На прошедших выходных команда Айри столкнулась с проявлением нового вектора DDoS-атаки (известного уже давно, но редко эксплуатируемого) — использование уязвимости посещаемых ресурсов (обычно во вставке ссылок на изображения или другие файлы) для генерации большого количества «тяжелых» запросов.

Вариации этого типа уязвимости для проведения атаки находили в Google+ и даже в Facebook. Суть ее применения достаточно проста: необходимо найти веб-сайт, который может сгенерировать хотя бы 10 запросов в секунду (за счет собственной сети серверов — как в случае Google или Facebook или за счет потока посетителей), которые можно направить на одну или несколько страниц сайта-жертвы.

Для успешной эксплуатации уязвимости и проведения атаки необходима возможность вставки изображения (или даже видео-файла) со стороннего ресурса. При этом ссылка на «изображение» не обязана ссылаться на статический файл, это может быть и любой динамический адрес веб-сайта (например, страница каталога интернет-магазина, результаты поиска по сайту или даже главная страница сайта), который обрабатывается существенно время на сервере. Очевидно, что достаточно довести атаку до 200-1000 запросов в секунду, чтобы гарантированно «положить» сайт жертвы (при это блокировать атаку практически невозможно за счет очень широкого плеча применения и малой плотности запросов с 1 IP-адреса).

Атака такого типа относится к классу slow-DDoS, может быть направлена как на исчерпание ресурсов сервера-жертвы, так и на исчерпание канала. Блокироваться атака может только за счет наращивания канала и автоматического отсечения векторов атаки (запросов) от ресурсов сервера («умное» кэширование).

Облако Айри 21 сентября 2014 успешно блокировало описанную атаку. Площадкой для генерации запросов был новостной ресурс e-news.su, сайтом-жертвой — сервис мониторинга сайтов WEBO Pulsar, подключенный к Айри. Из-за уязвимости чата указанной площадки при вставке изображений, ссылка на сайт-жертвы автоматически открывалась как изображение у всех посетителей e-news.su, что обеспечивало необходимое плечо для атаки.

Для максимальной защиты вашего сайта в облаке Айри необходимо подключить его на тарифном плане не ниже Марс и выставить настройку Защита сайта в Максимальная, а Доступность сайта — в Улучшенная + SEO.