У неділю, 19 вересня, в останній день російських виборів до Держдуми та місцевих законодавчих органів, на сайт «Нової газети» здійснили кілька DDoS-атак, пише видання.

Перша хвиля

Перша хвиля почалась десь о 14:45 по Москві. Атака протягом 20 хвилин пробила захист і редакція вважає, що зловмисники готувались заздалегідь і вивчили слабкі місця інфраструктури. 

Анти-DDos-захист сайту стоїть на сервісі Google, який не надає послуги на території окупованого Криму. З постійно увімкненим захистом читачі звідси не могли відвідувати сайт видання, тож захист редакція вмикала вручну.

До 15:06 потужність атаки досягла 3 гігабіт на секунду. Боти намагалися відкрити сайт «Нової газети» до 550 тисяч разів в секунду. О 17:00 з першою хвилею вдалось впоратись, але відразу пішла друга.

Друга хвиля. «Метод перебору всіх видів атак»

Друга хвиля була вдвічі потужнішою: 10 гігабіт на секунду (+/- 1,2 млн запитів в секунду). Спочатку сайт  DDoS-ли просто на трафік (боти запитували домен novayagazeta.ru) і переривали з'єднання. Це найпримітивніший тип атаки, і сьогодні вже найменш болісний. Захист швидко адаптувався.

«Але через 15 хвилин характер атаки змінився. Заражені пристрої змогли запрограмувати на те, щоб вони чекали відповіді від нашого сервера під виглядом користувачів з повільним інтернетом. Тоді сайт намагається відгукнутися на всі запити псевдокористувачів, а ми, звичайні читачі, бачили це як «гальмування сайту». Таку атаку навчилися зараз робити з пристроїв інтернету речей: прасок, чайників, мікроконтролерів, старих андроїдів, старих (як правило, офісних) комп'ютерів. З такою атакою нам допоміг впоратися кеш», – пишуть вони.

О 18.00 пішов третій тип атак. Трафік досягає 15G в секунду, зловмисники позмінно тестують і першу (тупу, але більш потужну), і другу (чекають відповіді з «прасок») типи атаки.

Кожні 15 хвилин тип атаки змінюється, що заважало технікам з нашого боку повністю адаптуватися, при цьому потужність атаки постійно росла. Сайт в цей час відкривався, коли тип атаки був «по зубах», і не відкривався, коли захист вичерпував ресурси через змінюваність атак.

Тоді редакція «Нової газети» перейшла на трансляцію виборів з сайту у соціальні мережі, а відділ політики зібрався в Youtube на терміновий стрім за підсумками трьох днів виборів.

Третя хвиля

Вона почалась о 21:28, редакція розгорнула новий захист від DDoS-атак на Cloudflare, всі типи атак на сайт «загасились» на його величезних потужностях і скоро припинилися. В декого сайт почав працювати.

О 21:35 почалася нова хвиля атаки: не така потужна, але цілеспрямована – зловмисники вручну направили сили безпосередньо IP нашого сервера, який вони запам'ятали по першій атаці. Це надовго позбавило техніків віддаленого доступу на сервер. Функція запасного IP не спрацювала: як виявилося, у обох IP-адрес один фаєрвол, і він був забитий атакою.

Пробитись на сервер вдалося за північ, який був недоступним. 

На момент публікації цієї видання – 01:46, 20 вересня – атаки все ще продовжувались. Вони зафіксували ці атаки як четверту хвилю. Зараз, ввечері 20 вересня, сайт відновив свою роботу.

Нагадаємо, що в Росії протягом трьох днів тривали вибори у Держдуму та місцеві законодавчі органи. Спостерігачі фіксували процедурні порушення, вкиди та перешкоджання своїй діяльності. 

Також ЗМІ писали про мешканців окупованих територій Донеччини та Луганщини, яких звозили в Ростовську область, видавали російські паспорти та одразу везли на дільниці для голосування.

РНБО раніше заявила, що у зв'язку з незаконним проведенням виборів на території окупованих українських територій вводить санкції проти всіх причетних та організаторів: чиновників, спостерігачів, журналістів та ін. Це 53 члени територіальних виборчих комісій, 33 кандидати в Держдуму

Фото: Flickr