Злоумышленники проверили борцов с DDoS на прочность

  Дата-центр группы компаний «Оверсан», предоставляющей услуги по борьбе с DDoS-атаками, подвергся одной из самых мощных атак в истории Рунета.

  Группа компаний «Оверсан» сообщила о том, что на подсеть одного из её подразделений — «Оверсан-Меркурий» — была осуществлена сверхмощная по российским меркам DDoS-атака, интенсивность которой составляла около 20 Гбит/c.

  При DDoS-атаках многочисленные компьютеры, контролируемые злоумышленниками, перегружают серверы жертвы непрерывным потоком запросов. В результате доступ к атакуемому сайту сильно замедляется или становится невозможным. Поскольку компьютеры злоумышленников могут быть разбросаны по всему свету, заблокировать DDoS-атаку не так-то просто.

  Согласно пресс-релизу компании, системы мониторинга дата-центра «Оверсан-Меркурий» зафиксировали мощную DDoS-атаку на подсеть компании 24 августа в 13.40. Спустя двадцать минут атака была локализована за счет собственных систем защиты от DDoS и оперативного взаимодействия с операторами связи.

  На графике видно, что произошли самое меньшее две попытки возобновить атаку, но максимальная её интенсивность в дальнейшем была втрое меньшей.

  Объём паразитного трафика в средней, по российским меркам, атаке составляет, как отмечается в пресс-релизе «Оверсан», около 1 Гбит/c. По данным компании, самая мощная DDoS-атака в Рунете достигала 23 Гбит/с.

  В «Лаборатории Касперского» нам сообщили, что даже атака мощностью 30-40 Мбит/с способна причинить неприятности среднему сайту. Регулярно происходят атаки, достигающие порога 250-300 Мбит, гарантированно перекрывающие полосу пропускания, если ресурс подключен к Сети парой каналов по 100 Мбит/с. Пиковые нагрузки, с которыми приходилось иметь дело «Лаборатории Касперского», достигали 8 Гбит/с.

  Впрочем, скупость опубликованной «Оверсаном» информации вызывает у специалистов серьёзные сомнения. Представители компании воздержались от комментариев на тему того, кто именно был объектом атаки и кто мог стоять за ней. «Новость, опубликованная на их ресурсе, не позволяет сделать выводы, что же именно и как было атаковано. Я искренне надеюсь, что это не просто рекламное заявление, призванное привлечь внимание, — говорит эксперт „Лаборатории Касперского“ Михаил Савельев. — Группа „Оверсан“ очень активно рекламирует свои услуги „облачного хостинга“, включающие в том числе и защиту ресурсов от DDoS-атак. Сам факт настолько мощной атаки говорит о том, что кто-то решил проверить их „бастионы“ на прочность».

  Так или иначе, 20 Гб/c — это колоссальная нагрузка на каналы, и сам факт её осуществления говорит о том, что у злоумышленников в распоряжении был очень мощный и географически распределённый ботнет. Как отметил Савельев, провайдеры всех стран прекрасно умеют «резать» трафик по географическому признаку, соответственно злоумышленники предпочитают иметь в своём арсенале как мировые, так и региональные ботнеты.

  Гендиректор «Оверсан-Скалакси» Дмитрий Лоханский рассказывал «Компьютерре», что в своё время главным средством борьбы с DDoS-атаками у российских хостеров было отключение доступа к сайту для иностранных пользователей. Видимо, этот способ скоро перестанет работать окончательно: едва ли «Оверсан» атаковали из-за рубежа, а следовательно есть все основания предполагать, что кто-то в России имеет в своём распоряжении мощный ботнет, готовый для жёсткой проверки произвольных мишеней на прочность... Или сведения счётов.