kostich Опубликовано 5 декабря, 2011 · Жалоба а маразм тем временем реально крепчает. http://slon.ru/russia/ddos_ataki_na_nezavisimye_smi_kto_eto_sdelal_i_skolko_eto_stoit_-721912.xhtml Александр Лямин, генеральный директор компании Qrator (занимавшейся отражением атаки на Slon, «Эхо Москвы» и ряд других сайтов), рассказал, что атака на Slon могла обойтись заказчикам в несколько десятков тысяч долларов в сутки. «Скорость [входящего трафика] достигала 250 мегабит на пике (при пропускной способности стандартного канала – 100 мегабит), и это не самая серьезная атака, которую мы видели, – но она определенно находится на верхнем пределе. По нашей выборке, политика находится в верхней группе риска, ни один, даже самый серьезный бизнес, не рискует так, как независимое СМИ. Например, похожую ситуацию с атаками на СМИ мы наблюдали на региональных выборах полтора года назад», – рассказал Лямин. По его словам, Slon атаковали люди, работавшие командой и посменно. Это можно было отследить по пикам нагрузок (первая атака закончилась в 5 утра воскресенья, вторая началась в 9 утра). Атака велась с помощью ботнета, состоящего из примерно 250 000 зараженных компьютеров. Это довольно много для Рунета, где средняя DDoS-атака проводится с помощью сети в 5 000 компьютеров. DDoS-атака была интернациональной: эксперты зафиксировали активность «посетителей» из Индии, Пакистана, Белоруссии, Узбекистана, Бразилии и других стран. Лямин отмечает, что такой «интернационал» всегда значительно усложняет процесс поиска исполнителей. Qrator обосрался официально... пишут шо валялись они от 250 мегабит с 250 тыс зараженных компьютеров... журналисты даже в руки калькулятор брать не пробовали... исходя из этих цифр 250 тыс компьютеров посылали по 1 байту в секунду... т.е. если бы они посылали по 2 байта, то это было бы уже 500 мегабит на пике... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 декабря, 2011 · Жалоба 250 мегабит прожуёт и десктоп. А мак, как и ип - тоже спуфится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 6 декабря, 2011 · Жалоба 250 мегабит прожуёт и десктоп. А мак, как и ип - тоже спуфится. Ну-ну, сказки рассказывать. Мак будет прописан на оборудовании, куда включено ваше железо. Просто для примера http://www.msk-ix.ru/infocenter/faq.html#mac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 декабря, 2011 · Жалоба Ну-ну, сказки рассказывать. Мак будет прописан на оборудовании, куда включен ваше железо. Просто для примеро http://www.msk-ix.ru...er/faq.html#mac А причём тут московский IX?! Рад что там всё с этим хорошо, но они не единственные в мире. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 6 декабря, 2011 · Жалоба Ну может быть на каком-нибудь Мухосранск-IX этого и нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба Ну-ну, сказки рассказывать. Мак будет прописан на оборудовании, куда включен ваше железо. Просто для примеро http://www.msk-ix.ru...er/faq.html#mac А причём тут московский IX?! Рад что там всё с этим хорошо, но они не единственные в мире. а что через msk-ix ни разу спуфинга не получали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба а ЖЖ на пролексике у всех нормально работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
samm Опубликовано 6 декабря, 2011 · Жалоба а маразм тем временем реально крепчает. http://slon.ru/russia/ddos_ataki_na_nezavisimye_smi_kto_eto_sdelal_i_skolko_eto_stoit_-721912.xhtml Александр Лямин, генеральный директор компании Qrator (занимавшейся отражением атаки на Slon, «Эхо Москвы» и ряд других сайтов), рассказал, что атака на Slon могла обойтись заказчикам в несколько десятков тысяч долларов в сутки. «Скорость [входящего трафика] достигала 250 мегабит на пике (при пропускной способности стандартного канала – 100 мегабит), и это не самая серьезная атака, которую мы видели, – но она определенно находится на верхнем пределе. По нашей выборке, политика находится в верхней группе риска, ни один, даже самый серьезный бизнес, не рискует так, как независимое СМИ. Например, похожую ситуацию с атаками на СМИ мы наблюдали на региональных выборах полтора года назад», – рассказал Лямин. По его словам, Slon атаковали люди, работавшие командой и посменно. Это можно было отследить по пикам нагрузок (первая атака закончилась в 5 утра воскресенья, вторая началась в 9 утра). Атака велась с помощью ботнета, состоящего из примерно 250 000 зараженных компьютеров. Это довольно много для Рунета, где средняя DDoS-атака проводится с помощью сети в 5 000 компьютеров. DDoS-атака была интернациональной: эксперты зафиксировали активность «посетителей» из Индии, Пакистана, Белоруссии, Узбекистана, Бразилии и других стран. Лямин отмечает, что такой «интернационал» всегда значительно усложняет процесс поиска исполнителей. Qrator обосрался официально... пишут шо валялись они от 250 мегабит с 250 тыс зараженных компьютеров... журналисты даже в руки калькулятор брать не пробовали... исходя из этих цифр 250 тыс компьютеров посылали по 1 байту в секунду... т.е. если бы они посылали по 2 байта, то это было бы уже 500 мегабит на пике... Кстати, ссылку прочитать не смог - из Чехии сайт по прежнему лежит. Но если они легли от 250 мбит - то это позор, у меня часть проектов больше генерирует. А что касается "байта в секунду" - вполне может быть, я видел ддос-ы при которых активна только очень малая часть ботнета, которая если блокируется - моментально активизируется другая. В этом случае это обычно application level ddos, когда для блокировки сайта не нужно много ботов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба prolexic.com по всей видимости шизеет от кол-ва доменов ЖЖ... пошел легитимный трафик и супер система начала рубать все подряд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 6 декабря, 2011 · Жалоба вот напрашиваются думки, что всем этим сайтам интересно было лежать... как можно громче лежать. А то! Как говорят мозговеды, вторичные выгоды расстройства психики могут быть столь велики, что целиком блокируют возможность лечения! ;) «Скорость [входящего трафика] достигала 250 мегабит на пике (при пропускной способности стандартного канала – 100 мегабит), и это не самая серьезная атака, которую мы видели, – но она определенно находится на верхнем пределе. Аааааааа... Супер! ЗачОт. Напомните мне, пожалуйста, 4DoS у нас из последних фиксировался сколько? Более десяти гиг или моя память опять спит с другим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoulDivider Опубликовано 6 декабря, 2011 · Жалоба Qrator обосрался официально... пишут шо валялись они от 250 мегабит с 250 тыс зараженных компьютеров... журналисты даже в руки калькулятор брать не пробовали... исходя из этих цифр 250 тыс компьютеров посылали по 1 байту в секунду... т.е. если бы они посылали по 2 байта, то это было бы уже 500 мегабит на пике... Костич, это как так 250 миллионов поделить на 250 тысяч получается 8? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба Костич, это как так 250 миллионов поделить на 250 тысяч получается 8? х.з... у меня с такой математикой плохо по всей видимости. Напомните мне, пожалуйста, 4DoS у нас из последних фиксировался сколько? Более десяти гиг или моя память опять спит с другим? лично я знаю про сотку udp и 6mpps синфлуда. это из последнего большого что мы держали уверенно. все кто в теме гадал какая у нас связность, но они чуть чуть не с той стороны смотрели. надо гадать где у нас фильтрует, а этого в bgp не всегда видно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 6 декабря, 2011 · Жалоба Сотку чего? 6mpps - это где-то 4 гига минимальными пакетам, если я по памяти правильно считаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба Сотку чего? гигабит 6mpps - это где-то 4 гига минимальными пакетам, если я по памяти правильно считаю? ну примерно в этом р-не. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zaqwr Опубликовано 6 декабря, 2011 · Жалоба А мак, как и ип - тоже спуфится. не вижу связи между ддосом и спуфом мак аддресов ... сервер который ддсоят обычно кроме одного мака шлюза, маков больше не знает, ну разве что соседей по бродкасту... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба А мак, как и ип - тоже спуфится. не вижу связи между ддосом и спуфом мак аддресов ... сервер который ддсоят обычно кроме одного мака шлюза, маков больше не знает, ну разве что соседей по бродкасту... да, там будет MAC участника через которого проливает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zaqwr Опубликовано 6 декабря, 2011 · Жалоба дануна , это каким таким образом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба шоу продолжается С утра сегодня не могу достучаться до ЖЖ, а на status.livejournal.org читаю, что он доступен.Спросил Дронова. Оказалось, ЖЖ доступен из Америки, а из России доступ перекрыт. Проблема не Бог весть какой сложности, благо за время поездок по Китаю накоплен обширный опыт её преодоления. Всё, что для этого нужно - американский прокси-сервер. Или сервис. На писюке я для этого использовал Ivacy, на Маке - NetShade. Работает как часы. Но оба сервера достаточно говённые, не говоря уже о том, что платные. Так что в комментариях приветствуются ссылки и инструкции по поводу настройки качественных американских проксей. Чует моя жопа, что они нам теперь часто будут пригождаться. пролексик любит защищать клиентов ограничением лишней связности... они там по договору гарантируют доступность сайта с определенных точек, т.е. фильтрация трафика из РФ как одна из мер защиты ЖЖ от ДДОС-а. дануна , это каким таким образом? думал с другой стороны... думал подразумевался сервер, который будет флудить. т.е. что бы он там не спуфил, а на стороне другого участника IX будет MAC шлюза. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба http://habrahabr.ru/company/highloadlab/blog/134124/ теперь осталось доходчиво пояснить хомячкам, что лежали они не от атаки на них, а возможно от атаки на соседнего клиента по ддос защите. цифры реально "впечатляют". с учетом их архитектуры, т.е. в самой серьезной точке по связности иметь всего один писюк... удивительно как у них еще что-то временами работало. порадовал комент Эх, жаль что livejournal.com не спешит воспользоваться вашей защитой )) У ЖЖечки трафика по факту трафика без учета атаки больше чем HLL переварить может. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 6 декабря, 2011 · Жалоба Интересно, если вдруг разразятся события покруче, гробовщики на своем форуме буду хвалится качеством своих изделий друг перед другом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба Интересно, если вдруг разразятся события покруче, гробовщики на своем форуме буду хвалится качеством своих изделий друг перед другом? не, тут просто пытаются тебе растолковать, что события в техническом плане не имели какого либо существенного значения... и вот из них пытаются нарисовать нечто ужасное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 6 декабря, 2011 · Жалоба если бы на этом форуме было такое развлечение как назначаемые темам теги, то я реквестировал бы тег "феерическая некомпетентность" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 6 декабря, 2011 · Жалоба если бы на этом форуме было такое развлечение как назначаемые темам теги, то я реквестировал бы тег "феерическая некомпетентность" Dec 6 23:48:35 [MSK-IX] new attack (firstdrop): 195.211.221.1Dec 6 23:48:46 [MSK-IX] safe reset mode: 178.248.234.77 вот это когда сотку kpps синфлуда отсылают, без малейшего понятия о том куда (а днем еще надо глянуть куда и сколько)... вот это на самом деле и есть феерическая некомпетентность. в общем, парни решили потестить ddos-protection.ru каким-то там синфлудом (подозреваю очень страшным!!!) ... и, вполне предсказуемо, запалились. а на самом деле очень интересно совпадает ли паттерн их атаки с атакой на др. ресурсы в день тотального DDOS-а :) пысы. пгагней надо пганять и пгастить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 7 декабря, 2011 · Жалоба Данунах, это все кровавая гэбня (с) виновата, она валит демократический ЖЖ! Любая другая версия событий будет нелиберальной и подвергнута обструкции. Так что эта, нечего! Вы что, кагэбэшников защищаете? Может, батенька, Вы еще будете сомневаться, что Сталин младенцев живьем ел? :)))))))) Цырк на конной тяге, право... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flx Опубликовано 7 декабря, 2011 · Жалоба Константин, Наши сотрудники действительно проводили тестовые замеры в указанное вами время. Тестовые замеры не имели целью нанести какой-либо ущерб и мы не использовали каких-либо способов сокрыть происхождение данного трафика (ip spoofing). Скорость тестовой серии составляла менее 1Mpps при длительности менее 40 секунд и в соответствии с декларируемыми Вами техническими характеристиками вашей платформы фильтрации, данная серия не должна была создать каких-либо проблем. В то-же время, считаю подобную практику недопустимой. Приношу свои извинения за перебои в работе http://ddos-protection.ru/. В отношении задействованных лиц приняты административные меры. Предлагаю возместить нанесенный ущерб бутылкой шампанского, которую высылаем в город Брянск. С уважением, Руководитель Лаборатории HLL Александр Лямин Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...