Про ДОС атаки

Мне, как специалисту-сетевику, как-то слабо верится в версии ДОС атак, рассказываемые представителями СУПа.
Очень подозрительно, что эти атаки совпали по времени с внедрением сторонней платформы, что должна делать кэширование. Далее - не понятно, почему представители СУПа не обратились в правоохранительные органы. Третье - они говорят, что фиксировали атаки, только более слабые, и ранее. Ну так кто мешал поставить оборудование, которое рубит ДОС-атаки? А такое оборудование есть, да хоть у той же Cisco.
Но почему-то они только сейчас стали задумываться о его приобретении.
Далее, я тут на досуге занимался тем, что пинговал большими пакетами, причем очень долго, их серверную ферму. Именно в то время, когда ЖЖ лежал. И вот что интересно - ни одного пропущенного пакета, никаких задержек, ровненько так и нормально. А вот не должно так быть, если была ДДОС-атака.Канал должен был быть забит, сервак должен был отвечать с перебоями, как следствие - должны были быть потери пакетов или хотя бы задержки с ответом сервера. Ну вот очень сложно поверить в ситуацию, когда сервак не может нормально обслуживать TCP вследствие атаки, а большие пакеты ICMP при этом прокатывают вообще без всяких проблем.
Так что тут кто-то в чем-то врет. Есть такое подозрение, что просто их новая сестема поставлена так криво, что при повышенной нагрузке оно все просто падает. И тогда понятно, что сервак отвечает нормально, он-то в порядке, а вот процессы некоторые на нем - не работают нормально.

  
простите за глупый вопрос. Вот представитель Kaspersky говорит: Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.

Это как-то может быть связано с вирусом, который я и некоторые мои френды подхватили недавно и судя по всему именно из жж? Я лично первый раз схватила его как раз в день первой атаки. Вирус - вкратце - притворяется анти-вирусной программой и назойливо просит купить его, чтоб почистить мой комп.
Самое интересное, что в журнале Носика в комментариях представитель ЖЖ опровергает этого самого представителя лаборатории Касперского. И утверждает, что атака была на другие журналы. Так что появляется вполне обоснованное недоверие к обоим.
Далее, очень странно, что представители Касперского вообще узнали, на какие журналы была атака, если только они не сами ее организовали. Ну то есть если они мониторили трафик ЖЖ - то да, но представители ЖЖ никогда и нигде не упоминали, что у них стоит Каспер. Причем скорее всего у них серверы все же не под Виндой, так что Каспер там стоит сильно вряд ли.
И вирус, который просит денег - это не тот случай. Бот, который используется для ДОС атаки - должен сидеть тихо и невидимо для пользователя, он активизируется по внешней команде и собственно только и делает, что активно работает с сетью. Так что пользователь даже и знать про его существование не должен.
Я тут прикинул, в принципе ребята Касперского могли узнать, на какие ЖЖ была атака, но только в том случае, если они собирают информацию с зараженных компьютеров, на которы попал этот бот. Ну или имеют такие зараженные компы в своем распоряжении. По идее, должны иметь. Только все равно как-то все очень оно странно с ними.
У них целая ферма заражённых ботнетами виртуальных машин.
специалист должен знать как у касперского отслеживают ботнеты
да это любой студент знает, блин
вы должны знать, что такое любой студент.
Простой эксперимент только что показал, что первый попавшийся мне студент Кузьмин Василий (ВТЮЗ 2 курс) не знает этого!
Тем не менее, у меня три! раза! с 31 марта быдо "совпадение", когда после открытия страницы с ЖЖ вылезал этот вирус, о котором выше написала yagal. Причем на двух разных компьютерах. То есть, умом я ваше объяснение понимаю, но вот откуда мог взяться тот вирус, так и остается непонятным. И как-то очень странно схожа картина его появления у разных людей.
единственное здравое мнение по этому поводу! наконец кто то высказал! это никакие не атаки, это пошлый пиар гна Навального с его кремлевским проектом. Спасибо, хоть один трезвый технарь попался..
Ну я не стал бы утверждать, что это пиар Навального. Там могло быть совпадение нескольких факторов. А еще есть теории, что это ребята СУПа пытаются выбить побольше денег с Мамута под дело борьбы с ДОС атаками (я такое уже в ЖЖ читал). Или что это нагрузка пришла от журналов спам-ботов, с которыми СУП просто не хочет бороться и эта нагрузка положила всю эту хреново настроенную систему кэширования.
На самом дела - фиг его знает. Просто поведение СУПа навевает разные сомнения.
Вот уж Навальный сам по себе тут не причем ни в варианте дос-атак, ни в варианте настройки оборудования СУПом.
Вообще, на мой пользовательский взгляд, ЖЖ вообще стал хуже работать при СУПе, чем работал до него. И, я так и думал, а ты подтвердил мою мысль, что ребятам важно бабло, а не развитие, т.е. оборудование было старым, в модернизацию техники и софта денег не сильно вкладывали. А если еще пофантазировать, то можно предположить, что ЖЖ в свое время и был выкуплен, чтоб потом его похоронить:)
DDoS-атака может проводиться не только с помощью укладки канала волной непрерывного траффика (тем более, что соптимайзить полосу - задача вообще плёвая, даже без спецоборудования), но ещё и путём атаки на tcp-стеки веб-серверов, перегрузкой лавиной коротких запросов, не сжирающих канал на 100%.

И тогда эффект именно таким и будет. Сам представь: схема с failover и load balancer на входе (а она там есть обязательно, ибо система очень heavy loaded по жизни). Вовнутрь запросы прокидывает что-нить типа F5 или keepalived. Вуаля: на icmp отвечает балансер, висящий на не особо нагруженном канале, с ним всё путём. На проброс вовнутрь tcp с 80-м портом - ему тоже много ресурсов не нужно. А вот то, на что этот самый tcp пробрасывается, успешно умрёт после достижения некоторой пороговой плотности запросов.

Конечно, это тоже гипотеза. Что там было на самом деле - нам вряд ли честно скажут :). Лично я бы точно не сказал :)).
Согласен, возможен и такой вариант (и чаще всего он и реализуется с SYN запросами). Но по идее на входе должно быть что-то типа mitigating attack appliance. У нас так и внутри еще стоит. И вся эта байда должна резаться еще до внешнего балансера.
А то что правды никто не скажет - ну так это 100% :-)
Может, сетевики-затейники все и заддосили ? При малейшем замедлении работы ЖЖ как начали пинговать и SYNами тестить сокрость ответа (и я не исключение), тут сервис и лег ;)
Именно. Забить каналы можно раз, можно два... Но расширить канал сейчас не фокус. По тому кладут атаками фронтенд сервера, обрабатывающие запросы. А пингуется баллансер. Только тот факт, что атаки реально были ни коим образом не отменяет весьма вероятной криворукости админов.
простите, что влезла в священный диалог непонятных слов )
я мечтаю понимать тот язык, на котором Вы говорите =) также как и на то, о чем пишет автор этого журнала)
Снова кажется понеслось. Полдня не мог пробиться.
может подскажете на какие имена файлов\процессов стоит посканировать комп. чтоб найти ботов? стоит аваст+зона аларм
Плюс к тому что вы написали добавьте Malwarebytes Anti malware, Hitman Pro, Spybot Search and Destroy, сканируете систему раз в неделю и будете иметь на 99% чистый комп.
Эгэ - эта точка зрения уже была вчера озвучена, примерно такими же словами.
Еще тридцать первого я тоже пинговала сервак и недоумевала, что она так хорошо и бодро отзывается, а блог лежит мертво.
Я сразу подумал что меняют чего-то, потому как после очередного "зависания" появляется что-то новенькое в интерфейсе ЖЖ.
Сначала подумал, вот молодцы, их ддосят а они интерфейс дорабатывают пока система лежит :)
Видимо все гораздо прозаичнее...

Edited at 2011-04-06 02:06 pm (UTC)
Оборудование против ДДоса дорогое удовольствие, пока ДДоса не было, скорее всего смысла не было его покупать, обходились программными методами, но когда атаки в разы возросли - то нужно менять тактику, так что логика есть. А пока оборудование купят, пока доставят, установят, настроят - ЖЖ опять ДДосят. Так что думаю через недельку, дней 10 все должно придти в норму.
а может такое быть что это способ продажи ДДОс оборудования?
т.к. собственно версий не так уж и много.
1 политика
2 деньги
политику остаим политикс_ру
а деньги вещь прзаическая. можно посмотреть лист кого досили и кто потом покупал.
я не совсем в теме но помню сначала услышал что ддосом положили форум винского. там почти нет политики.
Сопоставить и проанализировать.