DDoS-атаки на оппозиционные СМИ в дни общественных волнений стали уже «доброй традицией» российской политической жизни. Цели обыкновенно одни и те же, и вот 12 июня временно «полегли» сайты «Новой газеты», Slon.ru, радиостанции «Эхо Москвы» и телеканала «Дождь». Разница с предыдущими атаками на сей раз состояла в том, что по всем целям бил, по-видимому, один и тот же ботнет. Не очень большой, но гиперактивный.
Согласно статистике, собранной сетью фильтрации Qrator, принадлежащей компании Highloadlab, во время декабрьских и майских инцидентов каждое СМИ атаковал отдельный ботнет. В этот раз пересечение атакующих IP-адресов впервые составило 35 процентов. Суммарная интенсивность «бомбардировки» мусорным трафиком (ICMP, UDP, TCP) составила 5Гбит/с.
Сайты slon.ru, tvrain.ru и echo.msk.ru были атакованы 12 июня в 11:00 по московскому времени. DDoS-атака на novayagazeta.ru началась часом позже и была мощнее: по данным Highloadlab — 800 Мбит/с в пике, 83 000 ботов, 2 500 запросов в секунду. Проще всего пришлось slon.ru: 450 Мбит/с в пике, 8 000 ботов, 1 500 запросов в секунду.
Главные события начали разворачиваться уже после 16:00 (фактически после окончания митинговой активности). К атаке на echo.msk.ru и tvrain.ru, помимо 80-тысячного ботнета, были подключены ещё и выделенные серверы, направлявшие большой поток SYN- и UDP-флуда. Суммарно только эти генераторы создавали трафик объёмом около 2 Гбит/с на фоне непрекращающейся атаки прикладного уровня мощностью более 5 тыс. запросов в секунду.
Источники генераторов трафика были расположены относительно локально, что создало проблемы при балансировке нагрузки с использованием механизмов BGP. Управляя политиками маршрутизации, инженеры Qrator изолировали паразитный трафик на одной точке фильтрации, что позволило, временно деприоретизировав трафик, идущий из-за рубежа, оперативно предоставить доступ к информации для российских пользователей. В течение получаса был найден оптимальный способ разрешения инцидента, после чего сайты СМИ стали доступны для всех легитимных пользователей.
Если говорить о физическом расположении заражённых компьютеров, использовавшихся в ходе DDoS-атаки, то большинство их находилось в Индии (12 475 штук), но при этом почти десять тысяч машин-«зомби» располагаются и в России. Почти наверняка это компьютеры с непропатченной ОС Windows.