарии. Криво сделанные сайты не выдерживают нагрузки и рушатся. Администраторы сайтов отрывают задницу от подгузников и быстро-быстро вставляют пожарные заплатки, чтобы хоть что-нибудь заработало. Конечно, в перспективе от заплаток становится хуже: на следующий раз система рушится гораздо круче, и поднимать её гораздо сложнее. Знакомые специалисты по высоконагруженным системам предполагают, что в результате событий 10 декабря на сайте «Эха Москвы» закроют возможность оставлять комментарии (или существенно её ограничат), а «Живой Журнал» упадёт совсем и в нынешнем виде больше не поднимется. Никаких «DDoS-атак» или «заказа сверху», просто бездарная техническая реализация.

  • Ответить
    Альтер Эго

    не только 11 сентября 2001, более свежий пример когда электричество в москве отрубалось (забыл год). внезапное резкое возрастание нагрузки и привет.

  • Ответить
    Виталий Махинов 2Товарища

    забавно. Помню, 11 сентября 2001 все новостные сайты лежали, один рбк работал в 2001 разве что рамблер и яндекс знали что есть высокая нагрузка. Тренд HiLoad в массы вошёл разве что в 2006.

  • Ответить
    Denis Sidorenko qrincity.com

    Многие компании начали подхватывать ПР для компании с помощью DDos. Все просто, необходимо увеличить бюджеты на ИТ инфраструктуру проекта тогда и сервера не будут обваливаться из-за большое количества пользователей которые хотят узнать что то новое в то время как происходили события в столице.