Подробности прошедшей в октябре DDoS-атаки на сайты ведущих российских банков и регулятора рассказал Артем Сычев из Банка России. Сеть машин у атакующих была сравнительно невелика, но поток HTTP-запросов от них был заранее продуман. Заместитель начальника главного управления безопасности и защиты информации (ГУБЗИ) Банка России (ЦБ) Артем Сычев рассказал CNews о недавней DDoS-атаке (распределенный отказ в обслуживании, при котором из-за большого числа обращений сетевой ресурс перестает реагировать на запросы) на российские банки, которая затронула, в том числе, и регулятора этого рынка – сам ЦБ. Напомним, в начале октября 2013 г. группа, называющая себя «Кавказские анонимусы», сначала предупредили об атаке на сайты Банка России, Сбербанка, ВТБ, Альфа-банка и т.д. в ролике на YouTube, а затем провела саму акцию. По словам Сычева, перерывы в работе сайта длились всего около семи минут. «Это время понадобилось для того, чтобы наше оборудование для защиты от DDoS-атак выработало правила противодействия, - заявил он CNews. – Проблемы могли быть в первую очередь с доступом к сайту с зарубежных IP-адресов, т.к. атака велась с машин, находящихся в Европе». Количество машин в сети атакующих Сычев оценил в 400 компьютеров, из которых одновременно обращались к сайту только около 200. По сравнению с многотысячными масштабами современных бот-сетей это число очень незначительно. Тем не менее, атака была очень хорошо организована и подготовлена, считает он: «HTTP-запросы GET и POST были направлены не на подавление трафика, а на перегрузку серверных мощностей, таргетированы конкретно на наш скрипт с курсами валют». По рекомендации ФСБ Банк России для борьбы с атакой временно использовал мощности «Лаборатории Касперского», предоставляющей услугу очистки обращений к сайту заказчика от лишних HTTP-запросов. Задержки загрузки сайта cbr.ru уже после окончания атаки Сычев объясняет переконфигурацией DNS-серверов, нужной для такой фильтрации обращений. «В квартал мы фиксируем порядка двух тысяч инцидентов на своем интернет-периметре, - сообщил он. – Но предыдущая настолько хорошо подготовленная атака была в декабре 2012 г». После октябрьского инцидента ЦБ и коммерческие банки обратились в Следственный комитет и другие силовые ведомства. Мотивом организаторов таких акций Сычев называет попытку подрыва доверия к банковской системе и считает их «политическим заказом». «Нас безумно беспокоит трансграничность преступности, - говорит представитель ЦБ. – Даже если центр управления бот-сетью находится на территории России, то атакующие машины могут иметь зарубежные IP-адреса, и мы не можем пресечь активность злоумышленников».
Источник