- PVSM.RU - https://www.pvsm.ru -
Блог Highload Lab [1] на Хабрахабре обновляется нечасто — интересных DDoS-атак, на примере которых каждый может чему-то научиться, мало, а раздражать читателей бесконечными историями успеха не хочется. Тем ценнее действительно занимательные прецеденты, к числу которых, несомненно, относится нападение на сайты Центрального Выборного Комитета Координационного Совета оппозиции.
В предыдущих выпусках бортового журнала сети фильтрации трафика Qrator (обязательная рекламная ссылка — http://qrator.net/ [2]) мы выяснили [3], что в преддверии серьёзных мероприятий в Рунете лучше заранее озаботиться защитой от атак. Сегодня я расскажу вам, как можно, даже выполнив это требование, заработать себе пару бессонных ночей на рабочем админском месте.
Сотрудники ЦВК подошли к проблеме отказоустойчивости фронтенда системы голосования со всей академической серьёзностью и не стали складывать все яйца в одну корзину. «Морда» системы голосования была размещена в облаке Microsoft Azure [4], рекомендуемом для приложений на платформе Windows. Параллельно домен election.cvk2012.org [5] был зарегистрирован в Qrator практически за месяц до описываемых событий и всё это время находился под профилактической защитой, что позволило накопить необходимую базу для обучения. Всё это позволяло рассчитывать, что выборный уик-энд в плане работоспособности сайтов оппозиции пройдёт так же спокойно и беспроблемно, как и несколько предыдущих митингов.
Первый звоночек прозвучал в четверг. К этому времени маломощная атака на сайт регистрации избирателей шла уже 3 дня, однако в тот момент она впервые создала проблемы. Схема атаки — типичный JS LOIC: на предположительно устойчивом
Выяснилось, что при некоторых условиях атакующий код создаёт серьёзные проблемы для базы данных. Так как времени на оптимизацию общения фронтенда с СУБД уже не оставалось, а запаса производительности у сайта для анализа истории всех входящих запросов не было, после консультации с техподдержкой Qrator заказчик решил тесно проинтегрировать приложение с системой фильтрации, предоставив ей обратную связь относительно трудоёмкости запроса к БД.
Таким образом, сайт был защищён от напастей до субботы.
В субботу вечером злоумышленники переключили своё внимание на расположенный в Microsoft Azure сайт голосования — election.democratia2.ru [10]. Само по себе облако продолжало работать, однако расположенный в другом месте сервер голосований был успешно убит таргетированной LOIC-атакой [11] — на этот раз с сайта cvkhello.do.am [12]. Вначале команда разработчиков попыталась побороть беду изменением архитектуры, потом ввела капчу, однако в полночь сайт голосования всё же был поставлен под защиту Qrator… без HTTPS — про него впопыхах забыли. Когда Qrator получил доступ к SSL, вдобавок сказалось отсутствие накопленной истории поведения легитимных пользователей.
Работа election.democratia2.ru/ [13] была восстановлена к часу ночи воскресенья, 21 октября, после обучения системы фильтрации.
Само собой, срочный отказ от Azure и масштабные изменения в коде не могли не повлиять негативно на общую производительность сайта. А в воскресенье злоумышленники наконец-то пришли к использованию, наряду с LOIC, полноценного ботнета с IP-адресами из азиатских и европейских стран. Суммарное число ботов, участвовавших в атаке, составило немногим более 130 тыс. без учёта NAT. Всё это вкупе привело к необходимости превентивно блокировать ряд потенциально подозрительных IP-адресов, допуская их на сайт поодиночке и анализируя историю поведения каждого из них в отдельности. Ближе к вечеру, когда самые узкие места в производительности защищаемого сайта были ликвидированы, доступ к сайту был предоставлен всем легитимным пользователям.
Автор: ximaera
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/17704
Ссылки в тексте:
[1] Highload Lab: http://highloadlab.com
[2] http://qrator.net/: http://qrator.net/
[3] выяснили: http://habrahabr.ru/company/highloadlab/blog/134124/
[4] была размещена в облаке Microsoft Azure: http://leonwolf.livejournal.com/446122.html?thread=28227754#t28227754
[5] election.cvk2012.org: http://election.cvk2012.org
[6] хостинге: https://www.reg.ru/?rlink=reflink-717
[7] использовал: http://habrahabr.ru/post/142836/
[8] antigate.com: http://antigate.com
[9] hellotesak.narod.ru: http://hellotesak.narod.ru
[10] election.democratia2.ru: http://election.democratia2.ru
[11] был успешно убит таргетированной LOIC-атакой: http://leonwolf.livejournal.com/446122.html?thread=28229034#t28229034
[12] cvkhello.do.am: http://cvkhello.do.am
[13] election.democratia2.ru/: http://election.democratia2.ru/
Нажмите здесь для печати.