Илья Дронов (

igrick) wrote,
2011-07-29 18:34:00

ПоDDoSил и бросил

Folks, по мере того, как ситуация устаканивается, к нам продолжают поступать новые факты как от поставщиков услуг, так и с наших серверов. Некоторые из новостей, которые я могу озвучить:

Во-первых, атака на данный момент прекратилась, но Mitigation Service мы пока не выключаем, так что отдельные проявления нестабильности, проявляющиеся ввиду принципов работы последнего, еще будут происходить некоторое время.

Во-вторых, мы проанализировали полученные данные и выяснилось, что основным источником вредоносного трафика была Америка, преимущественно Южная. Но в этот раз это были не только персональные компьютеры пользователей, обычно зараженные вирусами в таких случаях, но и виртуальные сервера одного из крупнейших поставщиков подобных услуг в данном регионе.

В-третьих, запись про то, что "мы сами все поломали", на которую многие последнее время ссылаются, пытаясь нас уличить во лжи, была сделана еще в тот момент, когда мы сами до конца не были уверены в том, что происходит, так что один из системных администраторов решил написать пользователям хоть какую-то весть о том, что происходит, и, будучи настоящим американцем, решил принять на себя персональную ответственность и заранее извиниться. Так что не стоит высасывать из пальца отсутствие DDoS-атаки, как это делают некоторые. Я вам здесь пишу факты, в которых уверен, а не свои домыслы, так что суждение о них делать уже вам.

И еще, раз уж затронута тема про отсутствие веры в DDoS — Евгений Валентинович намедни писал, что его "Лаборатория Касперского" не нашла подтверждения, что LiveJournal подвергался DDoS атаке 25-го июля и последующие дни. Мне есть, что сказать на эту тему — я бы действительно удивился и задумался над этим, если бы софт "Лаборатории" стоял на большинстве компьютеров по всему миру. Т.е. это было бы для меня тревожным звоночком. Но так как источники были преимущественно из перечисленных выше регионов, и для атаки использовались не только персональные компьютеры, но и сервера, то я думаю, это и является причиной того, что антивирусы "Лаборатории" не смогли уловить ботнет. Я даже осмелюсь предположить, что с апрельских атак заказчики стали аккуратнее, и решили не связываться с регионами, где софт "Лаборатории" достаточно распространен и их можно было бы проще вычислить, поместив на карантин экземпляры вируса. Боятся они вас, Евгений Валентинович, вот и стараются не попадаться вам на глаза.

Не переключайтесь.

Tags: ddos, жж, забота о пользователях, понять и простить, сайфона

Post a new comment
Error
We will log you in after post

We will log you in after post

We will log you in after post

We will log you in after post

We will log you in after post

Anonymously

switch

LiveJournal

Facebook

Twitter

OpenId

Google

MailRu

VKontakte

Anonymously

Insert Bold

Insert Italic

Insert Underline

Insert Strikethrough

Insert Link

Insert LJ User

Insert Photo

Insert Video

Your reply will be screened

Your IP address will be recorded
Help
191 comments

aquatek_filips

July 29 2011, 14:40:29 UTC 10 months ago

Илья, 500 Internal Server Error при попытке запостить или отредактировать пост - это результаты работы Mitigation Service или что-то иное?

fregimus

July 31 2011, 03:20:15 UTC 10 months ago

Никто по традиции не говорит ни да, ни нет. Вот здесь мелькнула информация — или просто оговорка, понять невозможно, — от человека, работающего, насколько я могу сделать вывод, в LJ:

http://damian.livejournal.com/693663.html?thread=3767455#t3767455

“А главное, я не вижу связи между падением ресурса и ограничением на длину чего бы то ни было.”

Речь идет о том, что у многих длинные посты не проходят, а тема всего разговора — о том, что ограничения именно на длину не было. Насколько я понимаю этот комментарий, связи между сегодняшними проблемами и «падением» (имеются в виду атаки прошлой недели?) он не видит. А он должен быть, по всем признакам, в теме.

Несчастье в том, что приходится медитировать над оброненными кем-то в личных дневниках фразами, оставляемыми без комметнариев, чтобы хоть какое-то впечатление составить о том, о чем нам, по всем канонам, просто обязаны были сообщить. И мне неловко в частных же дневниках вопросы об этом писать, и здесь, и у процитированного пользователя.

ikonostasov

July 29 2011, 14:42:50 UTC 10 months ago

жесть конечно...

все мы надеемся, что такое будет повторятся крайне редко!

viktor_ch

July 29 2011, 14:43:32 UTC 10 months ago

Я, конечно, чайник...
Но, всё же, хотел бы получить ответ на два вопроса.
1. "источником вредоносного трафика была Америка, преимущественно Южная" - как это делается, чтобы компьютеры чётко заданного географически региона, обрушились атакой на русскоязычный livejournal?
2. Если это было именно так и сделано, кто же эти злоумышленники? Их можно выявить?

kalgan

July 29 2011, 15:57:40 UTC 10 months ago

1. Диапазоны адресов в сети довольно чётко распределены по странам, публичные списки этих диапазонов можно с легкостью найти. Дальше — в ботнете выбираются машины из конкретно этих диапазонов и им посылаются команды на DDoS, после чего оператор уходит заваривать себе чай.
2. Нет ответа. :)

viktor_ch

10 months ago

link
Collapse
Expand
New comment

kalgan

10 months ago

link
Collapse
Expand
New comment

viktor_ch

10 months ago

link
Collapse
Expand
New comment

ivan0ffssky

10 months ago

link
Collapse
Expand
New comment

viktor_ch

10 months ago

link
Collapse
Expand
New comment

ivan0ffssky

10 months ago

link
Collapse
Expand
New comment

ruben

July 29 2011, 14:48:52 UTC 10 months ago Edited: July 29 2011, 14:49:47 UTC

Хорошо, что ты прояснил какие-то моменты, но наверное было бы правильным увидеть объяснение большими, красными буквами на livejournal.com.

Потом не вдаваясь в технические подробности мне не совсем понятно, почему после всех принятых мер (которые ты описывал в своем пред. сообщении) жж опять лежал, так же, как и весной. Получается, что принятых мер было недостаточно?

flom

July 29 2011, 15:00:24 UTC 10 months ago

Разве предыдущий пост не проясняет картины?
Позднее был настроен и запущен DDoS Mitigation Protocol, по результатам которого стало видно, что трафик в нашу сторону составлял в среднем около 6 гигабит при пиках в 8 гигабит (напомню, в прошлые разы он составлял около 2-х гигабит в пике), что по всей видимости является потолком для Qwest и Verizon на данной площадке.
Какие бы меры ни принимались, всегда есть вероятность более срьезной угрозы. Вы же не спрашиваете у Касперского, почему его базы постоянно требуют обновления вместо того чтобы написать один шаблон, который ловил бы все вирусы :)

ruben

10 months ago

link
Collapse
Expand
New comment

lanc_xpr

July 29 2011, 15:05:35 UTC 10 months ago

из камента понятно... что ничего не понятно))
кто заказчик то? скорее всего этот инсайд уже все знают но молчат...

andrey_spirt

July 29 2011, 15:06:44 UTC 10 months ago

А дяде Жене только бы сболтнуть чего попало.

absolutelyright

July 29 2011, 15:21:27 UTC 10 months ago

угу
и вообще большую часть вирусов пишут антивирусные конторы

straykov

10 months ago

link
Collapse
Expand
New comment

andrey_spirt

10 months ago

link
Collapse
Expand
New comment

straykov

10 months ago

link
Collapse
Expand
New comment

andrey_spirt

10 months ago

link
Collapse
Expand
New comment

pe3yc

10 months ago

link
Collapse
Expand
New comment

ivan0ffssky

10 months ago

link
Collapse
Expand
New comment

proforg

10 months ago

link
Collapse
Expand
New comment

ivan0ffssky

10 months ago

link
Collapse
Expand
New comment

proforg

10 months ago

link
Collapse
Expand
New comment

ivan0ffssky

10 months ago

link
Collapse
Expand
New comment

proforg

10 months ago

link
Collapse
Expand
New comment

ivan0ffssky

10 months ago

link
Collapse
Expand
New comment

straykov

July 29 2011, 15:22:48 UTC 10 months ago

я удивился что Касперский принял сторону Экслера, который прямо говорил про "кривые руки и непрофессиональное руководство"

ivan0ffssky

July 29 2011, 16:53:19 UTC 10 months ago

а я не удивился.

http://igrick.livejournal.com/510012.html?thread=5052220#t5052220

straykov

10 months ago

link
Collapse
Expand
New comment

ivan0ffssky

10 months ago

link
Collapse
Expand
New comment

wim_winter

10 months ago

link
Collapse
Expand
New comment

straykov

10 months ago

link
Collapse
Expand
New comment

wim_winter

10 months ago

link
Collapse
Expand
New comment

straykov

10 months ago

link
Collapse
Expand
New comment

antonp

July 29 2011, 15:22:58 UTC 10 months ago

не переключаемся, но за 500 Internal Server Error в наше время Вам, должно быть, очень стыдно?

igrick

July 29 2011, 15:58:01 UTC 10 months ago

Здесь у 500 другая природа, обусловленная обрывом соединения, но не ошибкой на уровне приложения.

vserguey

10 months ago

link
Collapse
Expand
New comment

igrick

10 months ago

link
Collapse
Expand
New comment

voland_bride

10 months ago

link
Collapse
Expand
New comment

k4rlos

10 months ago

link
Collapse
Expand
New comment

...and 2 more comments... from

magic_ex,

pe3yc Expand

coyoteodin

July 29 2011, 15:38:52 UTC 10 months ago

ИМХО, гадов-организаторов DDoS-атак, посмевших покуситься на ЖЖ, надо заживо скармливать львам (если, конечно, львы не побрезгуют их есть)

1master

July 29 2011, 15:53:33 UTC 10 months ago

Рассказ про забитый канал плохо стыкуется с 80мс пингом и мгновенным ответом фронтенда. И также плохо он стыкуется с тем, что в редкие моменты, когда сайт оживает он дает вполне себе ошибки мирного времени про куки. Которая, кстати, сводится к тому, что с блокировками при работе с базой в этом месте нужно быть аккуратнее.

igrick

July 29 2011, 18:54:06 UTC 10 months ago

А когда пинговал?

1master

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

igrick

10 months ago

link
Collapse
Expand
New comment

1master

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

1master

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

1master

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

1master

10 months ago

link
Collapse
Expand
New comment

pe3yc

10 months ago

link
Collapse
Expand
New comment

dil

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

dil

10 months ago

link
Collapse
Expand
New comment

only4

July 29 2011, 16:58:57 UTC 10 months ago

straykov

July 29 2011, 17:30:56 UTC 10 months ago

прикол))

fregimus

10 months ago

link
Collapse
Expand
New comment

vserguey

July 29 2011, 17:21:40 UTC 10 months ago

Очень странно! Журнал доступен. Лента друзей доступна. Статистика доступна. Написать в журнал - хрена лысого, ошибка 505! Похоже на программный шит, а не серверный.

vserguey

July 29 2011, 17:28:43 UTC 10 months ago

Пардон! Не 505, а 500, если это что-то меняет

vserguey

10 months ago

link
Collapse
Expand
New comment

igrick

10 months ago

link
Collapse
Expand
New comment

vserguey

10 months ago

link
Collapse
Expand
New comment

mr_quietest

10 months ago

link
Collapse
Expand
New comment

...and 2 more comments... from

orleanz,

dil Expand

sverlovshik

July 29 2011, 18:52:02 UTC 10 months ago

Где его глаза?

crazyprotein

July 29 2011, 19:22:46 UTC 10 months ago

igrick

July 29 2011, 21:35:25 UTC 10 months ago

Толсто!

crazyprotein

10 months ago

link
Collapse
Expand
New comment

igrick

10 months ago

link
Collapse
Expand
New comment

crazyprotein

10 months ago

link
Collapse
Expand
New comment

igrick

10 months ago

link
Collapse
Expand
New comment

78ds

10 months ago

link
Collapse
Expand
New comment

neekogda

July 29 2011, 19:29:12 UTC 10 months ago

Илья, вы действительно думаете что все идиоты?

igrick

July 29 2011, 21:36:36 UTC 10 months ago

Нет, меня окружают умные люди, именно поэтому я им всем рассказываю правду.

Deleted comment

igrick

July 29 2011, 21:35:45 UTC 10 months ago

Я уже ответил, или еще надо?

mosomedve

July 29 2011, 21:01:04 UTC 10 months ago

какая фантастически конспирологическая версия!
жму вашу кривую руку, илья.
восхищена.

mosomedve

July 29 2011, 21:07:46 UTC 10 months ago

особенно вот это мне понравилось: "Я даже осмелюсь предположить, что с апрельских атак заказчики стали аккуратнее, и решили не связываться с регионами, где софт "Лаборатории" достаточно распространен и их можно было бы проще вычислить, поместив на карантин экземпляры вируса"

proforg

10 months ago

link
Collapse
Expand
New comment

mosomedve

10 months ago

link
Collapse
Expand
New comment

ciberkot

July 29 2011, 22:22:12 UTC 10 months ago

ребята, вы просто все ЖЖёте не по децки :)
Илья тут уже спрашивал одного комментатора про SVN, на что тот честно ответил, что не знает что это такое. Так вот я раскрою интригу - SVN эта такая штука без которой не обходится ни одно изменение в приложении. У него есть 2 наиполезнейшие и незаменимые функции
1. контроль изменений
2. возможность моментально откатиться на предыдущую версию.

эта система как раз сделана для защиты от "криворукости" админов, или скорее разработчиков. Т.е. даже допуская, что проблема изначально была вызвана кривым апдейтом, я не могу представить что админам понадобилось 6 часов просто на то чтобы откатить систему назад. За меньшее время можно запустить новый датацентр, восстановив все из резервных копий.

igrick

July 29 2011, 22:25:55 UTC 10 months ago

Спасибо!

mosomedve

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

mosomedve

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

mosomedve

10 months ago

link
Collapse
Expand
New comment

gegmopo4

10 months ago

link
Collapse
Expand
New comment

mosomedve

10 months ago

link
Collapse
Expand
New comment

wim_winter

10 months ago

link
Collapse
Expand
New comment

ciberkot

10 months ago

link
Collapse
Expand
New comment

...and 8 more comments... from

shurikh,

pe3yc,

ciberkot Expand

retto

July 30 2011, 06:56:52 UTC 10 months ago

Boт уже второй день не получается публиковать большие посты - 500 Internal Server Error. А мне как кинорецензисту это необходимо :-(
Причем у моего приятеля с его аккаунта этой проблемы не наблюдается. Вот, вчера вечером он написал - http://real-lain.livejournal.com/355919.html - а у меня и половина от такого размера не проходит :-(

bad

July 30 2011, 07:05:23 UTC 10 months ago

попробуйте сократить пост до 2048 символов. посты длинее жж уже не поддерживает)

retto

10 months ago

link
Collapse
Expand
New comment

fregimus

10 months ago

link
Collapse
Expand
New comment

coyoteodin

July 30 2011, 07:00:42 UTC 10 months ago

волнует - когда наконец починят?
(в службу поддержки писал - ответа пока не получил)
1. невозможно отправить НЕкороткий пост - выдаёт ошибку 500
2. отвалился визуальный редактор http://i017.radikal.ru/1107/bc/fdb56bed9288.jpg
3. не работает функция "выбрать метки"

:-(
когда наконец починят???????????????

Suspended comment

saruyoshi

July 30 2011, 09:11:47 UTC 10 months ago

Очень хочется узнать когда решится вопрос с постами более чем в 2048 символов. Или он уже решился и теперь вы стремительно движетесь в сторону Твиттера?

Где информация? Почему всё приходится выдёргивать из вас клещами? Что за бред?

zomaho

July 30 2011, 09:14:10 UTC 10 months ago

Нихуя мы вам не верим, вы криворукие пидарасы.

chuma3

July 30 2011, 10:42:42 UTC 10 months ago

Пр! А как на счет того, чтоб группа блогеров взяла у тебя интервью. Истерить не будем - бум спрашивать по существу. Если сомневаешься - можешь посмотреть у меня в журнале акции.
Например про тролля

sladkov89

July 30 2011, 11:07:15 UTC 10 months ago

Twitter Connect почините, пожалуйста.

Post a new comment
191 comments

Username:		Create an Account Forgot your login or password? OpenID Google Mail.Ru VKontakte
Password:
	Remember Me
	English • Español • Deutsch • Русский…

ПоDDoSил и бросил

Error

а я не удивился.

About

Help

Get Involved

Legal

LJ Labs

Store