Найти тему
Журнал «Код»

Как Яндекс пережил самую крупную DDoS-атаку в истории интернета

Конспект подкаста «Запуск завтра»

Мы продолжаем славную традицию — публиковать конспекты самых интересных выпусков подкаста «Запуск завтра», которые делают при поддержке «Практикума». Сегодня — выпуск о DDoS-атаке на Яндекс. Слушайте полную версию, если есть время, а если нет — читайте наш конспект.

О герое

Герой выпуска — Антон Карпов, директор по безопасности Яндекса. Антон рассказывает, зачем кому-то понадобилось «положить» Яндекс, как удалось отразить кибератаку в 21 миллион запросов в минуту и почему DDoS-атаки грозят всему интернету.

Что такое и какими бывают DDoS-атаки

DDoS-атака — вид киберпреступления, когда с помощью большого количества запросов удаленно выводят из строя какой-то сайт или подключённое к интернету устройство.

Работает это так: злоумышленники получают контроль над большим числом гаджетов и дают им команду, например, зайти на определённый сайт через свой виртуальный браузер и сделать запрос. Получается очень много запросов. Сайт ответить на такое число запросов не может и перестаёт работать.

DDoS-атаки бывают двух видов: мусорный трафик, который не похож на пользователей,
и, наоборот, атаки, имитирующие поведение реальных людей.

Мусорный трафик. Хакеры посылают неосмысленные запросы, которые забивают серверы компании. В результате канал становится физически перекрыт, и для реальных пользователей на сайте перестаёт хватать места. Такую атаку довольно легко сделать: если у тебя есть устройства, которые могут генерировать большое количество запросов, то ты просто берёшь и заливаешь мусорным трафиком канал жертвы.

Атаки, которые мимикрируют под реальных пользователей. Это запросы, которые имитируют реальное поведение людей. Например, бот открывает браузер и пишет в нём www.yandex.ru. Такие атаки сложнее отразить: нужно понять, реальный перед тобой пользователь или это запрос с зомбированного компьютера.

Слово: ботнет

Большинство умных устройств — это железки с довольно тупой китайской прошивкой. Это гаджеты с кучей уязвимостей, на которых стоят пароли по умолчанию. Хакеры используют такие устройства, чтобы сформировать свою инфраструктуру для DDoS-атаки — ботнеты.

Чем больше устройств участвует в DDoS-атаке, тем она разрушительнее. Сайт не может быстро ответить 10 000 чайникам и поэтому перестаёт работать, если у него нет защиты от DDoS-атак.

Как Яндекс выдержал рекордный киберштурм в 21 миллион запросов в минуту

Это случилось в ночь с субботы на воскресенье 5 сентября в 5:55. Запросы приходили на главную страницу Яндекса. Мы обнаружили странную активность и довольно быстро догадались, что это DDoS-атака.

У всех наших сервисов есть дежурная смена. Ребята сидят, смотрят графики и анализируют количество запросов. Сначала запросов было сильно больше нормального фона, затем их стало меньше, но всё равно это выглядело подозрительно. Последние пару месяцев мы видели похожие атаки, но они были маленькие. Так что к этому моменту мы были готовы и ждали.

На пике мы увидели 21 млн запросов в минуту. По нашим оценкам, в атаке участвовало около 200–250 тысяч устройств. Предыдущий рекорд был зафиксирован американской компанией Cloudflare в августе — 17 млн запросов в минуту.

На популярном интернет-сервисе в штатном режиме открываются 100 запросов в секунду. Яндекс выдержал в 3 500 раз больше — 350 тысяч запросов.

Атаку удалось отразить с помощью технологии «антиробот». Это такая штука, которая смотрит запрос, анализирует его по ряду параметров и решает — это запрос настоящего пользователя или его отправил робот. Благодаря антироботу мы не прибегали к банам по айпи-адресам — пользователи даже не заметили, что Яндекс подвергся рекордной кибератаке.

Кому и зачем понадобилось «положить» Яндекс

Мы думаем, что это была реклама DDoS-атак. Люди, которые стоят за ботнетом, хотели показать, что он способен положить Яндекс. Типа, смотрите — у нас настолько крутой ботнет, что мы задосили Яндекс, — и покупайте наши услуги.

В чём смысл DDoS-атак на примере цветочного бизнеса

Цветочный бизнес делает 90% продаж за четыре дня в году — это дни перед праздниками вроде 1 сентября или 8 Марта, когда на цветы большой спрос. Продавцам цветов важно, чтобы в пиковые дни их сайт смог выдержать повышенную нагрузку, и его работоспособности ничего не угрожало. Поэтому у цветочных бизнесов одни из лучших антиDDoS-защит.

Если «положить» сайт конкурента в день, когда происходят все продажи, то ты можешь заработать в два раза больше денег. Для этого устраивают DDoS-атаки. Кроме того, если сайт конкурента недоступен в течение длительного времени, то он пропадает из выдачи в поисковиках. В онлайн-бизнесе DDoS-атака — это мощный инструмент конкуренции.

Почему роутеры опаснее, чем чайники

Каким бы ни был «умным» чайник, больше пяти запросов в секунду он никак из себя
не выжмет, потому что у него слабое железо. Другое дело роутер: это довольно мощная железка, которая подключена по кабелю в гигабайтную сеть. Благодаря этому роутер может генерировать гораздо больше запросов.

Другая особенность в том, что роутер может передавать сразу несколько http-запросов через одно TCP-соединение. Эта особенность протокола HTTP называется pipelining. Она по умолчанию отключена во всех браузерах, но «ддосили» Яндекс именно с её помощью. Хакеры посылали один запрос, а для нашего веб-сервера это выглядело как пять.

Почему DDoS-атаки опасны для всего интернета

Когда у тебя есть мощное кибероружие, которое способно вывести из строя сайт или компьютерную сеть, то это угроза не отдельной стране, это угроза всему интернету.

Если мы представим, что сейчас есть ботнет, о котором никто не знает и он только растёт и становится мощнее, то он сможет вывести из строя большинство сайтов в принципе. Например, он сможет «заддосить» процессинг банка, и тогда все подключённые к нему точки обслуживания и карты перестанут работать. Сейчас большая часть слушателей совершает все транзакции с карты. Просто представьте, что из-за DDoS-атак всё это перестанет работать.

Как бороться с DDoS-атаками и почему серьёзному бизнесу нужна диджитал-крыша

Последние годы стала популярной новая услуга — хостинг сайта на мощностях сторонней компании для защиты от DDoS-атак. Например, сервис Cloudflare сами о себе говорят, что 3% от всего интернета хостится на их серверах. Конечно, такие сайты гораздо сложнее «положить».

Наши ребята из Qrator Labs поменьше и помоложе, но у них тоже огромное количество клиентов. Если твой сайт находится под защитой Qrator, то, скорее всего, тебя тоже сложно будет «положить». Поэтому сейчас страдают от DDoS-атак чаще те, кто вообще про это не подумал.

10 лет назад доходило до смешного. Банк, которому нужно поддерживать сложный процессинг, имел один канал выхода в интернет, какие-нибудь 100 мегабит. И всё. Естественно, такой канал было легко «положить».

Бороться с DDoS-атаками самостоятельно смысла большого нет. Лучше пойти к крупным толковым ребятам, которые специально этим занимаются. В целом кибервойны — это просто бизнес. Там 100 баксов DDoS-атака стоит, здесь те же 100 баксов защита. Всё как в 90-х, поэтому бизнесу лучше иметь нормальную диджитал-крышу.