DDOS жж, расскажите как.

Michail · August 8, 2009

Последние пару дней в СМИ пробегает информация о том, что ДДОСят ряд сервисови в частности жж. Расскажите, что за странный эффект, с "зацикливающимися" IP в трасерт?

Трассировка маршрута к livejournal.com [208.93.0.128]

с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.20.100

2 * * * Превышен интервал ожидания для запроса.

3 * * * Превышен интервал ожидания для запроса.

4 * * * Превышен интервал ожидания для запроса.

5 * * 25 ms m9-cr02-po4.msk.stream-internet.net [195.34.59.49]

6 4249 ms 25 ms 26 ms m9-cr01-po1.msk.stream-internet.net [195.34.59.53]

7 34 ms 34 ms 34 ms bor-cr01-po4.spb.stream-internet.net [195.34.53.126]

8 * 108 ms 110 ms anc-cr01-po3.ff.stream-internet.net [195.34.53.102]

9 * * 69 ms sl-gw10-fra-11-0-0.sprintlink.net [217.151.254.133]

10 * 69 ms 69 ms sl-bb21-fra-8-0-0.sprintlink.net [217.147.96.41]

11 70 ms 69 ms 69 ms sl-crs1-fra-0-8-0-0.sprintlink.net [217.147.96.76]

12 * 79 ms 77 ms sl-crs1-par-0-0-3-0.sprintlink.net [213.206.129.129]

13 151 ms 150 ms 151 ms sl-crs2-nyc-0-2-2-0.sprintlink.net [144.232.20.45]

14 156 ms 155 ms 155 ms 144.232.18.238

15 160 ms 157 ms 236 ms 0.xe-5-0-0.XL4.NYC4.ALTER.NET [152.63.3.117]

16 162 ms 158 ms 157 ms 0.so-4-2-0.XT2.DCA6.ALTER.NET [152.63.1.169]

17 * 159 ms 164 ms tengigabit9-1.SA2.DCA6.ALTER.NET [207.22.129.6]

18 * * 163 ms 207.22.129.9

19 161 ms 164 ms 165 ms 207.22.129.10

20 * * 164 ms 207.22.129.9

21 168 ms 165 ms 167 ms 207.22.129.10

22 173 ms 167 ms 168 ms 207.22.129.9

23 173 ms 171 ms 231 ms 207.22.129.9

24 172 ms 173 ms 171 ms 207.22.129.9

25 181 ms 467 ms 179 ms 207.22.129.10

26 177 ms 188 ms 185 ms 207.22.129.9

27 184 ms 189 ms 190 ms 207.22.129.10

28 188 ms 184 ms 186 ms 207.22.129.9

29 187 ms 188 ms 186 ms 207.22.129.10

30 182 ms 184 ms 185 ms 207.22.129.9

Трассировка завершена.

Ping при этом выдает тоже забавное:

> ping livejournal.com

Обмен пакетами с livejournal.com [208.93.0.128] по 32 байт:

Превышен интервал ожидания для запроса.

Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета.

Превышен интервал ожидания для запроса.

Ответ от 207.22.129.9: Превышен срок жизни (TTL) при передаче пакета.

Превышен интервал ожидания для запроса.

Ну и так далее...

Edited August 8, 2009 by Michail

woddy · August 8, 2009

о и вас задело.

у нас такая же фигня. причем с одного ИП есть доступ а с соседнего нет.

продвинутый клиент сам написал в суппорт ЖЖ, на него завели тикет. если ответят дам знать

Michail · August 8, 2009

Еще смешной эффект обнаружился.

Получаю новый IP из динамического пула МТУ, жж отлично работает аж секунд 30, после чего опять валится. Меняю IP - следующие 30 секунд работы. Можно читать, писать, отправлять комменты - прошло чуть-чуть времени - индейская национальная изба.

Похоже у жж включен такой кривой механизм борьбы с DDOS. Впрочем, сами они об этом не расскажут.

woddy · August 8, 2009

значит у тебя зверек сидит. все просто

-Px- · August 8, 2009

  1    <1 ms    <1 ms    <1 ms  172.16.1.1
  2     2 ms     3 ms     1 ms  gw.maximuma.net [91.196.148.1]
  3     2 ms     1 ms     2 ms  world.gw.skif.com.ua [91.90.19.1]
  4    41 ms    40 ms    40 ms  212.162.19.65
  5    53 ms    53 ms    54 ms  vlan69.csw1.Frankfurt1.Level3.net [4.68.23.62]
  6    41 ms    41 ms    41 ms  ae-62-62.ebr2.Frankfurt1.Level3.net [4.69.140.17]
  7   132 ms   131 ms   131 ms  ae-44-44.ebr2.Washington1.Level3.net [4.69.137.62]
  8   143 ms   144 ms   143 ms  ae-62-62.csw1.Washington1.Level3.net [4.69.134.146]
  9   133 ms   133 ms   161 ms  ae-1-69.edge1.Washington4.Level3.net [4.68.17.18]
10   132 ms   132 ms   132 ms  mci-level3-te.washington4.Level3.net [4.68.63.170]
11   134 ms   133 ms   133 ms  0.ge-6-3-0.XL4.IAD8.ALTER.NET [152.63.33.122]
12   134 ms   134 ms   139 ms  0.so-7-0-0.XT2.DCA6.ALTER.NET [152.63.36.210]
13   141 ms   140 ms   140 ms  tengigabit9-1.SA2.DCA6.ALTER.NET [207.22.129.6]
14     *        *        *     Request timed out.
15   225 ms   226 ms   226 ms  livejournal.com [208.93.0.128]

Trace complete.

C:\Documents and Settings\Tester>ping -t livejournal.com

Pinging livejournal.com [208.93.0.128] with 32 bytes of data:

Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=228ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=227ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234
Reply from 208.93.0.128: bytes=32 time=226ms TTL=234

Ping statistics for 208.93.0.128:
    Packets: Sent = 10, Received = 10, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 226ms, Maximum = 228ms, Average = 226ms

Michail · August 8, 2009

значит у тебя зверек сидит. все просто

Практически без шансов.

На машине актуальный антивирус + фаэрвол+все заплатки, да на шлюзе по SNMP Никакого левого трафика не видно.

woddy · August 8, 2009

На машине актуальный антивирус + фаэрвол+все заплатки

это не дает 100% гарантии. сталкивался :)

верю только тспдампу. браузер какой?

korobeynikov · August 8, 2009

угу, напишите какой у Вас браузер!

Michail · August 8, 2009

Гм, как на трасерт влияет браузер?

firefox 3.5.2

chainick · August 8, 2009

А если в вашей сети действительно зверек завелся? Есть же у нас наты на много абонентов.

Дегтярев Илья · August 8, 2009

Проблема только с трафиком проходящим через роутер tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6)

Проверил с 7 различных адресов одной подсети:

с .52 и .53 петля:

9 te8-4.mpd01.iad01.atlas.cogentco.com (130.117.1.173)

10 uunet.iad01.atlas.cogentco.com (154.54.13.138)

11 0.ge-5-1-0.XL4.IAD8.ALTER.NET (152.63.41.162)

12 0.so-7-0-0.XT2.DCA6.ALTER.NET (152.63.36.210)

13 tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6)

14 207.22.129.9 (207.22.129.9)

15 207.22.129.10 (207.22.129.10)

16 207.22.129.9 (207.22.129.9)

с .54 и .55:

11 0.ge-4-3-0.XL3.IAD8.ALTER.NET (152.63.41.50)

12 0.so-5-3-0.XT1.DCA6.ALTER.NET (152.63.0.137)

13 207.22.129.2 (207.22.129.2)

14 207.22.129.10 (207.22.129.10)

16 livejournal.com (208.93.0.128)

с .56 и .57 и .58:

12 0.ge-6-3-0.XL4.IAD8.ALTER.NET (152.63.33.122)

13 0.so-7-0-0.XT2.DCA6.ALTER.NET (152.63.36.210)

14 tengigabit9-1.SA2.DCA6.ALTER.NET (207.22.129.6)

15 207.22.129.9 (207.22.129.9)

16 207.22.129.10 (207.22.129.10)

17 192.168.1.74 (192.168.1.74)

18 livejournal.com (208.93.0.128)

Алгоритм распределения непонятен. Маршруты со временем не меняются.

Через других аплинков (например телия) проблем нет.

Edited August 8, 2009 by Дегтярев Илья

woddy · August 8, 2009

читай мой первый пост. проблема с одного ИП есть 80.64.*.98, с соседнего 80.64.*.97 - нет. вывод, ИПы банятся избирательно.

woddy · August 8, 2009

ответ суппорта ЖЖ

Thank you for your report. As explained here:
http://community.livejournal.com/lj_maintenance/125027.html,

LiveJournal has been under a DDoS attack since Thursday. Please be

aware that a DDoS attack is simply focused heavy traffic, and is not

an attempt to gain access to anyone's account or personal information.

Because of the mitigation procedures required to keep the site up and

running, some users may not be able to access the site or post entries

or comments from some locations and browsers. This is not

account-specific, and you may be able to access the site from a

different computer or network. I apologize for the inconvenience, and

please be assured that service will be returned to normal as soon as

possible.

LaoWang · August 8, 2009

А вы еще не знаете причину?

http://www.guardian.co.uk/world/2009/aug/0...a?commentpage=1

http://pda.lenta.ru/news/2009/08/08/blame/

http://www1.abkhaziya.net/

separaf · August 8, 2009

мде

правильно, это все козни кровавой гэбни

Edited August 8, 2009 by separaf

AlexBT · August 8, 2009

Ну да, притесняют православного грузина...

Но если воспринять за истину, что удалось заспамить н-милионов почтовых ящиков со ссылкой на блоги одного источника информации и все бросились одномомента позырить, чего он там написал - то это хорошая иллюстрация того, как одним флэш-мобом можно положить любой ресурс сети, нетратя денег...

vIv · August 8, 2009

Гугл как обычно впереди планеты всей! 8-)

http://www1.abkhaziya.net/ - его же блог на мощностях Гугла.

Дегтярев Илья · August 8, 2009

Станный у них ддос-фильтр, если учесть, что с моих адресов ни одного запроса на сайты быть не могло.

Vanger_ · August 9, 2009

судя по тому что я понял из изучения темы, ддосили блог давно. несколько месяцев. в последнее время плюсом к блогу хацкеры уронили еще и твиттер, и фейсбук, и ЖЖ полностью, поэтому всех и всколыхнуло ))))

ддосят на таком уровне ботнетом из сотен тысяч-миллионов машин

Дегтярев Илья, часть ботнета могла быть в вашей сети

AlexBT · August 9, 2009

Гугл как обычно впереди планеты всей! 8-)
его же блог на мощностях Гугла.

Дык вроде как доступен был. Но читать там нечего. Ответа на вопрос: "Почему российские танки не дошли до Тбилиси?" нет.

vIv · August 9, 2009

Это было в Коммерсанте, кажется. Танкисты с ВДВ оказались без связи и пёрли вперёд, пока их не догнал осетинский милиционер на УАЗике и обычным голосом не сообщил, что операция окончена.

Michail · August 9, 2009

Вот еще одна конспирологическая версия http://rusanalit.livejournal.com/772882.html

+++++++++++++++++++++

"Первый раз ЖЖ свалился через пару часов после того, как в топ вышла та самая запись про попил денег в Газпроме. До трогательной даты "080808" было ещё далеко, а вот неприятная запись висела на первом месте... Только открыть её было нельзя. Так она потихоньку и падает, падает.... Собственно, все попавшие в топ записи падают, но их перед этим читают. А эту читать не получится.

+++++++++++++++++++++

Так что не Осетией единой.

vIv · August 9, 2009

Не верится, "эта самая запись" прекрасно доступна

3.4k · August 9, 2009

Давно интересовал вопрос. А найуйха нам/вам эта политька?

Ну пытаются нами рульть какие-то люди, которе , как мы считаем, этого не заслукживют.

Ну таки в чем вопрос? Давайте все попрем во власть! Думаете у нас лучше плучится? Сомневаюсь.

Через пару лет точно так же будем работать за откаты. А кто будет заниматься связью? Опять студенты? Нет. Студенам нинче надо сразу вовласть без промежуточных этапов...

Пысы. Лет десять уже сдерживаю себя ка могу, чтобы не ввязываться в "бизнеспланы" районного и областного руководства, но видимо со временем придется или ввязаться и учавствовать в попиле ( не факт, что с пользой для себя) или послать всех нах и линять на остров Бали...

пыпысы. Я лично на этот остров хоть сейчас готов, но я не уверен, что ве остальные притершиеся к кормушке согласны. Да и островок Бали маловат...

Всех не вместит....

Одному скучновато юудет...

Господа. Все в нашей жизни временно...

ЖЖ седя банят - звтра он будет главним СМИ.

Газпром седня тырит бабло как может - завтра он он будет подгребать крохи...

Кто-то седня провайдер тьмутараканска, завтра или после завтра он владелец половины страны

Все в конце кончов встанет на круги своя...

Процесс наблюдением за процессом в определенном возрасте начинает доставлять удовольствие больше, чем сам процессс.....

vIv · August 9, 2009

Идеалист ты, тёзка...

На самом деле ТАМ интересно, но только ставки немного высоковаты (на мой взгляд). Вот т. Чигиринский жилья лишился

Sign In

DDOS жж, расскажите как.

Recommended Posts

Michail

woddy

Michail

woddy

-Px-

Michail

woddy

korobeynikov

Michail

chainick

Дегтярев Илья

woddy

woddy

LaoWang

separaf

AlexBT

vIv

Дегтярев Илья

Vanger_

AlexBT

vIv

Michail

vIv

20512

vIv

Join the conversation