[kostich]

Ну, кто наблюдал? Один из громких ресурсов убился на облачном хостинге, слон валяется вместе с qrator.net (highloadlab), Носик в ЖЖ хвастается как они все геройски там отбились от школодосеров... Слон, кстати, после того как поднялся, упал уже на qrator-е... и картанарушений там же валяется, в плане не работает... эхо валяется в центрохосте... давно такой клоунады не видел... школодосеры отжигают.

 

пысы. А МГУшники со всеми клиентосами лежат?

[ipaddr.ru]

Уж обозрел так обозрел.

$ dig +short www.golos.org
golosorg.heroku.com.
127.0.0.1

[kostich]

Уж обозрел так обозрел.

$ dig +short www.golos.org
golosorg.heroku.com.
127.0.0.1

 

во, heroku.com это и есть этот облачный гигант... поди облако все бабки сожрало.

[kostich]

ipaddr.ru, а с эхом реально смешно. с того хостинга к нам регулярно кого-то присылали, причем на уровне технарей клиентам рекомендуют. сутки тестовые даём... почему эхо не прислали совсем уж интересно... вот напрашиваются думки, что всем этим сайтам интересно было лежать... как можно громче лежать.

[ipaddr.ru]

Я вспоминаю историю, когда каспаровский сайт с американского хостинга не работал. И не то чтобы интересно было лежать, но адекватно воспринять советы в ЖЖ что-то помешало. А косяк был где-то с TCP window, деталей уж не вспомню.

Еще проблемы с bogonised сетями /8 можно вспомнить. Опять-таки, сообщить о политическом давлении проще, чем разобраться в технической проблеме.

 

Впору свой anti-DDoS бизнес открывать. С монстрами не конкурировать, но свой кусок рынка скушать :)

[kostich]

Впору свой anti-DDoS бизнес открывать. С монстрами не конкурировать, но свой кусок рынка скушать :)

 

осталось придумать кто будет платить за транзит :)

 

А косяк был где-то с TCP window, деталей уж не вспомню.

 

ну возможно я писал. в школоботах win обычно статичный и на нормальный win в синпакете не тянет. суперкрутые железки любят всякие рандомы и невалидную статику, но когда дело доходит до валидных пакетов там все подряд шизеть начинает. в двух словах объяснить сложно. главное этого синфлуда подропать можно сколько угодно на обычном сервере.

 

Я вспоминаю историю, когда каспаровский сайт ...

 

сегодня прочитал про ДДОС на сайт ДПНИ... о, млять, у них еще остался сайт... это был пик восторга.

[vIv]

Носик в ЖЖ хвастается как они все геройски там отбились

Только хвастается он в Твиттере :-)

[kostich]

Носик в ЖЖ хвастается как они все геройски там отбились

Только хвастается он в Твиттере :-)

 

на днях слышал как они ушли в пролексик и там успели поваляться...

[kostich]

поднялся слон... поднялся и куратор. эхо вроде протупляет. в общем день ддоса подозреваю заканчивается. голос валяется еще.

 

Сеть фильтрации мирового уровня

 

QRATOR – это всероссийская распределенная сеть, узлы которой расположены на крупнейших сетевых магистралях страны. Подобная архитектура наиболее надежна и отказоустойчива, позволяет подавлять мультигигабитные атаки, обрабатывать миллионы запросов в секунду, обеспечивать круглосуточный надежный доступ к защищаему ресурсу из любой точки мира.

 

Highloadlab - единственная в России компания, специализирующаяся на изучении и создании комплексных мер противодействия DDoS атакам. Мы первые в мире построили национальную сеть фильтрации данных, состояющую из узлов связи, расположенных у крупнейших магистральных операторов. Это позволило разработать принципиально иные решения, обладающие на порядок большей устойчивостью и надежностью по сравнению с аналогами.

 

очень хочется послушать из первых уст чем их вместе со всеми клиентам накрыли.

 

http://www.lenta.ru/news/2011/12/04/backtolife/

[saaremaa]

Точка. Экстренный выпуск про DDOS

[kostich]

Точка. Экстренный выпуск про DDOS

 

опять фигню прогнали...

[zurz]

опять фигню прогнали...

если точнее, то пожевали сопли

Изменено 4 декабря, 2011 пользователем zurz

[kostich]

опять фигню прогнали...

если точнее, то пожевали сопли

 

ну да, а примеры ддос запросов висят на stopddos.ru.. ничего нового школодосеры пока не изобрели.

[Zaqwr]

ресурсы банально не выдержали наплыва пользователей )

[kostich]

ресурсы банально не выдержали наплыва пользователей )

 

это всё бред от экспертов с хонейпотами. у ЖЖ на фронтах несколько гигабитных дырок... ну не придумали они еще балансеры с десятками. для убития этих дырок нужно всего-то чуть чуть mpps канального флуда. следовательно для этого нужно несколько дедиков в ДЦ где разрешен спуфинг. когда на нашего клиентоса заливали 6mpps, то вваливало это через пир от de-cix... узнать MAC адрес участника сливавшего спуфинг не представилось возможным из-за отсутствия технической возможности... в очередной раз причем.

[s.lobanov]

узнать MAC адрес участника сливавшего спуфинг не представилось возможным из-за отсутствия технической возможности... в очередной раз причем.

 

По-моему это вообще не самая простая задача. Ну вот есть например стык 1.1.1.1<->1.1.1.2 . Участник 1.1.1.1 льёт трафик с левым source ip. Каким образом участник 1.1.1.2 может посмотреть что на него льют трафик с source ip x.y.z.v? Вешать ACL с permit x.y.z.v и смотреть матчи?

[st_re]

Если есть стык 1111-1112 то тут хотя бы понятно от кого льется. На всяких -IX даже не ясно от кого льется, если мака нету. там может быть 1000 разных операторов и не ясно даже кому писать то. Все ж в 1 сегменте.

[karpa13a]

Все ж в 1 сегменте.

скачок исходняка?

[s.lobanov]

Да это понятно всё. Я просто свёл задачу к точке-точке, даже в этом случае не ясно на какой интерфейс приходит трафик, если стыков более одного. В случае IX единственный вариант как я себе вижу это делать span по ACL(на стороне получателя) и смотреть мак-адрес негодяя

[kostich]

В случае IX единственный вариант как я себе вижу это делать span по ACL(на стороне получателя) и смотреть мак-адрес негодяя

 

когда дырки были маленькие, то можно было отмирорить и посмотреть...

 

На всяких -IX даже не ясно от кого льется, если мака нету.

 

MAC-а не может не быть.

[visir]

В случае IX единственный вариант как я себе вижу это делать span по ACL(на стороне получателя) и смотреть мак-адрес негодяя

У J есть такой вариант: http://www.mail-archive.com/juniper-nsp@puck.nether.net/msg00410.html

- рисуем графики (заменяя маки на ip из arp-таблицы), смотрим где прыгнуло

[st_re]

 

На всяких -IX даже не ясно от кого льется, если мака нету.

 

MAC-а не может не быть.

 

Эээ.. Ваши слова выше были что "не было технической возможности" ? понятно, что в L2 мак есть. Его нету у Вас.

[ipaddr.ru]

Название : ООО «ДДОС ЗАЩИТА»

ИНН / КПП : 3250513120/325001001

Юридический/Почтовый адрес : 241050, г. Брянск, ул. Урицого, д. 9а

 

kostich, фамилию революционера на сайте напишите без ошибки :)

[kostich]

kostich, фамилию революционера на сайте напишите без ошибки :)

 

спасибо за пятое напоминание :)

[kostich]

http://e-kaspersky.livejournal.com/91536.html

 

Еще раз. Мы, конечно же, видим не все ддос-атаки. Что-то проскальзывает и мимо нас. Но оно проскочило и мимо всех других компаний, которые занимаются изучением или защитой от ддос-атак. Т.е., если атака действительно была - то это был не ддос, а что-то другое. Но, скорее всего, атаки с использованием ботнетов просто не было.

 

отожгли :%)

 

3.1. Серьёзные Ддосы мы бы заметили, скорее всего.

 

либо Евгению его специалисты протирают мозги, либо он реально ограничен в понимании сути вопроса.