Как мы защищали "Тануки" от DDoS-атак "Мужского государства"

На войне, как известно, все средства хороши. Смысл этой фразы в полной мере оценили на себе рестораны «Тануки» осенью 2021 года. 29 августа основатель движения «Мужское государство» Владислав Поздняков в своём телеграм-канале заявил об объявлении войны всем ресторанам, работающим под брендом «Тануки». Причиной тому стали фотографии в сети Instagram с темнокожим мужчиной-моделью и радужным флагом. Активист угрожал парализовать работу, если компания не удалит снимки и не принесет извинения «перед нацией».

Представители компании не пошли на поводу у группировки, заявив, что «не планируют удалять свои посты и извиняться», поскольку все обвинения абсолютно не обоснованы, в том числе, с точки зрения законодательства РФ.

После отказа подчиняться требованиям «Мужского государства» «Тануки» стала подвергаться массовой травле. Начались ложные звонки в правоохранительные органы о минировании ресторанов, активисты организовывали спам-атаки, вызывали курьеров по ложным заказам, делали заказы и отказывались от их оплаты, имитируя таким образом деятельность ботов. Кульминацией стала организация серии DDoS-атак на сайт и приложения «Тануки». Лидер националистического движения Владислав Поздняков агитировал подписчиков своего телеграм-канала на проведение атак, объявляя сбор средств, и на вырученные деньги заказывал нападения.

С 29 августа по 13 сентября список заблокированных IP-адресов 15 раз превышал порог в 5 тысяч, а в 9 случаях из них было заблокировано более 19 тысяч IP-адресов. Даже между пиками количество заблокированных адресов редко снижалось ниже 400*. Не менее семи раз были предприняты попытки исчерпать канальную емкость атаками с амплификацией, самая мощная из которых составила более 77,9 Гбит/с.

* IP источника заносился в чёрный список, адреса из которого не могут получить доступ к ресурсу

Подробная хронология первых нескольких атак

Около 15.00 29 августа началась первая атака, не имевшая заметного эффекта вплоть до 19:42, после чего количество входящего трафика стало многократно увеличиваться, и в пике атака достигала 7,08 Гбит/с. Почти всё это были запросы главной страницы с большого количества IP-адресов. К 19:46 было заблокировано уже 21,72 тысячи IP-адресов. В 20:11 и 21:19 - в самый пик оформления заказов на сайте - предпринимались повторные попытки атаковать, но, поскольку трафик сервисов автоматически фильтровался сетью Qrator Labs, нападения никак не повлияли на доступность ресурса, хотя и увеличили размер чёрного списка до 30,2 тысяч адресов в максимуме.

Около 9 утра 30 августа в телеграм-канале была опубликована подробная инструкция для атакующих, а сама атака началась уже около 14:40, за ней последовала третья, самая продолжительная из всех, длившаяся около 630 минут. В небольшую передышку между второй и третьей атакой злоумышленники произвели одну из самых массированных попыток исчерпать канальную емкость входящим трафиком на скорости 77,9 Гбит/с, но в пике атаки сеть Qrator Labs максимально пропустила только 3,84 Мбит/с, что совершенно не отразилось на защищаемом ресурсе.

Во время атак злоумышленники использовали, как правило, различные прокси-сервера, так что у большинства атак в топе – адреса из Бразилии, Индонезии, Ирана и Индии.

13 сентября в телеграм-канале «Мужского государства» был опубликован последний призыв атаковать «Тануки». Однако несмотря на то, что координации действий через чат больше не производилась, сами атаки не прекращались и после этой даты. До 1 декабря было организовано еще 6 атак, во время каждой из которых было заблокировано более 5 тысяч адресов.

Что необычно, 28 сентября произошла самая интенсивная атака за всё время «интернет-войны», но, в отличие от остальных, трафик из RU сегмента во время неё не рос, а только падал, поэтому можно предположить, что данная атака не была связана с «Мужским государством» или была заказана кем-то из её членов без координации действий с остальными участниками. Атака длилась 260 минут, во время неё было заблокировано 33,7 тысячи адресов, а интенсивность входящего трафика составила 132,85 Гбит/с в пике.

Как известно, 18 октября 2021 года Нижегородский суд признал «Мужское государство» экстремистской организацией, запретив его деятельность на территории России, а «Тануки» через суд добивается возмещения убытков.

«Сеть Qrator Labs помогла нам сохранить высокий уровень клиентского сервиса в период атак со стороны «Мужского государства». Мы довольны помощью нашего партнера, специалисты компании Qrator Labs были всегда на связи, атаки оперативно нейтрализовывались и практически не повлияли на работу наших сервисов, несмотря на то что мы действительно испытали на себе массированные волны DDoS-атак. Благодаря атакам мы смогли обновить свою инфраструктуру, а наша техническая команда получила большой опыт. Это позволит нам обеспечить устойчивое развитие и надежность работы сервисов "Тануки" и и большую готовность к подобным событиям вне зависимости от их масштаба. Для нас это интересный опыт, мы готовы делиться знаниями с теми, кто сталкивается с подобными проблемами», – комментирует Илья Силиневич, СТО «ТанукиТех».

После благополучного окончания конфликта с “Мужским государством” «Тануки» решила подключить дополнительную услугу Qrator Labs, не ограничиваясь только защитой от DDoS-атак. На данный момент компания приступает к внедрению и тестированию продукта Bot Protection для защиты от ботов. Ранее служба поддержки Qrator Labs помогала «Тануки» бороться с активностью ботов, в том числе отличной от DDoS-атак, когда злоумышленники имитировали деятельность ботов на сайте, кладя товары в корзину и бросая их, а теперь сайт и мобильное приложение компании будут в проактивном режиме фильтровать бот-трафик с помощью решения Qrator Bot Protection.