[kostich]

а маразм тем временем реально крепчает.

 

http://slon.ru/russia/ddos_ataki_na_nezavisimye_smi_kto_eto_sdelal_i_skolko_eto_stoit_-721912.xhtml

 

Александр Лямин, генеральный директор компании Qrator (занимавшейся отражением атаки на Slon, «Эхо Москвы» и ряд других сайтов), рассказал, что атака на Slon могла обойтись заказчикам в несколько десятков тысяч долларов в сутки.

 

 

«Скорость [входящего трафика] достигала 250 мегабит на пике (при пропускной способности стандартного канала – 100 мегабит), и это не самая серьезная атака, которую мы видели, – но она определенно находится на верхнем пределе. По нашей выборке, политика находится в верхней группе риска, ни один, даже самый серьезный бизнес, не рискует так, как независимое СМИ. Например, похожую ситуацию с атаками на СМИ мы наблюдали на региональных выборах полтора года назад», – рассказал Лямин.

 

 

По его словам, Slon атаковали люди, работавшие командой и посменно. Это можно было отследить по пикам нагрузок (первая атака закончилась в 5 утра воскресенья, вторая началась в 9 утра). Атака велась с помощью ботнета, состоящего из примерно 250 000 зараженных компьютеров. Это довольно много для Рунета, где средняя DDoS-атака проводится с помощью сети в 5 000 компьютеров. DDoS-атака была интернациональной: эксперты зафиксировали активность «посетителей» из Индии, Пакистана, Белоруссии, Узбекистана, Бразилии и других стран. Лямин отмечает, что такой «интернационал» всегда значительно усложняет процесс поиска исполнителей.

 

Qrator обосрался официально... пишут шо валялись они от 250 мегабит с 250 тыс зараженных компьютеров... журналисты даже в руки калькулятор брать не пробовали... исходя из этих цифр 250 тыс компьютеров посылали по 1 байту в секунду... т.е. если бы они посылали по 2 байта, то это было бы уже 500 мегабит на пике...

[Ivan_83]

250 мегабит прожуёт и десктоп.

А мак, как и ип - тоже спуфится.

[s.lobanov]

250 мегабит прожуёт и десктоп.

А мак, как и ип - тоже спуфится.

 

Ну-ну, сказки рассказывать. Мак будет прописан на оборудовании, куда включено ваше железо. Просто для примера http://www.msk-ix.ru/infocenter/faq.html#mac

[Ivan_83]

Ну-ну, сказки рассказывать. Мак будет прописан на оборудовании, куда включен ваше железо. Просто для примеро http://www.msk-ix.ru...er/faq.html#mac

А причём тут московский IX?!

Рад что там всё с этим хорошо, но они не единственные в мире.

[s.lobanov]

Ну может быть на каком-нибудь Мухосранск-IX этого и нет.

[kostich]

Ну-ну, сказки рассказывать. Мак будет прописан на оборудовании, куда включен ваше железо. Просто для примеро http://www.msk-ix.ru...er/faq.html#mac

А причём тут московский IX?!

Рад что там всё с этим хорошо, но они не единственные в мире.

 

а что через msk-ix ни разу спуфинга не получали?

[kostich]

а ЖЖ на пролексике у всех нормально работает?

[samm]

а маразм тем временем реально крепчает.

 

http://slon.ru/russia/ddos_ataki_na_nezavisimye_smi_kto_eto_sdelal_i_skolko_eto_stoit_-721912.xhtml

 

Александр Лямин, генеральный директор компании Qrator (занимавшейся отражением атаки на Slon, «Эхо Москвы» и ряд других сайтов), рассказал, что атака на Slon могла обойтись заказчикам в несколько десятков тысяч долларов в сутки.

 

 

«Скорость [входящего трафика] достигала 250 мегабит на пике (при пропускной способности стандартного канала – 100 мегабит), и это не самая серьезная атака, которую мы видели, – но она определенно находится на верхнем пределе. По нашей выборке, политика находится в верхней группе риска, ни один, даже самый серьезный бизнес, не рискует так, как независимое СМИ. Например, похожую ситуацию с атаками на СМИ мы наблюдали на региональных выборах полтора года назад», – рассказал Лямин.

 

 

По его словам, Slon атаковали люди, работавшие командой и посменно. Это можно было отследить по пикам нагрузок (первая атака закончилась в 5 утра воскресенья, вторая началась в 9 утра). Атака велась с помощью ботнета, состоящего из примерно 250 000 зараженных компьютеров. Это довольно много для Рунета, где средняя DDoS-атака проводится с помощью сети в 5 000 компьютеров. DDoS-атака была интернациональной: эксперты зафиксировали активность «посетителей» из Индии, Пакистана, Белоруссии, Узбекистана, Бразилии и других стран. Лямин отмечает, что такой «интернационал» всегда значительно усложняет процесс поиска исполнителей.

 

Qrator обосрался официально... пишут шо валялись они от 250 мегабит с 250 тыс зараженных компьютеров... журналисты даже в руки калькулятор брать не пробовали... исходя из этих цифр 250 тыс компьютеров посылали по 1 байту в секунду... т.е. если бы они посылали по 2 байта, то это было бы уже 500 мегабит на пике...

 

Кстати, ссылку прочитать не смог - из Чехии сайт по прежнему лежит. Но если они легли от 250 мбит - то это позор, у меня часть проектов больше генерирует. А что касается "байта в секунду" - вполне может быть, я видел ддос-ы при которых активна только очень малая часть ботнета, которая если блокируется - моментально активизируется другая. В этом случае это обычно application level ddos, когда для блокировки сайта не нужно много ботов.

[kostich]

prolexic.com по всей видимости шизеет от кол-ва доменов ЖЖ... пошел легитимный трафик и супер система начала рубать все подряд.

[Прохожий]

вот напрашиваются думки, что всем этим сайтам интересно было лежать... как можно громче лежать.

А то! Как говорят мозговеды, вторичные выгоды расстройства психики могут быть столь велики, что целиком блокируют возможность лечения! ;)

 

 

«Скорость [входящего трафика] достигала 250 мегабит на пике (при пропускной способности стандартного канала – 100 мегабит), и это не самая серьезная атака, которую мы видели, – но она определенно находится на верхнем пределе.

Аааааааа... Супер! ЗачОт.

 

Напомните мне, пожалуйста, 4DoS у нас из последних фиксировался сколько? Более десяти гиг или моя память опять спит с другим?

[SoulDivider]

Qrator обосрался официально... пишут шо валялись они от 250 мегабит с 250 тыс зараженных компьютеров... журналисты даже в руки калькулятор брать не пробовали... исходя из этих цифр 250 тыс компьютеров посылали по 1 байту в секунду... т.е. если бы они посылали по 2 байта, то это было бы уже 500 мегабит на пике...

Костич, это как так 250 миллионов поделить на 250 тысяч получается 8?

[kostich]

Костич, это как так 250 миллионов поделить на 250 тысяч получается 8?

 

х.з... у меня с такой математикой плохо по всей видимости.

 

Напомните мне, пожалуйста, 4DoS у нас из последних фиксировался сколько? Более десяти гиг или моя память опять спит с другим?

 

лично я знаю про сотку udp и 6mpps синфлуда. это из последнего большого что мы держали уверенно. все кто в теме гадал какая у нас связность, но они чуть чуть не с той стороны смотрели. надо гадать где у нас фильтрует, а этого в bgp не всегда видно.

[Прохожий]

Сотку чего?

 

6mpps - это где-то 4 гига минимальными пакетам, если я по памяти правильно считаю?

[kostich]

Сотку чего?

 

гигабит

 

6mpps - это где-то 4 гига минимальными пакетам, если я по памяти правильно считаю?

 

ну примерно в этом р-не.

[Zaqwr]

А мак, как и ип - тоже спуфится.

не вижу связи между ддосом и спуфом мак аддресов ... сервер который ддсоят обычно кроме одного мака шлюза, маков больше не знает, ну разве что соседей по бродкасту...

[kostich]

А мак, как и ип - тоже спуфится.

не вижу связи между ддосом и спуфом мак аддресов ... сервер который ддсоят обычно кроме одного мака шлюза, маков больше не знает, ну разве что соседей по бродкасту...

 

да, там будет MAC участника через которого проливает

[Zaqwr]

дануна , это каким таким образом?

[kostich]

шоу продолжается

 

С утра сегодня не могу достучаться до ЖЖ, а на status.livejournal.org читаю, что он доступен.

Спросил Дронова. Оказалось, ЖЖ доступен из Америки, а из России доступ перекрыт.

Проблема не Бог весть какой сложности, благо за время поездок по Китаю накоплен обширный опыт её преодоления. Всё, что для этого нужно - американский прокси-сервер. Или сервис.

На писюке я для этого использовал Ivacy, на Маке - NetShade. Работает как часы. Но оба сервера достаточно говённые, не говоря уже о том, что платные.

Так что в комментариях приветствуются ссылки и инструкции по поводу настройки качественных американских проксей. Чует моя жопа, что они нам теперь часто будут пригождаться.

 

пролексик любит защищать клиентов ограничением лишней связности... они там по договору гарантируют доступность сайта с определенных точек, т.е. фильтрация трафика из РФ как одна из мер защиты ЖЖ от ДДОС-а.

 

дануна , это каким таким образом?

 

думал с другой стороны... думал подразумевался сервер, который будет флудить. т.е. что бы он там не спуфил, а на стороне другого участника IX будет MAC шлюза.

[kostich]

http://habrahabr.ru/company/highloadlab/blog/134124/

 

теперь осталось доходчиво пояснить хомячкам, что лежали они не от атаки на них, а возможно от атаки на соседнего клиента по ддос защите. цифры реально "впечатляют". с учетом их архитектуры, т.е. в самой серьезной точке по связности иметь всего один писюк... удивительно как у них еще что-то временами работало.

 

порадовал комент

 

Эх, жаль что livejournal.com не спешит воспользоваться вашей защитой ))

 

У ЖЖечки трафика по факту трафика без учета атаки больше чем HLL переварить может.

[Sonne]

Интересно, если вдруг разразятся события покруче, гробовщики на своем форуме буду хвалится качеством своих изделий друг перед другом?

[kostich]

Интересно, если вдруг разразятся события покруче, гробовщики на своем форуме буду хвалится качеством своих изделий друг перед другом?

 

не, тут просто пытаются тебе растолковать, что события в техническом плане не имели какого либо существенного значения... и вот из них пытаются нарисовать нечто ужасное.

[zurz]

если бы на этом форуме было такое развлечение как назначаемые темам теги, то я реквестировал бы тег "феерическая некомпетентность"

[kostich]

если бы на этом форуме было такое развлечение как назначаемые темам теги, то я реквестировал бы тег "феерическая некомпетентность"

 

Dec 6 23:48:35 [MSK-IX] new attack (firstdrop): 195.211.221.1

Dec 6 23:48:46 [MSK-IX] safe reset mode: 178.248.234.77

 

вот это когда сотку kpps синфлуда отсылают, без малейшего понятия о том куда (а днем еще надо глянуть куда и сколько)... вот это на самом деле и есть феерическая некомпетентность. в общем, парни решили потестить ddos-protection.ru каким-то там синфлудом (подозреваю очень страшным!!!) ... и, вполне предсказуемо, запалились. а на самом деле очень интересно совпадает ли паттерн их атаки с атакой на др. ресурсы в день тотального DDOS-а :)

 

пысы. пгагней надо пганять и пгастить.

[Прохожий]

Данунах, это все кровавая гэбня (с) виновата, она валит демократический ЖЖ! Любая другая версия событий будет нелиберальной и подвергнута обструкции. Так что эта, нечего! Вы что, кагэбэшников защищаете? Может, батенька, Вы еще будете сомневаться, что Сталин младенцев живьем ел? :))))))))

 

Цырк на конной тяге, право...

[flx]

Константин,

 

Наши сотрудники действительно проводили тестовые замеры в указанное вами время. Тестовые замеры не имели целью нанести какой-либо ущерб и мы не использовали каких-либо способов сокрыть происхождение данного трафика (ip spoofing).

Скорость тестовой серии составляла менее 1Mpps при длительности менее 40 секунд и в соответствии с декларируемыми Вами техническими характеристиками вашей платформы фильтрации, данная серия не должна была создать каких-либо проблем.

 

В то-же время, считаю подобную практику недопустимой.

Приношу свои извинения за перебои в работе http://ddos-protection.ru/.

В отношении задействованных лиц приняты административные меры.

 

Предлагаю возместить нанесенный ущерб бутылкой шампанского, которую высылаем в город Брянск.

 

С уважением,

Руководитель Лаборатории HLL

Александр Лямин