DDoS-атака на сайт «Эхо Москвы» началась 6 мая в 8:45 мск. Ее предвестником 5 мая в 15:00 мск стал небольшой и кратковременный SYN Flood.
Система мониторинга QRATOR зафиксировала три различных ботнета.
Первый из них, размером 20 000 машин, осуществляет классический HTTP Flood – частые запросы к корневой странице сайта.
Днем к нему подключилась вторая сеть из 45 000 зараженных компьютеров. Она осуществляет атаки двух видов: UDP Flood мощностью более 1 Гбит и HTTP Flood, при котором боты каждые 1,5-2 секунды запрашивают произвольную страницу.
Размер третьего ботнета всего 250 машин. Атаки нацелены на исчерпание ресурсов веб-сервера (TCP Payload Flood).
Большинство зараженных компьютеров расположено в Азии (Китай, Индия, Индонезия, Таиланд, Филиппины, Корея, Иран, Ирак) и Африке (Египет, Алжир, Судан).
Размер ботнетов увеличивается и по состоянию на 19:50 мск составляет 89 000 машин. Сайт работает в штатном режиме. Ранее, в момент подключения новой волны атакующих, наблюдались нестабильности в доступности ресурса. Это связано с обучением фильтров поведению нелегитимного пользователя.
Зафиксировано значительное пересечение ботнетов, атакующих сайт «Эхо Москвы» и некоторые СМИ Армении, где, напомним, 6 мая проходят парламентские выборы.
Автор: 0xLGA
