DDoS-атака на сайт «Эхо Москвы» началась 6 мая в 8:45 мск. Ее предвестником 5 мая в 15:00 мск стал небольшой и кратковременный SYN Flood.
Сеть фильтрации трафика QRATOR зафиксировала три различных ботнета.
Первый из них, размером 20 000 машин, осуществляет классический HTTP Flood – частые запросы к корневой странице сайта.
Днем к нему подключилась вторая сеть из 45 000 зараженных компьютеров. Она осуществляет атаки двух видов: UDP Flood мощностью более 1 Гбит и HTTP Flood, при котором боты каждые 1,5-2 секунды запрашивают произвольную страницу.
Размер третьего ботнета всего 250 машин. Атаки нацелены на исчерпание ресурсов веб-сервера (TCP Payload Flood).
Большинство зараженных компьютеров расположено в Азии (Китай, Индия, Индонезия, Таиланд, Филиппины, Корея, Иран, Ирак) и Африке (Египет, Алжир, Судан).
Размер ботнетов увеличивается и по состоянию на 19:50 мск составляет 89 000 машин. Сайт работает в штатном режиме. Ранее, в момент подключения новой волны атакующих, наблюдались нестабильности в доступности ресурса. Это связано с обучением фильтров поведению нелегитимного пользователя.
Зафиксировано значительное пересечение ботнетов, атакующих сайт «Эхо Москвы» и некоторые СМИ Армении, где, напомним, 6 мая проходят парламентские выборы.
UPD: Добавлен график стоп-листа с гео привязкой
UPD2: Тех. подробности по заявкам трудящихся:
1) Тут просто:
GET / HTTP/1.{0,1}
Host: echo.msk.ru
сколько успеем, пока не забанят.
2.1) UDP Flood, тоже просто:
шлем столько килобайтных UDP пакетов, сколько можем, payload забиваем рандомом.
2.2) HTTP Flood: неизвестно, по какой логике они выбирали URL, но выглядело как-то так (с одного IP):
06/May/2012:17:06:35 GET /top/ HTTP/1.1
06/May/2012:17:06:35 GET /blog/zoldat/885435-echo/ HTTP/1.1
06/May/2012:17:06:37 GET /likes/e885530 HTTP/1.1
06/May/2012:17:06:37 GET /blog/navalny/885662-echo/ HTTP/1.1
06/May/2012:17:06:38 GET /blog/echomsk/ HTTP/1.1
06/May/2012:17:06:40 GET /news/885730-echo.html HTTP/1.1
06/May/2012:17:06:44 GET /tags/448/ HTTP/1.1
06/May/2012:17:06:45 GET /interview/ HTTP/1.1
06/May/2012:17:06:48 GET /blog/maxkatz/885466-echo/ HTTP/1.1
06/May/2012:17:06:49 GET /polls/885608-echo/comments.html HTTP/1.1
06/May/2012:17:06:53 GET /likes/e885426/ HTTP/1.1
06/May/2012:17:06:53 GET /blog/ HTTP/1.1
06/May/2012:17:06:55 GET /blog/diletant_ru/885131-echo/ HTTP/1.1
06/May/2012:17:06:56 GET /likes/e885701 HTTP/1.1
06/May/2012:17:06:56 GET /news/885504-echo.html HTTP/1.1
06/May/2012:17:06:57 GET /tags/32/ HTTP/1.1
06/May/2012:17:06:57 GET /programs/galopom/ HTTP/1.1
06/May/2012:17:06:57 GET /blog/greglake_/ HTTP/1.1
06/May/2012:17:06:58 GET /blog/dgudkov/885655-echo/ HTTP/1.1
06/May/2012:17:07:01 GET /blog/bornad/885688-echo/ HTTP/1.1
3) Тут, видимо, дописывали бота на ходу, потому как вначале (от одного и того же бота) можно было увидеть разное:
\x00flate, gzip, chunked, identity, trailers
\x00: PHPSESSID=yjjmknexitxltizixmninfxskdjfjjns3kigefqenxqtmg
"././23*#@!#&!@^*(#&()*(^&#*^*(@&)*_)!@*(^&#*(^*@$&)
XGET /4iqvdjjjx2ilxfzfgk HTTP/0.0
В районе 18.00 ребята решили проблемы с памятью, и стало понятно, что задумывалось в оригинале:
GET /xxidkmie2txz1niln2kx2xxl4ki1tvtmqyjjm4s311kxgvqignxs3e<...> HTTP/1.1
+
много-много мусора вместо запроса (нулевые байты пишут)
Еще иногда спрашивают /stylesheets/all.css?5 (непонятно зачем).
Заметим, что этот ботнет небольшой, но мажорный: Канада, Германия, Испания, Франция, Великобритания, Греция, Италия, Польша, Португалия.
Сеть фильтрации трафика QRATOR зафиксировала три различных ботнета.
Первый из них, размером 20 000 машин, осуществляет классический HTTP Flood – частые запросы к корневой странице сайта.
Днем к нему подключилась вторая сеть из 45 000 зараженных компьютеров. Она осуществляет атаки двух видов: UDP Flood мощностью более 1 Гбит и HTTP Flood, при котором боты каждые 1,5-2 секунды запрашивают произвольную страницу.
Размер третьего ботнета всего 250 машин. Атаки нацелены на исчерпание ресурсов веб-сервера (TCP Payload Flood).
Большинство зараженных компьютеров расположено в Азии (Китай, Индия, Индонезия, Таиланд, Филиппины, Корея, Иран, Ирак) и Африке (Египет, Алжир, Судан).
Размер ботнетов увеличивается и по состоянию на 19:50 мск составляет 89 000 машин. Сайт работает в штатном режиме. Ранее, в момент подключения новой волны атакующих, наблюдались нестабильности в доступности ресурса. Это связано с обучением фильтров поведению нелегитимного пользователя.
Зафиксировано значительное пересечение ботнетов, атакующих сайт «Эхо Москвы» и некоторые СМИ Армении, где, напомним, 6 мая проходят парламентские выборы.
UPD: Добавлен график стоп-листа с гео привязкой
UPD2: Тех. подробности по заявкам трудящихся:
1) Тут просто:
GET / HTTP/1.{0,1}
Host: echo.msk.ru
сколько успеем, пока не забанят.
2.1) UDP Flood, тоже просто:
шлем столько килобайтных UDP пакетов, сколько можем, payload забиваем рандомом.
2.2) HTTP Flood: неизвестно, по какой логике они выбирали URL, но выглядело как-то так (с одного IP):
06/May/2012:17:06:35 GET /top/ HTTP/1.1
06/May/2012:17:06:35 GET /blog/zoldat/885435-echo/ HTTP/1.1
06/May/2012:17:06:37 GET /likes/e885530 HTTP/1.1
06/May/2012:17:06:37 GET /blog/navalny/885662-echo/ HTTP/1.1
06/May/2012:17:06:38 GET /blog/echomsk/ HTTP/1.1
06/May/2012:17:06:40 GET /news/885730-echo.html HTTP/1.1
06/May/2012:17:06:44 GET /tags/448/ HTTP/1.1
06/May/2012:17:06:45 GET /interview/ HTTP/1.1
06/May/2012:17:06:48 GET /blog/maxkatz/885466-echo/ HTTP/1.1
06/May/2012:17:06:49 GET /polls/885608-echo/comments.html HTTP/1.1
06/May/2012:17:06:53 GET /likes/e885426/ HTTP/1.1
06/May/2012:17:06:53 GET /blog/ HTTP/1.1
06/May/2012:17:06:55 GET /blog/diletant_ru/885131-echo/ HTTP/1.1
06/May/2012:17:06:56 GET /likes/e885701 HTTP/1.1
06/May/2012:17:06:56 GET /news/885504-echo.html HTTP/1.1
06/May/2012:17:06:57 GET /tags/32/ HTTP/1.1
06/May/2012:17:06:57 GET /programs/galopom/ HTTP/1.1
06/May/2012:17:06:57 GET /blog/greglake_/ HTTP/1.1
06/May/2012:17:06:58 GET /blog/dgudkov/885655-echo/ HTTP/1.1
06/May/2012:17:07:01 GET /blog/bornad/885688-echo/ HTTP/1.1
3) Тут, видимо, дописывали бота на ходу, потому как вначале (от одного и того же бота) можно было увидеть разное:
\x00flate, gzip, chunked, identity, trailers
\x00: PHPSESSID=yjjmknexitxltizixmninfxskdjfjjns3kigefqenxqtmg
"././23*#@!#&!@^*(#&()*(^&#*^*(@&)*_)!@*(^&#*(^*@$&)
XGET /4iqvdjjjx2ilxfzfgk HTTP/0.0
В районе 18.00 ребята решили проблемы с памятью, и стало понятно, что задумывалось в оригинале:
GET /xxidkmie2txz1niln2kx2xxl4ki1tvtmqyjjm4s311kxgvqignxs3e<...> HTTP/1.1
+
много-много мусора вместо запроса (нулевые байты пишут)
Еще иногда спрашивают /stylesheets/all.css?5 (непонятно зачем).
Заметим, что этот ботнет небольшой, но мажорный: Канада, Германия, Испания, Франция, Великобритания, Греция, Италия, Польша, Португалия.
