Jump to content
Калькуляторы

DDOS жж, расскажите как.

Последние пару дней в СМИ пробегает информация о том, что ДДОСят ряд сервисови в частности жж. Расскажите, что за странный эффект, с "зацикливающимися" IP в трасерт?

 

 

Трассировка маршрута к livejournal.com [208.93.0.128]

 

с максимальным числом прыжков 30:

 

1 <1 мс <1 мс <1 мс 192.168.20.100

2 * * * Превышен интервал ожидания для запроса.

3 * * * Превышен интервал ожидания для запроса.

4 * * * Превышен интервал ожидания для запроса.

5 * * 25 ms m9-cr02-po4.msk.stream-internet.net [195.34.59.49]

6 4249 ms 25 ms 26 ms m9-cr01-po1.msk.stream-internet.net [195.34.59.53]

7 34 ms 34 ms 34 ms bor-cr01-po4.spb.stream-internet.net [195.34.53.126]

8 * 108 ms 110 ms anc-cr01-po3.ff.stream-internet.net [195.34.53.102]

9 * * 69 ms sl-gw10-fra-11-0-0.sprintlink.net [217.151.254.133]

10 * 69 ms 69 ms sl-bb21-fra-8-0-0.sprintlink.net [217.147.96.41]

11 70 ms 69 ms 69 ms sl-crs1-fra-0-8-0-0.sprintlink.net [217.147.96.76]

12 * 79 ms 77 ms sl-crs1-par-0-0-3-0.sprintlink.net [213.206.129.129]

13 151 ms 150 ms 151 ms sl-crs2-nyc-0-2-2-0.sprintlink.net [144.232.20.45]

14 156 ms 155 ms 155 ms 144.232.18.238

15 160 ms 157 ms 236 ms 0.xe-5-0-0.XL4.NYC4.ALTER.NET [152.63.3.117]

16 162 ms 158 ms 157 ms 0.so-4-2-0.XT2.DCA6.ALTER.NET [152.63.1.169]

17 * 159 ms 164 ms tengigabit9-1.SA2.DCA6.ALTER.NET [207.22.129.6]

18 * * 163 ms 207.22.129.9

19 161 ms 164 ms 165 ms 207.22.129.10

20 * * 164 ms 207.22.129.9

21 168 ms 165 ms 167 ms 207.22.129.10

22 173 ms 167 ms 168 ms 207.22.129.9

23 173 ms 171 ms 231 ms 207.22.129.9

24 172 ms 173 ms 171 ms 207.22.129.9

25 181 ms 467 ms 179 ms 207.22.129.10

26 177 ms 188 ms 185 ms 207.22.129.9

27 184 ms 189 ms 190 ms 207.22.129.10

28 188 ms 184 ms 186 ms 207.22.129.9

29 187 ms 188 ms 186 ms 207.22.129.10

30 182 ms 184 ms 185 ms 207.22.129.9

Трассировка завершена.

 

 

Ping при этом выдает тоже забавное:

 

> ping livejournal.com

 

Обмен пакетами с livejournal.com [208.93.0.128] по 32 байт:

 

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета.

Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета.

Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета.

Превышен интервал ожидания для запроса.

Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета.

Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета.

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

 

Ну и так далее...

Edited by Michail

Share this post


Link to post
Share on other sites

о и вас задело.

у нас такая же фигня. причем с одного ИП есть доступ а с соседнего нет.

 

продвинутый клиент сам написал в суппорт ЖЖ, на него завели тикет. если ответят дам знать

Share this post


Link to post
Share on other sites

Еще смешной эффект обнаружился.

Получаю новый IP из динамического пула МТУ, жж отлично работает аж секунд 30, после чего опять валится. Меняю IP - следующие 30 секунд работы. Можно читать, писать, отправлять комменты - прошло чуть-чуть времени - индейская национальная изба.

Похоже у жж включен такой кривой механизм борьбы с DDOS. Впрочем, сами они об этом не расскажут.

Share this post


Link to post
Share on other sites

значит у тебя зверек сидит. все просто

Share this post


Link to post
Share on other sites

  1    <1 ms    <1 ms    <1 ms  172.16.1.1
  2     2 ms     3 ms     1 ms  gw.maximuma.net [91.196.148.1]
  3     2 ms     1 ms     2 ms  world.gw.skif.com.ua [91.90.19.1]
  4    41 ms    40 ms    40 ms  212.162.19.65
  5    53 ms    53 ms    54 ms  vlan69.csw1.Frankfurt1.Level3.net [4.68.23.62]
  6    41 ms    41 ms    41 ms  ae-62-62.ebr2.Frankfurt1.Level3.net [4.69.140.17]
  7   132 ms   131 ms   131 ms  ae-44-44.ebr2.Washington1.Level3.net [4.69.137.62]
  8   143 ms   144 ms   143 ms  ae-62-62.csw1.Washington1.Level3.net [4.69.134.146]
  9   133 ms   133 ms   161 ms  ae-1-69.edge1.Washington4.Level3.net [4.68.17.18]
10   132 ms   132 ms   132 ms  mci-level3-te.washington4.Level3.net [4.68.63.170]
11   134 ms   133 ms   133 ms  0.ge-6-3-0.XL4.IAD8.ALTER.NET [152.63.33.122]
12   134 ms   134 ms   139 ms  0.so-7-0-0.XT2.DCA6.ALTER.NET [152.63.36.210]
13   141 ms   140 ms   140 ms  tengigabit9-1.SA2.DCA6.ALTER.NET [207.22.129.6]
14     *        *        *     Request timed out.
15   225 ms   226 ms   226 ms  livejournal.com [208.93.0.128]

Trace complete.

C:\Documents and Settings\Tester>ping -t livejournal.com

Pinging livejournal.com [208.93.0.128] with 32 bytes of data:

Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=228ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=227ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234

Ping statistics for 208.93.0.128:
    Packets: Sent = 10, Received = 10, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 226ms, Maximum = 228ms, Average = 226ms

Share this post


Link to post
Share on other sites
значит у тебя зверек сидит. все просто

Практически без шансов.

На машине актуальный антивирус + фаэрвол+все заплатки, да на шлюзе по SNMP Никакого левого трафика не видно.

Share this post


Link to post
Share on other sites
На машине актуальный антивирус + фаэрвол+все заплатки
это не дает 100% гарантии. сталкивался :)

верю только тспдампу. браузер какой?

Share this post


Link to post
Share on other sites

Гм, как на трасерт влияет браузер?

firefox 3.5.2

Share this post


Link to post
Share on other sites

А если в вашей сети действительно зверек завелся? Есть же у нас наты на много абонентов.

Share this post


Link to post
Share on other sites

Проблема только с трафиком проходящим через роутер tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6)

 

Проверил с 7 различных адресов одной подсети:

с .52 и .53 петля:

9 te8-4.mpd01.iad01.atlas.cogentco.com (130.117.1.173)

10 uunet.iad01.atlas.cogentco.com (154.54.13.138)

11 0.ge-5-1-0.XL4.IAD8.ALTER.NET (152.63.41.162)

12 0.so-7-0-0.XT2.DCA6.ALTER.NET (152.63.36.210)

13 tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6)

14 207.22.129.9 (207.22.129.9)

15 207.22.129.10 (207.22.129.10)

16 207.22.129.9 (207.22.129.9)

с .54 и .55:

11 0.ge-4-3-0.XL3.IAD8.ALTER.NET (152.63.41.50)

12 0.so-5-3-0.XT1.DCA6.ALTER.NET (152.63.0.137)

13 207.22.129.2 (207.22.129.2)

14 207.22.129.10 (207.22.129.10)

16 livejournal.com (208.93.0.128)

с .56 и .57 и .58:

12 0.ge-6-3-0.XL4.IAD8.ALTER.NET (152.63.33.122)

13 0.so-7-0-0.XT2.DCA6.ALTER.NET (152.63.36.210)

14 tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6)

15 207.22.129.9 (207.22.129.9)

16 207.22.129.10 (207.22.129.10)

17 192.168.1.74 (192.168.1.74)

18 livejournal.com (208.93.0.128)

 

Алгоритм распределения непонятен. Маршруты со временем не меняются.

 

Через других аплинков (например телия) проблем нет.

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

читай мой первый пост. проблема с одного ИП есть 80.64.*.98, с соседнего 80.64.*.97 - нет. вывод, ИПы банятся избирательно.

Share this post


Link to post
Share on other sites

ответ суппорта ЖЖ

Thank you for your report. As explained here:

http://community.livejournal.com/lj_maintenance/125027.html,

LiveJournal has been under a DDoS attack since Thursday. Please be

aware that a DDoS attack is simply focused heavy traffic, and is not

an attempt to gain access to anyone's account or personal information.

 

Because of the mitigation procedures required to keep the site up and

running, some users may not be able to access the site or post entries

or comments from some locations and browsers. This is not

account-specific, and you may be able to access the site from a

different computer or network. I apologize for the inconvenience, and

please be assured that service will be returned to normal as soon as

possible.

Share this post


Link to post
Share on other sites

мде

правильно, это все козни кровавой гэбни

Edited by separaf

Share this post


Link to post
Share on other sites

Ну да, притесняют православного грузина...

Но если воспринять за истину, что удалось заспамить н-милионов почтовых ящиков со ссылкой на блоги одного источника информации и все бросились одномомента позырить, чего он там написал - то это хорошая иллюстрация того, как одним флэш-мобом можно положить любой ресурс сети, нетратя денег...

Share this post


Link to post
Share on other sites

Гугл как обычно впереди планеты всей! 8-)

 

http://www1.abkhaziya.net/ - его же блог на мощностях Гугла.

Share this post


Link to post
Share on other sites

судя по тому что я понял из изучения темы, ддосили блог давно. несколько месяцев. в последнее время плюсом к блогу хацкеры уронили еще и твиттер, и фейсбук, и ЖЖ полностью, поэтому всех и всколыхнуло ))))

ддосят на таком уровне ботнетом из сотен тысяч-миллионов машин

Дегтярев Илья, часть ботнета могла быть в вашей сети

Share this post


Link to post
Share on other sites
Гугл как обычно впереди планеты всей! 8-)

его же блог на мощностях Гугла.

Дык вроде как доступен был. Но читать там нечего. Ответа на вопрос: "Почему российские танки не дошли до Тбилиси?" нет.

Share this post


Link to post
Share on other sites

Это было в Коммерсанте, кажется. Танкисты с ВДВ оказались без связи и пёрли вперёд, пока их не догнал осетинский милиционер на УАЗике и обычным голосом не сообщил, что операция окончена.

Share this post


Link to post
Share on other sites

Вот еще одна конспирологическая версия http://rusanalit.livejournal.com/772882.html

 

+++++++++++++++++++++

"Первый раз ЖЖ свалился через пару часов после того, как в топ вышла та самая запись про попил денег в Газпроме. До трогательной даты "080808" было ещё далеко, а вот неприятная запись висела на первом месте... Только открыть её было нельзя. Так она потихоньку и падает, падает.... Собственно, все попавшие в топ записи падают, но их перед этим читают. А эту читать не получится.

+++++++++++++++++++++

 

Так что не Осетией единой.

Share this post


Link to post
Share on other sites

Давно интересовал вопрос. А найуйха нам/вам эта политька?

Ну пытаются нами рульть какие-то люди, которе , как мы считаем, этого не заслукживют.

Ну таки в чем вопрос? Давайте все попрем во власть! Думаете у нас лучше плучится? Сомневаюсь.

Через пару лет точно так же будем работать за откаты. А кто будет заниматься связью? Опять студенты? Нет. Студенам нинче надо сразу вовласть без промежуточных этапов...

 

Пысы. Лет десять уже сдерживаю себя ка могу, чтобы не ввязываться в "бизнеспланы" районного и областного руководства, но видимо со временем придется или ввязаться и учавствовать в попиле ( не факт, что с пользой для себя) или послать всех нах и линять на остров Бали...

пыпысы. Я лично на этот остров хоть сейчас готов, но я не уверен, что ве остальные притершиеся к кормушке согласны. Да и островок Бали маловат...

Всех не вместит....

Одному скучновато юудет...

 

Господа. Все в нашей жизни временно...

ЖЖ седя банят - звтра он будет главним СМИ.

Газпром седня тырит бабло как может - завтра он он будет подгребать крохи...

Кто-то седня провайдер тьмутараканска, завтра или после завтра он владелец половины страны

Все в конце кончов встанет на круги своя...

 

Процесс наблюдением за процессом в определенном возрасте начинает доставлять удовольствие больше, чем сам процессс.....

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this