Michail Posted August 8, 2009 (edited) · Report post Последние пару дней в СМИ пробегает информация о том, что ДДОСят ряд сервисови в частности жж. Расскажите, что за странный эффект, с "зацикливающимися" IP в трасерт? Трассировка маршрута к livejournal.com [208.93.0.128] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 192.168.20.100 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * 25 ms m9-cr02-po4.msk.stream-internet.net [195.34.59.49] 6 4249 ms 25 ms 26 ms m9-cr01-po1.msk.stream-internet.net [195.34.59.53] 7 34 ms 34 ms 34 ms bor-cr01-po4.spb.stream-internet.net [195.34.53.126] 8 * 108 ms 110 ms anc-cr01-po3.ff.stream-internet.net [195.34.53.102] 9 * * 69 ms sl-gw10-fra-11-0-0.sprintlink.net [217.151.254.133] 10 * 69 ms 69 ms sl-bb21-fra-8-0-0.sprintlink.net [217.147.96.41] 11 70 ms 69 ms 69 ms sl-crs1-fra-0-8-0-0.sprintlink.net [217.147.96.76] 12 * 79 ms 77 ms sl-crs1-par-0-0-3-0.sprintlink.net [213.206.129.129] 13 151 ms 150 ms 151 ms sl-crs2-nyc-0-2-2-0.sprintlink.net [144.232.20.45] 14 156 ms 155 ms 155 ms 144.232.18.238 15 160 ms 157 ms 236 ms 0.xe-5-0-0.XL4.NYC4.ALTER.NET [152.63.3.117] 16 162 ms 158 ms 157 ms 0.so-4-2-0.XT2.DCA6.ALTER.NET [152.63.1.169] 17 * 159 ms 164 ms tengigabit9-1.SA2.DCA6.ALTER.NET [207.22.129.6] 18 * * 163 ms 207.22.129.9 19 161 ms 164 ms 165 ms 207.22.129.10 20 * * 164 ms 207.22.129.9 21 168 ms 165 ms 167 ms 207.22.129.10 22 173 ms 167 ms 168 ms 207.22.129.9 23 173 ms 171 ms 231 ms 207.22.129.9 24 172 ms 173 ms 171 ms 207.22.129.9 25 181 ms 467 ms 179 ms 207.22.129.10 26 177 ms 188 ms 185 ms 207.22.129.9 27 184 ms 189 ms 190 ms 207.22.129.10 28 188 ms 184 ms 186 ms 207.22.129.9 29 187 ms 188 ms 186 ms 207.22.129.10 30 182 ms 184 ms 185 ms 207.22.129.9 Трассировка завершена. Ping при этом выдает тоже забавное: > ping livejournal.com Обмен пакетами с livejournal.com [208.93.0.128] по 32 байт: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета. Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета. Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета. Превышен интервал ожидания для запроса. Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета. Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Ну и так далее... Edited August 8, 2009 by Michail Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted August 8, 2009 · Report post о и вас задело. у нас такая же фигня. причем с одного ИП есть доступ а с соседнего нет. продвинутый клиент сам написал в суппорт ЖЖ, на него завели тикет. если ответят дам знать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Michail Posted August 8, 2009 · Report post Еще смешной эффект обнаружился. Получаю новый IP из динамического пула МТУ, жж отлично работает аж секунд 30, после чего опять валится. Меняю IP - следующие 30 секунд работы. Можно читать, писать, отправлять комменты - прошло чуть-чуть времени - индейская национальная изба. Похоже у жж включен такой кривой механизм борьбы с DDOS. Впрочем, сами они об этом не расскажут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted August 8, 2009 · Report post значит у тебя зверек сидит. все просто Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Px- Posted August 8, 2009 · Report post 1 <1 ms <1 ms <1 ms 172.16.1.1 2 2 ms 3 ms 1 ms gw.maximuma.net [91.196.148.1] 3 2 ms 1 ms 2 ms world.gw.skif.com.ua [91.90.19.1] 4 41 ms 40 ms 40 ms 212.162.19.65 5 53 ms 53 ms 54 ms vlan69.csw1.Frankfurt1.Level3.net [4.68.23.62] 6 41 ms 41 ms 41 ms ae-62-62.ebr2.Frankfurt1.Level3.net [4.69.140.17] 7 132 ms 131 ms 131 ms ae-44-44.ebr2.Washington1.Level3.net [4.69.137.62] 8 143 ms 144 ms 143 ms ae-62-62.csw1.Washington1.Level3.net [4.69.134.146] 9 133 ms 133 ms 161 ms ae-1-69.edge1.Washington4.Level3.net [4.68.17.18] 10 132 ms 132 ms 132 ms mci-level3-te.washington4.Level3.net [4.68.63.170] 11 134 ms 133 ms 133 ms 0.ge-6-3-0.XL4.IAD8.ALTER.NET [152.63.33.122] 12 134 ms 134 ms 139 ms 0.so-7-0-0.XT2.DCA6.ALTER.NET [152.63.36.210] 13 141 ms 140 ms 140 ms tengigabit9-1.SA2.DCA6.ALTER.NET [207.22.129.6] 14 * * * Request timed out. 15 225 ms 226 ms 226 ms livejournal.com [208.93.0.128] Trace complete. C:\Documents and Settings\Tester>ping -t livejournal.com Pinging livejournal.com [208.93.0.128] with 32 bytes of data: Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Reply from 208.93.0.128: bytes=32 time=228ms TTL=234 Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Reply from 208.93.0.128: bytes=32 time=227ms TTL=234 Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Reply from 208.93.0.128: bytes=32 time=226ms TTL=234 Ping statistics for 208.93.0.128: Packets: Sent = 10, Received = 10, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 226ms, Maximum = 228ms, Average = 226ms Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Michail Posted August 8, 2009 · Report post значит у тебя зверек сидит. все просто Практически без шансов. На машине актуальный антивирус + фаэрвол+все заплатки, да на шлюзе по SNMP Никакого левого трафика не видно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted August 8, 2009 · Report post На машине актуальный антивирус + фаэрвол+все заплаткиэто не дает 100% гарантии. сталкивался :) верю только тспдампу. браузер какой? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korobeynikov Posted August 8, 2009 · Report post угу, напишите какой у Вас браузер! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Michail Posted August 8, 2009 · Report post Гм, как на трасерт влияет браузер? firefox 3.5.2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chainick Posted August 8, 2009 · Report post А если в вашей сети действительно зверек завелся? Есть же у нас наты на много абонентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дегтярев Илья Posted August 8, 2009 (edited) · Report post Проблема только с трафиком проходящим через роутер tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6) Проверил с 7 различных адресов одной подсети: с .52 и .53 петля: 9 te8-4.mpd01.iad01.atlas.cogentco.com (130.117.1.173) 10 uunet.iad01.atlas.cogentco.com (154.54.13.138) 11 0.ge-5-1-0.XL4.IAD8.ALTER.NET (152.63.41.162) 12 0.so-7-0-0.XT2.DCA6.ALTER.NET (152.63.36.210) 13 tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6) 14 207.22.129.9 (207.22.129.9) 15 207.22.129.10 (207.22.129.10) 16 207.22.129.9 (207.22.129.9) с .54 и .55: 11 0.ge-4-3-0.XL3.IAD8.ALTER.NET (152.63.41.50) 12 0.so-5-3-0.XT1.DCA6.ALTER.NET (152.63.0.137) 13 207.22.129.2 (207.22.129.2) 14 207.22.129.10 (207.22.129.10) 16 livejournal.com (208.93.0.128) с .56 и .57 и .58: 12 0.ge-6-3-0.XL4.IAD8.ALTER.NET (152.63.33.122) 13 0.so-7-0-0.XT2.DCA6.ALTER.NET (152.63.36.210) 14 tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6) 15 207.22.129.9 (207.22.129.9) 16 207.22.129.10 (207.22.129.10) 17 192.168.1.74 (192.168.1.74) 18 livejournal.com (208.93.0.128) Алгоритм распределения непонятен. Маршруты со временем не меняются. Через других аплинков (например телия) проблем нет. Edited August 8, 2009 by Дегтярев Илья Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted August 8, 2009 · Report post читай мой первый пост. проблема с одного ИП есть 80.64.*.98, с соседнего 80.64.*.97 - нет. вывод, ИПы банятся избирательно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted August 8, 2009 · Report post ответ суппорта ЖЖ Thank you for your report. As explained here:http://community.livejournal.com/lj_maintenance/125027.html, LiveJournal has been under a DDoS attack since Thursday. Please be aware that a DDoS attack is simply focused heavy traffic, and is not an attempt to gain access to anyone's account or personal information. Because of the mitigation procedures required to keep the site up and running, some users may not be able to access the site or post entries or comments from some locations and browsers. This is not account-specific, and you may be able to access the site from a different computer or network. I apologize for the inconvenience, and please be assured that service will be returned to normal as soon as possible. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LaoWang Posted August 8, 2009 · Report post А вы еще не знаете причину? http://www.guardian.co.uk/world/2009/aug/0...a?commentpage=1 http://pda.lenta.ru/news/2009/08/08/blame/ http://www1.abkhaziya.net/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
separaf Posted August 8, 2009 (edited) · Report post мде правильно, это все козни кровавой гэбни Edited August 8, 2009 by separaf Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexBT Posted August 8, 2009 · Report post Ну да, притесняют православного грузина... Но если воспринять за истину, что удалось заспамить н-милионов почтовых ящиков со ссылкой на блоги одного источника информации и все бросились одномомента позырить, чего он там написал - то это хорошая иллюстрация того, как одним флэш-мобом можно положить любой ресурс сети, нетратя денег... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vIv Posted August 8, 2009 · Report post Гугл как обычно впереди планеты всей! 8-) http://www1.abkhaziya.net/ - его же блог на мощностях Гугла. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дегтярев Илья Posted August 8, 2009 · Report post Станный у них ддос-фильтр, если учесть, что с моих адресов ни одного запроса на сайты быть не могло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vanger_ Posted August 9, 2009 · Report post судя по тому что я понял из изучения темы, ддосили блог давно. несколько месяцев. в последнее время плюсом к блогу хацкеры уронили еще и твиттер, и фейсбук, и ЖЖ полностью, поэтому всех и всколыхнуло )))) ддосят на таком уровне ботнетом из сотен тысяч-миллионов машин Дегтярев Илья, часть ботнета могла быть в вашей сети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexBT Posted August 9, 2009 · Report post Гугл как обычно впереди планеты всей! 8-)его же блог на мощностях Гугла. Дык вроде как доступен был. Но читать там нечего. Ответа на вопрос: "Почему российские танки не дошли до Тбилиси?" нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vIv Posted August 9, 2009 · Report post Это было в Коммерсанте, кажется. Танкисты с ВДВ оказались без связи и пёрли вперёд, пока их не догнал осетинский милиционер на УАЗике и обычным голосом не сообщил, что операция окончена. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Michail Posted August 9, 2009 · Report post Вот еще одна конспирологическая версия http://rusanalit.livejournal.com/772882.html +++++++++++++++++++++ "Первый раз ЖЖ свалился через пару часов после того, как в топ вышла та самая запись про попил денег в Газпроме. До трогательной даты "080808" было ещё далеко, а вот неприятная запись висела на первом месте... Только открыть её было нельзя. Так она потихоньку и падает, падает.... Собственно, все попавшие в топ записи падают, но их перед этим читают. А эту читать не получится. +++++++++++++++++++++ Так что не Осетией единой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vIv Posted August 9, 2009 · Report post Не верится, "эта самая запись" прекрасно доступна Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
20512 Posted August 9, 2009 · Report post Давно интересовал вопрос. А найуйха нам/вам эта политька? Ну пытаются нами рульть какие-то люди, которе , как мы считаем, этого не заслукживют. Ну таки в чем вопрос? Давайте все попрем во власть! Думаете у нас лучше плучится? Сомневаюсь. Через пару лет точно так же будем работать за откаты. А кто будет заниматься связью? Опять студенты? Нет. Студенам нинче надо сразу вовласть без промежуточных этапов... Пысы. Лет десять уже сдерживаю себя ка могу, чтобы не ввязываться в "бизнеспланы" районного и областного руководства, но видимо со временем придется или ввязаться и учавствовать в попиле ( не факт, что с пользой для себя) или послать всех нах и линять на остров Бали... пыпысы. Я лично на этот остров хоть сейчас готов, но я не уверен, что ве остальные притершиеся к кормушке согласны. Да и островок Бали маловат... Всех не вместит.... Одному скучновато юудет... Господа. Все в нашей жизни временно... ЖЖ седя банят - звтра он будет главним СМИ. Газпром седня тырит бабло как может - завтра он он будет подгребать крохи... Кто-то седня провайдер тьмутараканска, завтра или после завтра он владелец половины страны Все в конце кончов встанет на круги своя... Процесс наблюдением за процессом в определенном возрасте начинает доставлять удовольствие больше, чем сам процессс..... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vIv Posted August 9, 2009 · Report post Идеалист ты, тёзка... На самом деле ТАМ интересно, но только ставки немного высоковаты (на мой взгляд). Вот т. Чигиринский жилья лишился Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
