Pull to refresh
116.67
Rating
Qrator Labs
DDoS Attacks Mitigation & Continuous Availability

Сайт радиостанции «Эхо Москвы» атаковали сразу три ботнета

Qrator Labs corporate blogInformation Security
DDoS-атака на сайт «Эхо Москвы» началась 6 мая в 8:45 мск. Ее предвестником 5 мая в 15:00 мск стал небольшой и кратковременный SYN Flood.

Сеть фильтрации трафика QRATOR зафиксировала три различных ботнета.



Первый из них, размером 20 000 машин, осуществляет классический HTTP Flood – частые запросы к корневой странице сайта.

Днем к нему подключилась вторая сеть из 45 000 зараженных компьютеров. Она осуществляет атаки двух видов: UDP Flood мощностью более 1 Гбит и HTTP Flood, при котором боты каждые 1,5-2 секунды запрашивают произвольную страницу.

Размер третьего ботнета всего 250 машин. Атаки нацелены на исчерпание ресурсов веб-сервера (TCP Payload Flood).

Большинство зараженных компьютеров расположено в Азии (Китай, Индия, Индонезия, Таиланд, Филиппины, Корея, Иран, Ирак) и Африке (Египет, Алжир, Судан).

Размер ботнетов увеличивается и по состоянию на 19:50 мск составляет 89 000 машин. Сайт работает в штатном режиме. Ранее, в момент подключения новой волны атакующих, наблюдались нестабильности в доступности ресурса. Это связано с обучением фильтров поведению нелегитимного пользователя.

Зафиксировано значительное пересечение ботнетов, атакующих сайт «Эхо Москвы» и некоторые СМИ Армении, где, напомним, 6 мая проходят парламентские выборы.

UPD: Добавлен график стоп-листа с гео привязкой

UPD2: Тех. подробности по заявкам трудящихся:

1) Тут просто:
GET / HTTP/1.{0,1}
Host: echo.msk.ru
сколько успеем, пока не забанят.

2.1) UDP Flood, тоже просто:
шлем столько килобайтных UDP пакетов, сколько можем, payload забиваем рандомом.

2.2) HTTP Flood: неизвестно, по какой логике они выбирали URL, но выглядело как-то так (с одного IP):
06/May/2012:17:06:35  GET /top/ HTTP/1.1
06/May/2012:17:06:35  GET /blog/zoldat/885435-echo/ HTTP/1.1
06/May/2012:17:06:37  GET /likes/e885530 HTTP/1.1
06/May/2012:17:06:37  GET /blog/navalny/885662-echo/ HTTP/1.1
06/May/2012:17:06:38  GET /blog/echomsk/ HTTP/1.1
06/May/2012:17:06:40  GET /news/885730-echo.html HTTP/1.1
06/May/2012:17:06:44  GET /tags/448/ HTTP/1.1
06/May/2012:17:06:45  GET /interview/ HTTP/1.1
06/May/2012:17:06:48  GET /blog/maxkatz/885466-echo/ HTTP/1.1
06/May/2012:17:06:49  GET /polls/885608-echo/comments.html HTTP/1.1
06/May/2012:17:06:53  GET /likes/e885426/ HTTP/1.1
06/May/2012:17:06:53  GET /blog/ HTTP/1.1
06/May/2012:17:06:55  GET /blog/diletant_ru/885131-echo/ HTTP/1.1
06/May/2012:17:06:56  GET /likes/e885701 HTTP/1.1
06/May/2012:17:06:56  GET /news/885504-echo.html HTTP/1.1
06/May/2012:17:06:57  GET /tags/32/ HTTP/1.1
06/May/2012:17:06:57  GET /programs/galopom/ HTTP/1.1
06/May/2012:17:06:57  GET /blog/greglake_/ HTTP/1.1
06/May/2012:17:06:58  GET /blog/dgudkov/885655-echo/ HTTP/1.1
06/May/2012:17:07:01  GET /blog/bornad/885688-echo/ HTTP/1.1

3) Тут, видимо, дописывали бота на ходу, потому как вначале (от одного и того же бота) можно было увидеть разное:
\x00flate, gzip, chunked, identity, trailers
\x00: PHPSESSID=yjjmknexitxltizixmninfxskdjfjjns3kigefqenxqtmg
"././23*#@!#&!@^*(#&()*(^&#*^*(@&)*_)!@*(^&#*(^*@$&)
XGET /4iqvdjjjx2ilxfzfgk HTTP/0.0

В районе 18.00 ребята решили проблемы с памятью, и стало понятно, что задумывалось в оригинале:

GET /xxidkmie2txz1niln2kx2xxl4ki1tvtmqyjjm4s311kxgvqignxs3e<...> HTTP/1.1
+
много-много мусора вместо запроса (нулевые байты пишут)
Еще иногда спрашивают /stylesheets/all.css?5 (непонятно зачем).

Заметим, что этот ботнет небольшой, но мажорный: Канада, Германия, Испания, Франция, Великобритания, Греция, Италия, Польша, Португалия.
Tags:ddos-атаказащита от ддосhighloadlabhllqrator
Hubs: Qrator Labs corporate blog Information Security
Total votes 142: ↑123 and ↓19+104
Views52K

Popular right now

Top of the last 24 hours

Information

Founded
2008
Website
qrator.net
Employees
51–100 employees
Registered

Habr blog