12 июня сайты четырех российских СМИ - "Новой газеты", Slon.ru, радиостанции "Эхо Москвы" и телеканала "Дождь" - были впервые атакованы одним ботнетом. Это уже третья и самая мощная волна DDoS-атак на те же интернет-СМИ за последние полгода. Использовавшийся для атак ботнет состоял из 133 000 зараженных компьютеров.
Ботнетом, напомним, называют сеть, состоящую из хостов с запущенными на них "ботами" (сокращение от слова "робот") - автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрыто устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Бот-сети используют для разного рода нелегальной или нежелательной деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DDoS) и т.п. Атаки ботнетов способны вывести из строя не только крупные интернет-ресурсы, но и целые сегменты Сети.
Атаки 12 июня начались в 11:00 мск и были нацелены не только на исчерпание ресурсов серверов СМИ, но и на забивание каналов связи. Инженеры компании Qrator изолировали паразитный трафик на одной точке фильтрации, что позволило оперативно предоставить доступ к информации для российских пользователей. В течение получаса был найден оптимальный способ разрешения инцидента.
Сеть фильтрации трафика Qrator зафиксировала SYN-флуд и UDP-флуд суммарной мощностью 5 Гбит/с.
Во время декабрьских и майских инцидентов каждое СМИ атаковал отдельный ботнет. Вчера пересечение атакующих IP-адресов впервые составило 35%. Подобный характер серии DDoS-атак позволяет предположить, что за ее организацией стоит один исполнитель и заказчик, сообщает "Эхо Москвы".
Большая часть компьютеров-зомби расположена в Индии - 12 475 машин, следом идут Пакистан, Германия, Россия, Египет, Индонезия, Украина, Израиль, Тринидад и Тобаго и другие страны.