amalgin | Комментарий ко вчерашней атаке на ЖЖ

May 2025

S	M	T	W	T	F	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

igrick, наконец, внятно и доходчиво объяснил, что происходило вчера.

DDoS начался приблизительно в 16:00 по Москве (около 12:00 UTC), восстановить приемлемую работоспособность, т.е. справиться с проблемой, мы смогли примерно через 7 часов, а сама атака завершилась значительно позже, уже глубокой ночью по Москве;

Load Balancer (система, отвечающая за распределение входящей нагрузки) испытывала около 1.2 миллиона одновременных соединений при нашей средневзвешенной норме в 50 000;

ЖЖ отдавал 2 Гбита трафика в секунду при средневзвешенной норме в 400 Мбит;

ЖЖ обслуживал в десятки раз больше HTTP запросов чем обычно;

ЖЖ смог обслужить около 30% трафика, включающего и нормальный, и вредоносный, в пике, т.е. все остальное пришлось отбрасывать;

Атака не привела ни к отказу оборудования, ни к нарушению целостности системы, ни к потере какого-либо уже опубликованного контента.

ЧИТАТЬ ДАЛЬШЕ. ВЕСЬМА ИНТЕРЕСНО.

Обратите внимание на карту, откуда велась атака. Ни одного компьютера на территории России!

53.19 КБ

Flat | Top-Level Comments Only

а зачем нужно было атаковать из-за рубежа?

Ботнет - это такая распределённая штука, которой пофигу, где находится конкретный зараженный компьютер. Где получится заразить, там и будет.

Именно. Но если меня, например, атаковали боты, айпи адреса которых не повторялись, но все относились к России или окружающим русскоязычным территориям, то в данном случае кто-то следил, чтобы сеть ботнета не затрагивала пределы России. Это, мне кажется, интересно.

это, скорее всего, прокси.

Скорей всего. Хотя не знаю, можно, задействуя прокси, добиться 1,2 миллиона одновременных соединений?
В любом случае, кто-то следил, чтобы на атаке на ЖЖ не светились российские ай-пи адреса.

в Зап.Европе тоже пусто -- и я даже знаю, почему.

(deleted comment)

потому что подобный трафик отслеживается и убивается на корню.

Я как-то писал, что дикое количество ботов регистрировалось с немецкого айпи и даже обращался по этому поводу к их провайдеру.

igrick у себя пишет:
Через прокси ДДосить — это детский сад, очень легко противостоять. Я к тому что нет конечно.

Управляющий центр ботнета, конечно, знает, где находится каждый конкретный компьютер, и в принципе может для атаки выбирать из них группы по странам. Возможно, зачем-то эту возможность действительно задействовали.
Если атака вообще имела место.

У меня нет оснований не доверять повременному графику, где четко зафиксирован ненормальный всплеск соединений.

Ну вы ж понимаете, график нарисовать - дело нехитрое..

Скорее всего, атакавали из России через прокси. Mail.ru тоже не работал.

У меня мейл-ру работал весь этот период.

не опасаетесь мейл-ру использовать?

Смотря для каких целей. Для ЖЖ - конечно, его использовать нельзя. Для конфиденциальной переписки - тоже. Для заказа чего-либо - самое оно. Потому что потом интернет-магазины и авиакомпании включают тебя в свой список рассылки и приходит много мусора.

Как вариант, политика большинства российских провов (например Билайн, Онлайм в Москве) резко уменьшать ширину канала пользователю, при массовом потоке запросов от него (наблюдается в торенте если количество исходящих сделать неограниченным)...

я тоже ничего не понял. (

Версия от чайника.
Может, у нас антивирусные программы лучше, и на наших компьютерах этих ботов автоматических нет?

а в украине есть?

Я не знаю что в Украине, но пометки о ботах на карте там обозначены.

Не "в Украине", а "на Украине".

наглое путинское враньё. Я где-то с полтретьего не мог попасть в жжшечку.:(

Вы кого в данном конкретном случае имеете в виду под путиным? То есть кто врёт? Представитель СУПа? Или Вы имеете в виду Мальгина? Но это же бред.

Мальгин лишь цитирует. Причём тут Мальгин?

География просто шикарная. Из наших бывших нас атаковала только Украина. Почему нет Африки? Только не говорите что там нет РС.

> Ни одного компьютера на территории России!

что кагбэ намекает

КаГБэ, хехехе

Так и из западной Европы тоже нет ничего. А это об чем намекает?

на войне все средства хороши

интерсно а как они заразили эти компьюторы - их ведь не меньше миллиона получается..

Ну это уже существующая сеть ботнета. Думаю, создавалась постепенно, не под конкретную задачу. А тут ее владелец получил заказ - и понеслось.

Россия в кольце врагов!

Странно, очень странно.

Из Монголии тоже ни одного!

Индия с Таиландом зато потрудились на славу.

Андрей, а на кого нападали, так и непонятно?

http://avmalgin.livejournal.com/2406675.html

если я правильно понял, то "Новая газета"? Очень странно

Даже не сто, а двести процентов, что на их блог никто не нападал.

у меня такое ощущение что нападали не на какой то определенный блог а постили везде где не лень- у меня появились окмменты про навального с матом к постам не имеющим к нему отношения, и я читала что у других тоже такое появилось.

Карта напомнила:

Мне вот тут кое что кажется подозрительным:

http://medvejenok-dima.livejournal.com/216366.html

medvejenok_dima прав, у жж технические проблемы и большие.

Ну это же ДДОС.
Кто же будет палиться.

сегодня уже есть и из России - на igrik'овой картинке

Flat | Top-Level Comments Only

Page Summary

Expand Cut Tags

No cut tags

Style Credit

Style: Elegant Notebook for Gold Leaf by rosecarmine
Resources: Yusuke Kamiyamane and Atle Mo