DDoS по РКН: пик 33 Гбит/с, доступ восстановили, атака идет

DDoS по ресурсам Роскомнадзора: что известно о сбое утром 27 февраля​

Утром 27 февраля пользователи заметили, что сайт Роскомнадзора работает нестабильно или не открывается. По заявлению ведомства, причиной стала многовекторная DDoS-атака, которая затронула не только РКН, но и ресурсы Минобороны РФ и инфраструктуру подведомственного ГРЧЦ. Активную фазу удалось пройти, доступность восстановили, но в РКН утверждают, что атака полностью не завершилась.

Хронология: когда началось и что увидели пользователи​

Суть события проста: сначала был заметный сбой, затем восстановление. По данным РКН, начало атаки зафиксировали в 09:11, а массовые жалобы на недоступность сайта появились уже после 9 утра по Москве.
В подобных инцидентах важно разделять два слоя: что чувствует пользователь (страницы не грузятся) и что происходит в инфраструктуре (перегрузка каналов и сервисов избыточным трафиком). Внешне это выглядит одинаково, но причины могут быть разными. Здесь ведомство прямо назвало DDoS.
Мини-вывод: инцидент начался утром и проявился как недоступность сайта, а затем перешел в фазу частичного восстановления.

Что заявил РКН: “мультивекторная атака” и восстановление доступности​

Ключевое заявление РКН - атака сложная и идет на разных сетевых уровнях, включая имитацию действий пользователей. По словам ведомства, вредоносный трафик отделили и направили на сервера очистки, после чего доступность ресурсов удалось восстановить.
Отдельно упоминались географии источников: в публичных комментариях фигурировали серверы и ботнеты, расположенные преимущественно в России, а также за рубежом. Такие формулировки обычно означают, что атака шла распределенно, а не из одного центра.
Мини-вывод: официальная версия описывает не разовый “залив”, а сложный поток на нескольких уровнях, который удалось частично локализовать.

33 Гбит/с и 36,9 млн пакетов в секунду: как читать эти цифры​

Самая цитируемая метрика - пиковая мощность. По данным, которые приводились со ссылкой на РКН, мощность атаки доходила до 33 Гбит/с, а скорость - до 36,9 млн пакетов в секунду.
Эти показатели описывают “силу” DDoS с двух сторон. Гбит/с - про общий объем трафика, а пакеты в секунду - про нагрузку на сетевое и прикладное оборудование, где даже относительно небольшой объем может быть убийственным, если он состоит из огромного числа мелких запросов.
Мини-вывод: цифры выглядят внушительно не только из-за “объема”, но и из-за высокой пакетной нагрузки, которая часто тяжелее для защиты.

Что именно пострадало: сайты и инфраструктура, а не “весь интернет”​

В официальных комментариях речь шла о доступности информационных ресурсов, то есть публичных сервисов и сайтов. Это важно, потому что DDoS чаще всего бьет по видимой части - вебу, API и периферийным сервисам, а не обязательно по внутренним контурам управления.
В обсуждениях часто всплывает ожидание, что “если РКН лежит, значит и блокировки остановятся”. Но из заявлений о таком эффекте не следовало. Инцидент выглядел как атака на публичную доступность ресурсов, а не как сбой всех систем регулирования связи.
Мини-вывод: пользователи заметили прежде всего недоступность сайта, а более широких последствий в официальных сообщениях не подтверждали.

Почему атаки на госресурсы повторяются и что в них реально меняется​

Суть таких атак в том, что они измеряют устойчивость инфраструктуры и скорость реакции. Чем быстрее получается отделить вредоносный трафик, подключить очистку и восстановить сервис, тем меньше эффект для аудитории.
При этом “один раз отбили” не значит “тема закрыта”. Если атака идет волнами, то можно ждать повторов, изменения профиля трафика и попыток обойти фильтры. Поэтому ведомства обычно и говорят “атака продолжается”, даже когда сайт уже открывается.
Мини-вывод: восстановление доступности не отменяет риск повторных пиков, просто показывает, что защита адаптировалась к текущей фазе.

Что это значит для обычного пользователя: меньше эмоций, больше гигиены​

Для пользователей такие инциденты почти всегда создают одну дополнительную угрозу - фишинг на фоне новостей. Когда сайт “лежит”, появляются поддельные страницы, “зеркала” и липовые сообщения “введите данные для проверки”, и люди чаще ошибаются из-за спешки.

• Не переходить по “ссылкам на восстановленный сайт” из чатов и комментариев.
• Проверять домен вручную и не вводить пароли на страницах, куда попали по чужой ссылке.
• Если ресурс недоступен, подождать официальный канал или надежное СМИ, а не искать “быстрый обход”.

Мини-вывод: DDoS редко ломает ваш компьютер, но часто повышает шанс попасть на подделку из-за суеты.

Итог​

Утром 27 февраля РКН сообщил о многовекторной DDoS-атаке на свои ресурсы, ресурсы Минобороны и инфраструктуру ГРЧЦ. Ведомство заявило о пиковых значениях до 33 Гбит/с и 36,9 млн пакетов в секунду, а также о восстановлении доступности после перенаправления трафика на очистку.
Публичный эффект для пользователей свелся к недоступности сайтов, а дальше все упирается в устойчивость защиты и вероятность повторных волн. В такие дни лучшее, что можно сделать рядовому пользователю, это не поддаваться спешке и не кликать сомнительные “зеркала” и “проверки”.

---

Редакция PavRC