DDoS-атака на Яндекс оказалась крупнейшей в истории

DDoS-атака, которой подвергся Яндекс 5 сентября, оказалась крупнейшей в истории интернета — ее скорость составила 21,8 миллиона запросов в секунду. Ее источником стал новый ботнет, который, судя по всему, заразил уже сотни тысяч сетевых устройств от MikroTik, сообщается в совместном расследовании Яндекса и Qrator Labs.

DDoS — это распределенная атака на интернет-серверы, при которой атакующие компьютеры направляют на компьютеры-жертвы огромное количество запросов, которые они не способны обработать, в результате чего сервис становится недоступен для добросовестных пользователей. Часто для атаки используется ботнет — сеть из многих тысяч подключенных к интернету устройств, зараженных вредоносным программным обеспечением, причем оно зачастую не мешает нормальной работе устройства и не выдает себя. Как правило, ботнеты состоят из слабо защищенных и не обновленных устройств, к примеру, гаджетов интернета вещей со стандартными слабыми паролями.

7 сентября «Ведомости» сообщили, что за пару дней до этого Яндекс столкнулся с крупнейшей атакой в истории рунета, а теперь сама компания и Qrator Labs, специализирующаяся на защите от DDoS, объявили, что атака была крупнейшей в истории всего интернета, и поделились подробностями. Специалисты рассказали, что впервые заметили признаки нового ботнета еще в июне, а его атаки на Яндекс начались 7 августа. У первой атаки скорость составила 5,2 миллиона запросов в секунду, а затем произошло еще несколько с пиком 5 сентября — 21,8 миллиона запросов в секунду. Это позволяет назвать атаку рекордной в истории. О предыдущем рекорде в 17,2 миллиона 19 августа рассказала CloudFlare, и Яндекс с Qrator Labs предполагают, что источником был тот же ботнет, который компании назвали Mēris от латышского слова, означающего чуму.

Специалисты выбрали такое название из-за источника ботнета: он установлен на маршрутизаторах и других сетевых устройствах латвийского производителя MikroTik. Примечательно, что устройства из ботнета используют разные версии прошивок вплоть до текущей — то есть он задействует уязвимость, о которой пока не знает или которую пока не успел исправить производитель оборудования. Авторы расследования отмечают, что уже связались с MikroTik и предоставили им собранные данные.

Одной из причин такой эффективности ботнета специалисты называют то, что он, в отличие от многих аналогов, использует конвейерную обработку HTTP-запросов. Это означает, что вместо классической схемы «запрос-ответ» устройства-члены ботнета посылают на серверы жертвы множество запросов, не дожидаясь ответа. Другая немаловажная причина заключается в количестве участников. Специалисты Яндекса собрали достоверные данные о 56 тысячах участников атак, а сканирование интернета в поисках подходящих по нескольким признакам устройств позволяет предположить, что масштаб ботнета на самом деле достигает 329 тысяч зараженных гаджетов, причем являющихся высокопроизводительными сетевыми устройствами.

Ранее мы рассказывали о другой рекордной серии DDoS-атак, прошедшей весной 2018 года. В конце февраля рекордной атаке подвергся GitHub, а всего через неделю рекорд обновился — на этот раз жертвой стал неназванный американский интернет-провайдер. Тогда злоумышленники использовали механизм усиления атаки с помощью незащищенных кеширующих серверов, с помощью которого исходные запросы усиливались в 50 тысяч раз.

Григорий Копиев