Угроза для ЖЖизни

Началось все с вечера 30 августа, когда с 16:00 по Москве пошла первая DDoS-атака. Восстановить работоспособность сервиса администрация смогла приблизительно через 7 часов, а сама атака завершилась позже – уже ночью. "ЖЖ был почти недоступен. Я говорю "почти", потому что пробиться-таки можно было, попытки с 10-й, например, и я даже получил за это время несколько комментариев к своим последним записям", – вспоминает директор по развитию продуктов компании SUP Илья Дронов. По данным администрации, во время атаки:

– "Load Balancer" (система, отвечающая за распределение входящей нагрузки) испытывала около 1.2 млн. одновременных соединений при нашей средневзвешенной норме в 50 тыс. (см. Рисунок 1);
– ЖЖ отдавал 2 Гбит трафика в секунду при средневзвешенной норме в 400 Мбит;
– ЖЖ обслуживал в десятки раз больше HTTP запросов чем обычно;
– ЖЖ смог обслужить около 30% трафика, включающего и нормальный, и вредоносный, в пике.

Рисунок 1. График нагрузок на одну из систем, распределяющих входящую нагрузку*

*по данным администрации сервиса

Уже 31 апреля сервис работал более-менее стабильно, при этом потерь опубликованного контента не наблюдалось. Только днем ранее администрация сообщила о внедрении новой системе front-line кэширования для увеличения производительности отдачи контента и большего запаса прочности – собственно, для отражения DDoS-атак. Именно эта система, по словам И.Дронова, помогла устоять.

"Можем определенно сказать, что эта атака имеет несколько иную природу в отличие от тех, что были в Живом Журнале ранее – атака подобной мощности случается первый раз за историю ЖЖ", – заметила в своем блоге руководитель "LiveJournal" в РФ Светлана Иванникова.

"Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота "Darkness/Optima", весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в Интернете, " – отмечает в исследовании эксперт "Лаборатории Касперского" Мария Гарнаева.

Кто атаковал

На следующий же день после "первой волны" атаки сервис опубликовал примерную географию распределения атакующих, содержащих около 1 000 случайно выбранных атакующих систем, наложенная на "Google Maps" (см. Рисунок 2). По карте видно, что атаки проходили с территорий, граничащих с РФ, в том числе с Украины.

Рисунок 2. 1 000 случайно выбранных атакующих систем, наложенная на "Google Maps"*

*по данным администрации сервиса

"Скорее всего, подобные ситуации будут повторяться в будущем, но мы к ним теперь гораздо более подготовлены", – замечали в ЖЖ, что не помешало, однако, хакерам удалось вывести сервис из строя во второй раз, 4 апреля 2011 года. "Мы не обращались в российские правоохранительные органы с заявлением о возбуждении уголовных дел, однако не исключаем такой возможности", – прокомментировала ситуацию С.Иванникова. Специалистов по безопасности "Лаборатории Касперского" такая бездеятельность удивила. "C нашей точки зрения, в данной атаке налицо все признаки преступления, классифицируемого по 273 статье УК РФ "Создание и распространение вредоносных программ". У российских правоохранительных органов и судов уже накоплен хороший опыт применения этой статьи", – отметила в специальном исследовании М.Гарнаева. Cтоит заметить, что атаку заметили и на самом высоком уровне: так, Президент РФ Дмитрий Медведев в личном блоге назвал атаки "возмутительными и незаконными": "Как активный пользователь ЖЖ считаю эти действия возмутительными и незаконными. В том, что случилось, должны разобраться и администрация Живого Журнала, и правоохранительные органы", – заметил глава страны.

По характеру вторая атака отличалась от первой: "В ее начале мы справлялись, и она вызывала в основном небольшие задержки в открытии страниц, но начиная где-то с 3:30 ее интенсивность стала приводить к более серьезным проблемам. По типу атака отличалась от той, что была 30-го марта. Если предыдущая была смесью из syn и прикладного уровня "флуда", т.е. в разной степени направлена на оборудование и канал, то вчерашняя (4 апреля – прим.ред.) была направлена исключительно на отказ канала и сетевого оборудования и представляла из себя "замусоривание" последнего битыми TCP-соединениями. В какие-то периоды из Москвы не проходил даже ping, но расположенные ближе к серверам компьютеры в то же время вполне могли и пробиться", — объяснил И.Дронов.

Кого атаковали

Всю неделю Рунет строил догадки о том, кто именно был целью такой массированной атаки на ЖЖ. Администрация сервиса убеждала всех сомневающихся, что "сверхцелью" хакеров было уничтожить ЖЖ как площадку. "Таким образом, можно смело утверждать, что атака была направлена непосредственно на сам сервис, без каких-либо персональных предпочтений со стороны атакующих. И причина атаки в данной ситуации более чем очевидна — кому-то очень хочется, чтобы ЖЖ перестал существовать как площадка", – пояснял директор по развитию продуктов компании SUP. "Мы не называем юзернеймы пользователей, подвергшихся атаке, но и не рекомендуем делать поспешные выводы о том, что это известные персоны ", – призывала рунетчиков руководитель проекта.

У "Лаборатории Касперского" на этот счет были несколько другие соображения: по данным, которые приводит М.Гранаева, боты сети "Optima" получили команду на атаку блога известного в Рунете блогера Алексея Навального. Ниже некоторые из блогов, которые были целью атаки первой волны (с 24 марта по 1 апреля):

24.03.2011 http://navalny.livejournal.com
25.03.2011 http://navalny.livejournal.com
25.03.2011 http://navalny.livejournal.com/569737.html
25.03.2011 http://www.livejournal.com/ratings/posts
26.03.2011 http://navalny.livejournal.com
26.03.2011 http://rospil.info
29.03.2011 http://rospil.info
30.03.2011 http://www.kredo-m.ru
30.03.2011 http://navalny.livejournal.com
01.04.2011 http://www.rutoplivo.ru...

Во второй раз пострадал не только блог А.Навального, но и множество журналов "тысячников" – блогеров, у которых количество френдов "перевалило" за тысячу. В их числе можно было заметить ЖЖ Артемия Лебедева, Антона Носика, Сергея Лукьяненко, Дмитрия Чернышева, Михаила Задорнова того же Алексея Навального, Сергея Доли, Натальи Радуловой, Инны Позднышевой (псевдоним Марта Кетро), Вероники Белоцерковской, Татьяны Толстой, Рустема Адагамова, Божены Рынской и других (полный список в оригинальном исследовании).

Было ли расширение списка "потерпевших" попыткой "размыть" реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире — неизвестно, — отмечают в "Лаборатории Касперского". " Из общего ряда выбивается атака на сайт kredo-m.ru, компании, занимающейся изделиями из дерева и мебелью. Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу", — пояснила М.Гарнаева.

Сам же ботнет-участник атаки известен появился на "черном" рынке в 2010 году, и, кроме организации DDoS-атак, "прославился" загрузкой других исполняемых файлов и кражей паролей от многих популярных программ (FTP-клиентов, IM, почтовых клиентов, браузеров, и др. Ботнет довольно большой – до десятков тысяч машин.

Интернет: подборка новостей>>>