Хакер #305. Многошаговые SQL-инъекции
Самый популярный торрент-трекер в России подвергся мощной DDoS-атаке. Точнее, атака идёт только на форумы rutracker.org, которые в течение 7 февраля практически не работали. Непосредственно сам трекер функционировал нормально.
Как сообщил руководитель проекта, в отличие от предыдущих, это управляемый DDoS, то есть атакующие периодически меняют структуру пакетов, чтобы обойти фильтры. Из-за этого форум то виден, то нет.
Атака началась вечером 6 февраля, около 22:00 МСК. Постепенно её интенсивность росла и 7 февраля около 15:00 МСК составляла около 300 тыс. запросов в секунду, что не очень много по российским меркам (в том смысле, что в Рунете DDoS-атаки гораздо более мощные, чем в зарубежном сегменте Сети).
Как видно на графике, 300K запросов в секунду примерно соответствуют 500 МБ/с, тогда как в Рунете не раз наблюдались DDoS-атаки в десятки гигабит/с, а самая крупная была в 100 Гбит/с, причём в тот раз несчастная жертва перенаправляла поток на разные крупные ресурсы с помощью null-route, по ходу дела положив «Яндекс» и сайт Пентагона, среди прочих сайтов.
Впрочем, к вечеру 7 февраля DDoS-атака на Rutracker.org выросла до 500K в секунду. После этого атака была локализована и к 23:00 МСК форум начал открываться, хотя нагрузка на него по-прежнему выше нормы.
Кто является заказчиком DDoS, как обычно, неизвестно. Учитывая небольшую стоимость такого рода «услуги», заказчиком может выступить даже самый незначительный клиент, физическое лицо либо маленькая студия. Впрочем, со стороны правообладателей заказывать DDoS не имеет особого смысла, потому что Rutracker.org всегда оперативно реагирует на просьбы правообладателей и оперативно закрывает пиратские раздачи.
Возможно, заказчиком атаки мог быть кто-то из «конкурентов», то есть онлайновых сервисов по трансляции контента. Например, представители видеопортала Tvigle.ru поспешили откреститься в твиттере от возможных обвинений в свой адрес. Хотя, со стороны «конкурентов» это тоже был бы совершенно странный поступок.
В прошлый раз Rutracker.org подвергался DDoS-атаке в 2009 году, но тогда форум был недоступен всего лишь в течение нескольких часов. После нескольких суток безуспешных попыток атакующие прекратили попытки. В этот раз у них получается гораздо лучше.