Xpoint
   [напомнить пароль]

DDoS ЖЖ

Метки: [без меток]
2011-04-08 13:23:43 [обр] Евгений Седов aka KPbIC(4/176)[досье]
Хотелось бы понять, в чем заключается эта атака на ЖЖ, и почему ее нельзя быстро устранить?
спустя 34 минуты [обр] Thirteensmay(0/157)[досье]
сообщение промодерировано
Администрация вроде говорит что она реальными серверами не особо рулит, точнее этот процесс затруднен. Может и отмазка, а может и правда, наша администрация чисто вершковая, а технически все в штатах и им грубо говоря пофиг
спустя 59 минут [обр] Евгений Седов aka KPbIC(4/176)[досье]

Из объяснений представителей ЖЖ:

...ЖЖ обслуживал в десятки раз больше HTTP запросов...

...Еще из интересного — примерная география распределения атакующих...

...журналы нескольких пользователей ЖЖ подвергаются сильнейшей DDoS-атаке...

Насколько я понимаю, TCP-соединение устанавливается, так как известно, что это именно HTTP-запросы, а не голые syn'ы с произвольными src. В пользу этого же говорит и то, что известно, на чьи именно журналы приходит GET. Если бы это было не так, то и географию было бы бесполезно показывать.

Если известны IP-адреса злоумышленников, и есть поддержка Президента, выразившего свое личное возмущение, то в чем заключается техническая проблема поймать за ухо владельцев машин на территории России? И в чем проблема ограничить число соединений с "плохих" IP за пределами досягаемости наших правоохранительных органов?

спустя 4 часа 30 минут [обр] Jared(0/26)[досье]
...то в чем заключается техническая проблема поймать за ухо владельцев машин...
При DDoS атаке с ботнета можно ловить несколько (дестков) тысяч ничего не подозревающих пользователей. Владельца ботнета или заказчика атаки поймать куда как сложнее.
спустя 25 минут [обр] Павел Карасёв(0/14)[досье]
Евгений Седов aka KPbIC[досье]
Да, вот кстати, интересно услышать вашу экспертную точку зрения. И методы борьбы и профилактики, по личному опыту, если такой имеется.
спустя 4 часа 45 минут [обр] Thirteensmay(0/157)[досье]

Экспертную току зрения надеюсь услышим позже, а пока разрешите мне ;)

есть поддержка Президента...

Не упоминайте имя гомосека всуе. Уродец наплевавший на абсолютное большинство "своего" народа и официально озвучивший это (официально было сказано что несмотря на то что 90% населения против мы всеравно будем это делать) не заслуживает ссылок. На этом фоне вообще многие в т.ч. технические вопросы могут отойти на второй план.

в чем заключается техническая проблема поймать за ухо владельцев машин на территории России?

Сети и в основном серверы рассчитываются не на максимальную, и даже не на номинальную, а на среднюю действующую нагрузку, т.о. при перегрузке во время DDOS "отследить" все запросы не представляется возможным, тем более принять по ним решения. Т.е. невозможно занести адрес каждого запроса в базу и сопоставлять их динамически, не потому что невозможно в принципе, в принципе то возможно, а потому что с точки зрения текущей "экономики". Технически проблема решается установкой шлюзов на входе которые отслеживают запросы зарегистрированных и пр. пользователей и начинают блокировать их запросы при превышении нормы DDOS, а также соответствия аппаратных мощностей этой норме и декларируемо допустимому количеству пользователей. Однако большинство "поставщиков услуг" не заморачиваются с расчетом максимальной нагрузки, не принимают соответствующих технических решений и в общем не гарантируют надлежащего обслуживания. Потому что бабки.

в чем проблема ограничить число соединений с "плохих" IP за пределами России

Ровно в том же, + президент поддерживает их понятия + очевидные затруднения с работой за рубежом.

Ну и в конце концов, Евгений, по старым мозолям, а чем вы собственно возмущаетесь ? Люди которые могут себе позволить, имеют бабки, могут обратиться к LJ напрямую, по вашим понятиям все нормально, бабки рулят, на остальных наплевать. Ну так и чего возмущаться ? Не люди должны рулить а баки (хитрость), ведь так ? И не надо ссылаться на то что даже президент испытывает проблемы, в цирке все были, не надо троллить.

спустя 2 дня 10 часов [обр] Евгений Седов aka KPbIC(4/176)[досье]

Президента упомянул только для того, чтобы было ясно, что любой хостер или провайдер быстро отдаст логи и пойдет на любое сотрудничество, никаких административных задержек не будет.

Как расчитывается нагрузка, меня тоже пока не интересует. Я хочу понять, что это была за атака (на техническом уровне). Со скольких IP-адресов (или сетей) велась атака? Как она выглядела? Я видел графики по исходящему (видимо) трафику в момент атаки. К сожалению, в тех материалах не был представлен входящий трафик и не было показателей по количеству соединений. Клиенты читали ответы? Хотелось бы найти более подробные технические сведения конкретно об этой атаке.

спустя 8 минут [обр] Евгений Седов aka KPbIC(4/176)[досье]

М Thirteensmay[досье] Вы можете выражать неудовольствие Медведевым, критиковать, и насмехаться над ним. Но давайте постараемся не опускаться до прямых оскорблений. Во-первых, это неприлично, во-вторых, не эффективно, и в третьих, эта тема не про Медведева.

P.S. Вы меня ставите в неловкое положение, заставляя защищать человека, мне глубоко не симпатичного.

спустя 39 минут [обр] Thirteensmay(0/157)[досье]

Насколько я понимаю хостер штатовский, у нас только администрация и договор, ну и немножко железа, деталей договора нам никто не раскроет, так же вряд ли раскроют подробную техническую информацию. Так что президент щеки конечно надувать может, да вот только послушают ли его там, большой вопрос, к сожалению такие ситуации последнее время прослеживаются все чаще, это его заслуги, и не я его начал оскорблять первый, нечего мне было говорить что я быдло и не понимаю высочайшего блага его реформ. Впрочем, согласен, здесь об этом говорить неадекватно.

Чисто технически, у вас есть информация где основная серверная площадка ? Как то вроде проскакивало что в штатах, а если так то этим многое объясняется.

спустя 7 часов [обр] Евгений Седов aka KPbIC(4/176)[досье]
сообщение промодерировано

Thirteensmay[досье] Как утверждает Руководитель LiveJournal Russia, сервера расположены в Штатах. Но что этим объясняется?

Мне абсолютно не понравилось, как эта дамочка отвечала на вопрос о возможности внутреннего сбоя — извивалась как рязанская школьница в московском стрип-баре — противно смотреть. Но Плющев не дал уйти ей от ответа. Никаких технических подробностей атаки она не привела, но все же отчетливо заявила, что это не внутренние ошибки, а атака, и косвенно подтвердила, что TCP устанавливалось, и, как я понял, клиенты читали ответы, что и спровоцировало непомерный исходящий трафик.

Если верить Иванниковой с Касперским и рассматривать версию с DDoS и ботнет, то кто-нибудь мне может объяснить, каким образом можно заставить огромное количество зараженных компьютеров синхронно начать атаку (а именно так выглядел график по исходящему трафику)?

Лично мне представляется невероятно странным, что вместо syn flood'а, боты светили свои адреса, да еще и читали ответы. Чем дальше, тем непонятней.

спустя 5 часов [обр] Thirteensmay(0/157)[досье]

Штатовским расположением объясняется как минимум затруднение в прижучивании атакующих, элементарно законы разные и президент тут наш не в тему, а еще чисто технические моменты, тут команда одна, там другая, тоже по понятным причинам затруднения, даже без учета законов.

Могу выдвинуть следующую версию: Лично я в моменты атаки заметил явные проблемы с кешированием, станица открывалась медленно и то старая версия то новая, конечно это может объясняться особенностями движка под нагрузкой, но как оказывается они какраз накануне изменили движок и механизм кеширования. Т.е. весьма вероятно что проблемы были в т.ч. технические, а какие еще ? да все та же атака, но не такая супермощная как они говорят, а обычная, такая как у них часто бывает, но она наложилась на косяки нового кеширования и получился резонанс, естественно администрация предпочла списать все на атаку. Более менее синхронно начать атаку ботнетом наверное не проблема, если заранее разослать задание, часы то у массы клиентов синхронизируются автоматически, а еще если подгадать с моментом смены движка, то тут такой пик исходящего трафика можно получить что мама не горюй, во первых он будет обусловлен чисто технически обновлением кешей, а во вторых подхлестнут атакой. Не знаю конечно, но по моему весьма правдоподобно. В том что предполагаемые боты читали ответы не вижу ничего странного, это какраз повышает нагрузку всей системы а не просто забивает прием, тут можно даже предположить что имея информацию о смене механизма кеширования атакующие делали так специально чтобы добиться максимального эффекта.

спустя 16 минут [обр] Thirteensmay(0/157)[досье]
А теперь еще представьте себя на месте их технарей, вы только что поменяли движок, контролируете и заняты этим процессом, трафик начинает расти штатно, теперь начинается обычная атака, народ занят и не особо замечает ее т.к. ввиду поведения ботов как обычных клиентов заметить сразу сложно, трафик еще начинает расти, ну и в завершения пользователи типа меня сидят и постоянно давят F5 в попытках получить последнюю версию. Отличить ботов от клиентов давящих F5 сложно потому как они также тянут данные и светят IP, ну не писец ли ? А еще учитывайте что голова в одной стране а руки в другой, писец короче, полный. Это к тому почему медленно реагировали.
спустя 11 часов [обр] Павел Карасёв(0/14)[досье]
Меня всегда умиляла эта привычка делить соединения на ботов и людей, при том что людей в сети нет в принципе )) Как известно есть только боты. Только одним ботом управляет реальный человек, а другим ботом - заданный алгоритм.
Вот на этом фоне, разделение трафика на хороший и плохой, для борьбы с ДДоС, меня всегда кололо в поясницу...
спустя 54 минуты [обр] Thirteensmay(0/157)[досье]
Это если алгоритм управления ботом похож на человеческий, но с точки зрения эффективности задосивания лучше если он будет другим, например тупой быстрый многократный повтор одного и того же, или быстрое переключение между ресурсами, на основе этого и можно выделять, конечно не гарантия, но средство.
спустя 3 дня [обр] Евгений Седов aka KPbIC(4/176)[досье]
сообщение промодерировано

График странный.

Во-первых, он рваный. И края у разрывов отвесные. Мне сложно представить, как это может получиться в случае с ботнетом.

Во-вторых, пик атаки пришелся на время, когда в этих часовых поясах люди выключали рабочие компы, ехали домой, и включали домашние. Я на месте атакующего выбрал бы более подходящее время.

И в-третьих, отечественным админам я доверяю гораздо меньше чем Штатовским. Как пример, DNS-сервера livejournal.ru в Америке не отвечают по чужим зонам, а в России — запросто.

Похоже, что версия с отечественным разгильдяйством и желанием скрыть истинные причины имеет право на существование. В эту же теорию гладко укладывается нежелание администрации привлекать мусоров.

спустя 9 часов [обр] Thirteensmay(0/157)[досье]
Это таки график входящих соединений, по моему как раз для атаки ничего странного, время самое то чтобы захватить домашние машинки в рабочем состоянии, ботнет это ведь именно они. Что касается разрывов то это могут быть элементарные отключения сервера, что вполне обосновано в таком процессе. Начало атаки, фронт первого резкого всплеска, размазан на 5 пикселей, это аж пол часа, дальше некоторая стабилизация и дальнейший рост по мере подключения новых машинок из средней азии и т.п. Тут все более менее правдоподобно, меня другое смущает, не поучаствовал только мертвый, но при этом ни одной атаки с территории РФ, как то подозрительно показательно ;)
спустя 5 дней [обр] Сергей Костин(0/21)[досье]
Действительно такая атака стоит всего 20 т.р. в сутки?
спустя 2 дня 13 часов [обр] Евгений Седов aka KPbIC(4/176)[досье]

Сергей Костин[досье] Товар штучный, скорее всего, цена определяется каждый раз индивидуально.

Интересно другое: откуда в Лаборатории Касперского узнали, что были именно GET? Читают трафик ЖЖ или верят на слово СУПу?

спустя 3 месяца 12 дней [обр] Евгений Седов aka KPbIC(4/176)[досье]

Еще одно очко в пользу версии о собственном разгильдяйстве. Где-то с неделю назад так совпало, что в очередной раз лег ЖЖ и в рассылку от супа пришла вакансия Perl-программиста. Думаю, дай-ка поболтаю своими "яичками" у них перед носом в их "Христов день" — вдруг, предложат миллиарды долларов в неделю. Не тут-то было. Секретарь наотрез отказалась соединять по телефону с менеджером по персоналу и предложила писать им письма, а они в течение недели рассмотрят. И это при том, что вакансия была составлена не идеально; вилка не указана вообще, что делать обрисовано обтекаемо, про режим и условия работы почти ничего.

Мой вывод: с таким подходом невероятно сложно найти специалиста. Предполагаю, что у них трудятся неквалифицированные кадры и проблемы именно из-за этого, а не из-за DDoS.

Powered by POEM™ Engine Copyright © 2002-2005