Comments 166
Роспотребнадзор мстит за вчерашний х-эффект.
Это три разных сайта :-)
Имхо, после публикации на хабре он будет добит хабраэффектом :)
UFO just landed and posted this here
Ну когда задача стоит серьезно, то возможно всё.
Начиная от снифинга на уровне провайдера и заканчивая специальными методами
Начиная от снифинга на уровне провайдера и заканчивая специальными методами
Я конечно понимаю, что Навальный враг государства номер один. Но это уже теория заговора, контент в ssl трафике перехватить непросто, мягко говоря (точнее расшифровать, перехватить весь трафик на уровне провайдера конечно можно).
Проще вариант с кейлогером, но это значит либо он подхватил троян (а надо быть аккуратнее, раз стал публичной фигурой), либо, что еще менее вероятно — это логер хардварный.
Проще вариант с кейлогером, но это значит либо он подхватил троян (а надо быть аккуратнее, раз стал публичной фигурой), либо, что еще менее вероятно — это логер хардварный.
Однажды с удовольствием наблюдал работу «социнженера», который в короткие сроки получал доступы к Gmail & Yahoo!..
Ещё вариант: если вдруг за Навального взялась госконтора, то почему бы на уровне провайдера не подменить DNS GMail на фальшивку? Такое очень сложно просечь и суровый пароль не спасёт.
Ещё вариант: если вдруг за Навального взялась госконтора, то почему бы на уровне провайдера не подменить DNS GMail на фальшивку? Такое очень сложно просечь и суровый пароль не спасёт.
а ключи SSL?
Да хотя бы так: habrahabr.ru/blogs/infosecurity/111714/
Вряд ли Навальный перед каждой аутентификацией смотрит на наличие SSL
Вряд ли Навальный перед каждой аутентификацией смотрит на наличие SSL
Сложно не увидеть, если отсутствует корректный сертификат, то в фоксе он будет красный, в хроме зачеркнутый. Входить же в гмэйл надо именно через https, а не http, чтобы не забывать — просто добавить правильный урл в закладки.
Но мне кажется наиболее вероятный вариант — это троян с кейлогером. И на самом деле всё может быть банально, ящик под спам-рассылку брался, автоматом ;)
ЗЫЖ не говоря о том, что если бы это была работа спец.служб, то они все сделали бы за 5 минут (слили ящик), не меняли пароль, и никогда бы Навальный об этом не узнал. Смысл менять пароль? Просто я не верю в заговоры. Хотя, конечно, это не означает, что их не может быть. :)
Но мне кажется наиболее вероятный вариант — это троян с кейлогером. И на самом деле всё может быть банально, ящик под спам-рассылку брался, автоматом ;)
ЗЫЖ не говоря о том, что если бы это была работа спец.служб, то они все сделали бы за 5 минут (слили ящик), не меняли пароль, и никогда бы Навальный об этом не узнал. Смысл менять пароль? Просто я не верю в заговоры. Хотя, конечно, это не означает, что их не может быть. :)
Про методы работы спецслужб просветите, пожалуйста. Или предположите хотя бы, как «слить ящик» Гмейла.
Ну если вы читали всю ветку комментов, то заметили, что народ предполагает, что это спецслужбы получили пароли. Имея логин/пароль не составит никакого труда слить весь ящик, думаю это очевидно :) И смысла менять пароль никакого нет.
Скорее интересует этот посыл:
1. У Гмейла иная ширина канала до спецслужб в сравнении с простыми смертными? Или «за 5 минут слить ящик» — это совсем не о получении копий всех писем?
2. IP-адреса спецслужб в списке «Last account activity» как-то по иному отображаются в сравнении с простыми смертными?
… если бы это была работа спец.служб, то они все сделали бы за 5 минут (слили ящик)… и никогда бы Навальный об этом не узнал.
1. У Гмейла иная ширина канала до спецслужб в сравнении с простыми смертными? Или «за 5 минут слить ящик» — это совсем не о получении копий всех писем?
2. IP-адреса спецслужб в списке «Last account activity» как-то по иному отображаются в сравнении с простыми смертными?
«Last account activity» от Навального мы не получили пока.
Лично я сомневаюсь в причастности спецслужб.
Скорее всего его просто по-блатному заказали на чёрном хакерском рынке: типа «а ну-ка, братки, отнимите у него почту и положите сайт. сколько это будет стоить?»
Лично я сомневаюсь в причастности спецслужб.
Скорее всего его просто по-блатному заказали на чёрном хакерском рынке: типа «а ну-ка, братки, отнимите у него почту и положите сайт. сколько это будет стоить?»
Дак наперёд всё ясно, что в last… activity :)
(с) habrahabr.ru/blogs/infosecurity/112088/#comment_3584675
netname: FIAN
descr: Lebedev Physical Institute
descr: Russian Academy of Sciences
descr: Moscow
(с) habrahabr.ru/blogs/infosecurity/112088/#comment_3584675
Прочитайте статью по ссылке: никаких предупреждений пользователь не получит, потому что браузер не будет использовать SSL, даже если запрос был на https://, злоумышленник отправит этот запрос через SSL серверу Google, а ответ пошлёт уже без SSL клиенту.
А еще интересней — так: habrahabr.ru/blogs/infosecurity/88923/
> надо быть аккуратнее, раз стал публичной фигурой
Вот в этом с вами согласен.
Тем случай и интересен.
Нужно открывать «курсы молодого кибербойца» по защите информации для публичных фигур и коспирологов :-)
Вот в этом с вами согласен.
Тем случай и интересен.
Нужно открывать «курсы молодого кибербойца» по защите информации для публичных фигур и коспирологов :-)
Если есть задача. всегда можно как следует поискать ее решение. Это касается как проводной передачи сигнала, так и беспроводной. Не уверен, что все и всегда используют VPN или другие решения, повышающие безопасность.
ну и не так уж сложно, было бы желание
_http://habrahabr.ru/blogs/infosecurity/111759/
_http://habrahabr.ru/blogs/infosecurity/111759/
UFO just landed and posted this here
Ну Навальный вроде в штатах живет
UFO just landed and posted this here
Не совсем живет, точнее — проходит обучение: «Сейчас Навальный учится в Йельском университете в рамках международной программы по развитию лидерства.»
Навальный уже вернулся в Россию. Пруф.
там https же.
UFO just landed and posted this here
Основное средство — трояны, заселяемые через дыры в браузерах.
Почти на каждом компе есть несколько троянов/бекдоров, которые просто спят до поры до времени. Нужно только суметь идентифицировать искомый комп в ботнете.
Почти на каждом компе есть несколько троянов/бекдоров, которые просто спят до поры до времени. Нужно только суметь идентифицировать искомый комп в ботнете.
UFO just landed and posted this here
не факт, может вы попали в группу _ПОЧТИ_
А, вот что зацепило минусующих ))
Думаю, что в большинстве компьютеров неспециалистов.
Дыры открываются быстрее, чем латаются — это логично.
Думаю, что в большинстве компьютеров неспециалистов.
Дыры открываются быстрее, чем латаются — это логично.
Со скрипом, но rospil.info грузится.
Подтверждаю. Пару минут в грузился
twitter.com/#!/senko/status/27394348916150272
нс сервера для сайта указаны такие:
;; AUTHORITY SECTION:
rospil.info. 86400 IN NS ns1.mediatemple.net.
rospil.info. 86400 IN NS ns2.mediatemple.net.
пинг до сервера нормальный
ping 72.47.237.37
PING 72.47.237.37 (72.47.237.37) 56(84) bytes of data.
64 bytes from 72.47.237.37: icmp_req=1 ttl=37 time=216 ms
64 bytes from 72.47.237.37: icmp_req=2 ttl=37 time=211 ms
Может просто админ что-то нахимичил и апач не запустился, то есть никакой хакерской выходки и нет? Надо посмотреть какие нс-ы были раньше. Хостится у mediatemple.net
;; AUTHORITY SECTION:
rospil.info. 86400 IN NS ns1.mediatemple.net.
rospil.info. 86400 IN NS ns2.mediatemple.net.
пинг до сервера нормальный
ping 72.47.237.37
PING 72.47.237.37 (72.47.237.37) 56(84) bytes of data.
64 bytes from 72.47.237.37: icmp_req=1 ttl=37 time=216 ms
64 bytes from 72.47.237.37: icmp_req=2 ttl=37 time=211 ms
Может просто админ что-то нахимичил и апач не запустился, то есть никакой хакерской выходки и нет? Надо посмотреть какие нс-ы были раньше. Хостится у mediatemple.net
как я уже писал выше, у меня сайт пусть со скрипом, пусть через раз, но открывается, так что о подмене DNS или взломе речи нет. просто либо канал забит, либо сервер не справляется с нагрузкой. думаю, если бы был полноценный DDOS, сайт бы вряд ли открылся вообще, так что может просто какого-то рода хаброэффект?
Ддосы всякие бывают, не надо так категорично. Тот же SynFlood вполне вписывается в эти рамки.
Было бы интересно посмотреть логи сервера. А так, без доступа на сервер — это гадание, а я, вот незадача, свой магический хрустальный шар уже разбил.
Было бы интересно посмотреть логи сервера. А так, без доступа на сервер — это гадание, а я, вот незадача, свой магический хрустальный шар уже разбил.
Я просто написал так как в статье была просьба сказать про днс, вот я и написал что все выглядит нормально
Уже не раз Навальный обращается к айтишникам с подобным обращением… раз в интернеты лезет, неужели не может собрать себе единомышленников, которые и стоимость iphone-приложения ему оценят, и цену/сложность сайта и DNS-ы изучат? Странно это всё
Может дешевый PR?
Чиновники не боятся прямых обвинений по ящику и воруют по прежнему, а тут какой-то сайт, о котором только Хабр-юзеры и знают.
Сайт то берёт информацию из открытых источников.
Чиновники не боятся прямых обвинений по ящику и воруют по прежнему, а тут какой-то сайт, о котором только Хабр-юзеры и знают.
Сайт то берёт информацию из открытых источников.
Айда делать зеркало в i2p на отдельном сервере. И просто, и достаточно быстро, и хрен вычислишь, и хрен что сделаешь.
И чтобы на него зайти нужно ставить дополнительный софт
Существуют так называемые inproxy — прокси между интернетом и i2p. Вот, например, один из них — имя_сайта_в_i2p.i2p.to. Например, rus.i2p.to/
Он правда криво редиректы понимает, вот так заходить — rus.i2p.to/wiki/Заглавная_страница
Спасибо, не знал
UFO just landed and posted this here
eepsite'ы — не децентрализованные. Лучше Freenet или Osiris SPS. Последний, кстати, прост в установке и успешно пользуется Анонимусами. Ирка их лежит 90% времени, Osiris — ни разу не падал.
А вы решили добить публикацией ссылки на главной хабра? :)
Ещё раз: сайт rospil.info уже выдерживал наплывы людей. Не стоит преувеличивать мощь Хабра. Анонс в ЖЖ самого Навального и публикации в СМИ давали не меньшую нагрузку. Тут больше похоже на целенаправленную атаку. А аудитория Хабра и сама может решить, на что кликнуть.
Убрал ссылку, чтобы не было сомнений )
ruleaks тоже не доступен
зато compromat ru пока доступен.
А что конкретно с releaks'ом? Похоже на просто заглушку вместо главной.
Например, если открывать картинки напрямую, то они нормально открываются:
ruleaks.net/wp-content/uploads/2011/01/0011pp1.jpg
ruleaks.net/wp-content/uploads/2011/01/00127f1.jpg
Например, если открывать картинки напрямую, то они нормально открываются:
ruleaks.net/wp-content/uploads/2011/01/0011pp1.jpg
ruleaks.net/wp-content/uploads/2011/01/00127f1.jpg
> Оказывается, исходный код rospil.info открыт
Интересно, что они писали админам сорсфоржа в заявке на создание проекта.
Интересно, что они писали админам сорсфоржа в заявке на создание проекта.
Судя по наличию пинга — сервер вполне доступен и канал вполне свободен. может какой-нибудь банальный синфлуд. раз уж пинг не закрыли, возможно и оптимизацию против ddos (или просто dos) не проводили. www.trendscape.com/site/rospil.info тут можно увидеть, что на сервере крутится апач, который имхо без фронтенда не очень хорошо держит dos, а тем более ddos.
А хабраэффект — не сильно жосткая вещь, при нормальном движке и железе.
А хабраэффект — не сильно жосткая вещь, при нормальном движке и железе.
> rospil.info
Кому есть дело до чужих денек, кроме мудаков
Кому есть дело до чужих денек, кроме мудаков
pirate-party PPRu_CA % netstat -ntap|grep \:80|wc -l 21512
Вот что у нас на Ruleaks.net
Хабрэффект не причем, получается. выдерживали и больше чем сейчас
Вот что у нас на Ruleaks.net
Хабрэффект не причем, получается. выдерживали и больше чем сейчас
Что значит это заклинание?
Кем вы являетесь по отношению к сайту? )
Кем вы являетесь по отношению к сайту? )
его редактором.
Ruleaks.net в смысле.
А значит, что весит 21.5 тысяча коннектов ежесекундно, что достаточно много.
Спасибо за разъяснения )
Прошу прощения за такое количество сообщений.
Сейчас подняли на статике, дос не ослабляют.
Что-то кажется, что на нас с навальным тренируются.
Сейчас подняли на статике, дос не ослабляют.
Что-то кажется, что на нас с навальным тренируются.
На Хабре не было топика про ваш сайт?
Где хоститесь? Как защищаетесь (ли)? Нужна ли помощь?
Где хоститесь? Как защищаетесь (ли)? Нужна ли помощь?
Хостимся в лондоне. Сидим за nginx. Помощь нужна видимо только с ДНСами дополнительными, чтобы сделать как у WikiLeaks.
Помощь нужна сетевухе похоже, от нее сообщения приходят, что не успевает все коннекты обрабатывать :)
Если что посидим на статичных страницах, удавятся своим досом :)
Помощь нужна сетевухе похоже, от нее сообщения приходят, что не успевает все коннекты обрабатывать :)
Если что посидим на статичных страницах, удавятся своим досом :)
Напишите пожалуйста отчёт потом по итогам со своими выводами. Для последователей )
Для отчета наверное довольно мало инфы
Было от 1000 до 25 500 ежемоментных висящих подключений
Апач на подобном дохнет.
Мы готовы обрабатывать примерно до 1000 подключений на стандартном железе.
До сих пор болтаются подключения больше чем возможно обработать, но похоже что скоро отпустит. Как все закончится — все заработает.
IP откуда досили довольно забавны, как пример:
netname: FIAN
descr: Lebedev Physical Institute
descr: Russian Academy of Sciences
descr: Moscow
Если как итог: думаю, что мы, что Алексей попали под одну и ту же тренеровку какой-то бригады.
Это не анонимусы точно, т.к. там и участвуют и часто являются главными активистами наши комрады. Я также не буду утверждать, что это контора. Но что довольно интересно, то по мнению наших админов — это не ботнет.
В итоге, может быть заморочимся перед следующей публикацией сделать ротацию ДНСов, как это сделано у викиликса. Можем вырубить кластер, но только в России. В России не интересно. За бугром пока варианты без денег туманныю
Перед каждой следующей публикацией будем иметь статичную страницу с инфой, ибо nginx'у плевать на статику, вешается апач от обработки чего-либо, (именно поэтому фотки доступны, а сам сайт нет), а 25к+ коннектов обработать по статике не проблема.
На трафик более или менее насрать — каждый день могут так досить, и то весь траф не выжрем.
Как-то так. Админу РосПила щас напишу, что может к нам обращаться, если надо.
Ну и любая помощь приветствуется, как советом, так и технологическим пространством.
Было от 1000 до 25 500 ежемоментных висящих подключений
Апач на подобном дохнет.
Мы готовы обрабатывать примерно до 1000 подключений на стандартном железе.
До сих пор болтаются подключения больше чем возможно обработать, но похоже что скоро отпустит. Как все закончится — все заработает.
IP откуда досили довольно забавны, как пример:
netname: FIAN
descr: Lebedev Physical Institute
descr: Russian Academy of Sciences
descr: Moscow
Если как итог: думаю, что мы, что Алексей попали под одну и ту же тренеровку какой-то бригады.
Это не анонимусы точно, т.к. там и участвуют и часто являются главными активистами наши комрады. Я также не буду утверждать, что это контора. Но что довольно интересно, то по мнению наших админов — это не ботнет.
В итоге, может быть заморочимся перед следующей публикацией сделать ротацию ДНСов, как это сделано у викиликса. Можем вырубить кластер, но только в России. В России не интересно. За бугром пока варианты без денег туманныю
Перед каждой следующей публикацией будем иметь статичную страницу с инфой, ибо nginx'у плевать на статику, вешается апач от обработки чего-либо, (именно поэтому фотки доступны, а сам сайт нет), а 25к+ коннектов обработать по статике не проблема.
На трафик более или менее насрать — каждый день могут так досить, и то весь траф не выжрем.
Как-то так. Админу РосПила щас напишу, что может к нам обращаться, если надо.
Ну и любая помощь приветствуется, как советом, так и технологическим пространством.
Спасибо за такой отчёт. Он уже ценен.
> Ну и любая помощь приветствуется, как советом, так и технологическим пространством.
Возможно, хабрасообществу будет интересно, чтобы вы создали отдельный пост с более подробной информацией (полным списком атаковавших IP) и запросом на консультацию.
Если IP действительно принадлежат госструктурам, то это повод для внутреннего расследования сначала их силами, а если не поможет, то общественными.
> Ну и любая помощь приветствуется, как советом, так и технологическим пространством.
Возможно, хабрасообществу будет интересно, чтобы вы создали отдельный пост с более подробной информацией (полным списком атаковавших IP) и запросом на консультацию.
Если IP действительно принадлежат госструктурам, то это повод для внутреннего расследования сначала их силами, а если не поможет, то общественными.
Сделайте куки-редирект через javascript на статической страничке. Поможет от более менее тупых ботов.
я в почту написал, прочитайте письмецо.
сетевухе можно помочь через sysctl, в принципе готов помочь чем могу.
сетевухе можно помочь через sysctl, в принципе готов помочь чем могу.
Топик о сайте был, об атаке нет.
Какая хорошая реклама для Навального!
дворец путина понравился, я бы пожил там =)
сайт работает, правда открывается не всегда с 1 раза.
Дико извиняюсь, но кто такой Навальный?
Вас в гугле забанили или читать комментарии не умеем?
гугл в помощь — navalny.livejournal.com/
если в кратце, этот человек публикует документы и факты вопиющей коррупции, в которой погрузилась Россия. еще он ведет крестовый поход против «подставных» тендеров на rospil.info
если в кратце, этот человек публикует документы и факты вопиющей коррупции, в которой погрузилась Россия. еще он ведет крестовый поход против «подставных» тендеров на rospil.info
Кстати, а может кто-нибудь мне (глупому, да), разъяснить/разжевать смысл DOS/DDOS-атак? Ну полежит сайт денек-другой, но потом поднимется, вечно-то атаковать нельзя…
DDOS неприятен не только сайту, но и хостеру. Возможен вариант, что в будущем владельцу сайта в хостинге будет отказано. Плюс, это почти всегда шумиха в интернете, так что возможно и другие хостеры не захотят связываться с «опасным» клиентом.
Да и трафик «безлимитен» и бесплатен наверняка лишь до определенных пределов.
Да и трафик «безлимитен» и бесплатен наверняка лишь до определенных пределов.
Однако же все равно, невозможно постоянно атаковать. Клиент конечно «опасный», но атака идет все равно на один сервер, а не на все хостеровские, а если хостер серьезный, то умеют с такими случаями работать не на уровне «отказ в обслуживании из-за ДДОС» (=. По крайней мере хочется надеяться…
Постоянно и не нужно. Уже возможность повторения атаки — это плохой сигнал для хостера.
Как-то на хабре была статья про 100 Гбит/с DDoS. Сейчас ее автор перенес в черновики, но в гугле кое-какую информацию по этому событию найти можно. Вот, например, топик на форуме rsdn: www.rsdn.ru/forum/life/3991195.flat.aspx
Как-то на хабре была статья про 100 Гбит/с DDoS. Сейчас ее автор перенес в черновики, но в гугле кое-какую информацию по этому событию найти можно. Вот, например, топик на форуме rsdn: www.rsdn.ru/forum/life/3991195.flat.aspx
Смотря что атаковать: бизнес-сайты тупо теряют деньги при этом, ну и престиж.
А сайты типа роспила и руликс — чтобы их согнали с хостингов, чтобы потенциальные контрибьюторы потеряли к ним доверие, чтобы скомпрометировать техническую команду проекта.
А сайты типа роспила и руликс — чтобы их согнали с хостингов, чтобы потенциальные контрибьюторы потеряли к ним доверие, чтобы скомпрометировать техническую команду проекта.
compromat.ru не открывается тоже
Вроде отпустило.
Если пароль от ящика перехватили, то не понятно зачем нужно было его изменять? можно было понадеятся что навальный не следит за последними посещениями на свой ящик, и спокойно обновлять свою копию писем.
Если не перехватывали, то его ресетили штатными средствами гугла. В этом случае логичнее было бы его ресетить ночью, что бы было больше времени выкачать всю почту. Двух часов может запросто не хватить если ящик занимает несколько гигабайт (по своему опыту), что очень вероятно имеет место быть.
В любом случае большая веротяность что навальный может быстро сдуться, если в его ящике было что то компромитирующее.
Если не перехватывали, то его ресетили штатными средствами гугла. В этом случае логичнее было бы его ресетить ночью, что бы было больше времени выкачать всю почту. Двух часов может запросто не хватить если ящик занимает несколько гигабайт (по своему опыту), что очень вероятно имеет место быть.
В любом случае большая веротяность что навальный может быстро сдуться, если в его ящике было что то компромитирующее.
Я вот не понимаю тех, кто пытается Ddos атакой завалить эти ресурсы. Вот чего они добились? Я раньше хоть и слышал, но все равно не ходил на эти сайты, а теперь жить спокойно не смогу, если хотя бы раз в неделю не зайду хоть одним глазком глянуть, как там пилят народное бабло…
>> 196 запросов в секунду к базе
Это типа много? Что за СУБД?
Это типа много? Что за СУБД?
Что за веб-сервер юзается?
Есть возможность всунуть на фронтенд nginx, на бекенд — апач, а между ними — varnish?
Есть возможность всунуть на фронтенд nginx, на бекенд — апач, а между ними — varnish?
не техническая это проблема, в смысле почту увели или сайт сломали. нет тут темы для исследования для инженеров. это исключительно проблема безопасности государства и специалисты должны быть соответствующие.
196 запросов в секунду это не много. Тут весь вопрос- какие запросы?
Так что в итоге произошло и как решили проблему с DDOS? Атаку прекратили или удалось ее отбить?
Спасибо всем за помощь.
Я добавил фильтрацию обращений к MySQL и SSH и проапгрейдил хост до VPN Extreme (MediaTemple). Сейчас РосПил доступен.
Возможно, буду менять хостинг, мне не очень понравилось как МТ отработало в этой ситуации.
Скорее всего, буду ставить nginx и делать что-то с базой и кэшированием. Помощь экспертов будет очень кстати. Зарегистрироваться как эксперт можно тут: rospil.info/regexpert или можно написать мне личное сообщение.
Еще раз спасибо!
Ваши советы очень помогли, особенно с файрволом (MT туда вообще не смотрели, а я бы не догадался, — я ведь не админ).
— Павел.
Я добавил фильтрацию обращений к MySQL и SSH и проапгрейдил хост до VPN Extreme (MediaTemple). Сейчас РосПил доступен.
Возможно, буду менять хостинг, мне не очень понравилось как МТ отработало в этой ситуации.
Скорее всего, буду ставить nginx и делать что-то с базой и кэшированием. Помощь экспертов будет очень кстати. Зарегистрироваться как эксперт можно тут: rospil.info/regexpert или можно написать мне личное сообщение.
Еще раз спасибо!
Ваши советы очень помогли, особенно с файрволом (MT туда вообще не смотрели, а я бы не догадался, — я ведь не админ).
— Павел.
ха, жить стало хорошо! жить стало веселей! Путин(у)
:))
:))
UFO just landed and posted this here
По вашему 20к+ коннектов ежемоментно это не серьезный ддос?
Я благодарен пиратс ким админам за такую конфигурацию сервера.
html и картинки мы можем еще долго отдавать.
Я благодарен пиратс ким админам за такую конфигурацию сервера.
html и картинки мы можем еще долго отдавать.
UFO just landed and posted this here
196 запросов с секунду, это rospil.info.
Сайт успешно пережил эффект СМИ (более 50 тысяч посетителей в сутки и 5К+ посетителей в час) в конце декабря, но оказался не подготовлен к ДДОС. Сегодня сайт посетили порядка 12К посетителей, в то время как входящий трафик в 4 раза больше, чем тогда.
Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час, хотя в коде таких запросов нет. В данный момент поток посетителей не превосходит 1К в час, при том, что на отображение одной страницы тратится не более 5-6 запросов к базе.
В MediaTemple меня заверили, что защита от ДДОС-атак входит в стандартный план VPN хостинга, что оказалось не совсем так. Более того, по телефону мне сказали, что они не занимаются технической поддержкой против ДДОС-атак, но, так и быть, сделают мне услугу.
Если у вас есть на примете «датацентр с правильными железяками на магистралях», я бы хотел с ним ознакомиться.
Спасибо.
Сайт успешно пережил эффект СМИ (более 50 тысяч посетителей в сутки и 5К+ посетителей в час) в конце декабря, но оказался не подготовлен к ДДОС. Сегодня сайт посетили порядка 12К посетителей, в то время как входящий трафик в 4 раза больше, чем тогда.
Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час, хотя в коде таких запросов нет. В данный момент поток посетителей не превосходит 1К в час, при том, что на отображение одной страницы тратится не более 5-6 запросов к базе.
В MediaTemple меня заверили, что защита от ДДОС-атак входит в стандартный план VPN хостинга, что оказалось не совсем так. Более того, по телефону мне сказали, что они не занимаются технической поддержкой против ДДОС-атак, но, так и быть, сделают мне услугу.
Если у вас есть на примете «датацентр с правильными железяками на магистралях», я бы хотел с ним ознакомиться.
Спасибо.
> Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час
> В MediaTemple меня заверили
Откуда информация? Как именно вы связаны с проектом?
> хотя в коде таких запросов нет
То есть база открыта для запросов не с локалхоста или в неё стучится чужеродный скрипт на том же сервере или удалось произвести инъекцию в код сайта?
Откуда берётся этот запрос?
> Если у вас есть на примете «датацентр с правильными железяками на магистралях», я бы хотел с ним ознакомиться.
Создайте пост-запрос.
> В MediaTemple меня заверили
Откуда информация? Как именно вы связаны с проектом?
> хотя в коде таких запросов нет
То есть база открыта для запросов не с локалхоста или в неё стучится чужеродный скрипт на том же сервере или удалось произвести инъекцию в код сайта?
Откуда берётся этот запрос?
> Если у вас есть на примете «датацентр с правильными железяками на магистралях», я бы хотел с ним ознакомиться.
Создайте пост-запрос.
> Откуда информация? Как именно вы связаны с проектом?
twitter.com/#!/senko
Очень жаль, что вы не знаете «датацентра с правильными железяками на магистралях» о котором с уверенностью говорили в предыдущем комментарии.
twitter.com/#!/senko
Очень жаль, что вы не знаете «датацентра с правильными железяками на магистралях» о котором с уверенностью говорили в предыдущем комментарии.
Проблема подтверждения связи между аккаунтами в сети актуальна ))
У меня, например, для этого есть некие «центры Силы», где собраны ссылки на все мои аккаунты и всё можно легко проверить )
> Очень жаль, что вы не знаете «датацентра с правильными железяками на магистралях» о котором с уверенностью говорили в предыдущем комментарии.
Зачем же столько трагизма? ))
Я не специалист в датацентрах.
Ниже хорошо всё написали.
Если нужны ещё админские руки или советы, опять же, не стесняйтесь обращаться к сообществу за помощью.
У меня, например, для этого есть некие «центры Силы», где собраны ссылки на все мои аккаунты и всё можно легко проверить )
> Очень жаль, что вы не знаете «датацентра с правильными железяками на магистралях» о котором с уверенностью говорили в предыдущем комментарии.
Зачем же столько трагизма? ))
Я не специалист в датацентрах.
Ниже хорошо всё написали.
Если нужны ещё админские руки или советы, опять же, не стесняйтесь обращаться к сообществу за помощью.
да ну, MT отличный хостер.
Пожалуй внесу свои пять копеек решения подобной задачи, благо некоторый опыт в этом имеется.
1. 20:44 kpmemsize и tcpsndbuf в «черной зоне». Это я и так знал. Техподдержка посоветовала проапгрейдить сервис. Сделал. Жду.
Ошибку поправьте — правильно kmemsize
2.0 Смотрите /proc/user_beancounters счетчики failcnt, там где больше нуля, означает, что надо повысить значения.
2.1 Погуглите значения.
3. Используйте frontend — nginx и множество backend серверов разделённых на разные каналы физических серверов, для разгрузки общего траффика поступающего на данный домен.
4. Главную страницу сделайте в html, с минимальным размером. При такой атаке, любая динамическая страничка сгенерённая интерпретатором, который использует базу данных типа postgres либо mysql, положит сервер надолго.
5. Дропать фаерволом все адреса в нетстате, которые SYN_RECV — бесполезно, они в большинстве своём фейковые.
6. Добавьте больше оперативки на сервер где база данных.
7. Если канал не выдерживает весь поток траффика, стоит добавить к домену, ещё IP адреса, которые имеют собственные каналы связи.
На время атаки, необходимо всё это предпринять, когда атака остановится, можно урезать ресурсы, чтобы не платить за всю ферму бешеных денег.
Интересно, а как поведёт себя облачный хостинг при таком раскладе?
1. 20:44 kpmemsize и tcpsndbuf в «черной зоне». Это я и так знал. Техподдержка посоветовала проапгрейдить сервис. Сделал. Жду.
Ошибку поправьте — правильно kmemsize
2.0 Смотрите /proc/user_beancounters счетчики failcnt, там где больше нуля, означает, что надо повысить значения.
2.1 Погуглите значения.
3. Используйте frontend — nginx и множество backend серверов разделённых на разные каналы физических серверов, для разгрузки общего траффика поступающего на данный домен.
4. Главную страницу сделайте в html, с минимальным размером. При такой атаке, любая динамическая страничка сгенерённая интерпретатором, который использует базу данных типа postgres либо mysql, положит сервер надолго.
5. Дропать фаерволом все адреса в нетстате, которые SYN_RECV — бесполезно, они в большинстве своём фейковые.
6. Добавьте больше оперативки на сервер где база данных.
7. Если канал не выдерживает весь поток траффика, стоит добавить к домену, ещё IP адреса, которые имеют собственные каналы связи.
На время атаки, необходимо всё это предпринять, когда атака остановится, можно урезать ресурсы, чтобы не платить за всю ферму бешеных денег.
Интересно, а как поведёт себя облачный хостинг при таком раскладе?
Думаю, что что-то такое они сами тоже думали, но не обладают необходимыми ресурсами и/или квалификацией.
По сути, надо постоянно держать наготове анти-DOS-ферму, которая большую часть времени не нужна. В этом смысле действительно имеет смысл обратиться к облачному хостингу, например подготовить инстансы на AWS, но не поднимать их без надобности, а при атаке разрулить трафик средствами DNS, направив основной поток на свежеподнятные инстансы. Но всё это по-любому «влетит в цент».
По сути, надо постоянно держать наготове анти-DOS-ферму, которая большую часть времени не нужна. В этом смысле действительно имеет смысл обратиться к облачному хостингу, например подготовить инстансы на AWS, но не поднимать их без надобности, а при атаке разрулить трафик средствами DNS, направив основной поток на свежеподнятные инстансы. Но всё это по-любому «влетит в цент».
> Сайт успешно пережил эффект СМИ (более 50 тысяч посетителей в сутки и 5К+ посетителей в час) в конце декабря
эээ. 50 тыс. это по вашему много?
Запускать подобный проект на VPS, это глупо… Взяли бы в аренду хотя бы железку на Атоме. Стоимость подобной, примерно 80-100 баксов (в России, в США должно быть дешевле).
У нас на подобной держится сайт лотереи, в день розыгрыша, у нас примерно 80+ пользователей, и 500+ просмотров динамических страниц. И дело не в том что мы больше не выдержим, все упирается в канал 10мбит
> Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час
В phpMyAdmin смотрите??? Set option обычно используется для установки кодировки. И скорее всего он у вас есть, при установки соединения, и указания кодировки UTF-8 (что-то типа функции mysql_set_charset)
> сервисы лежат, SSH доступа нет, рестарт сервера не помогает, дело направили в техподдержку.
К серверу также иногда нельзя подсоединится, когда, канал забит на полную. И скорее вчера был именно этот случай, так как сам лично видел, в бульварной газетке «Метро», была статья про русский вики-ликс
Решить проблему можно: заменить VPS на нормальную железку, увеличить канал (думаю вам хватит и 10Мб, для 100+ и 1000000+ просмотров), добавить оперативки (4Гб+), увеличить производительность ЖД, обновить весь софт на серваке, закрыть все порты, кроме 80 (во вне)
Смотрите узкое место, если это бд, переводите на что-то без бд, и то что генерит статику в итоге.
>По вашему 20к+ коннектов ежемоментно это не серьезный ддос?
Скорее всего это скопившиеся очередь… Поставьте лимит на соединение, не держать более 5-10 секунд, дропить мертвых…
Отслеживайте более активные IP, и баньте их прямо в firewall
Как я понял, если это даже ДоСС то он не распределенный…
>> 196 запросов в секунду к базе
Смотрите какие они, на сколько они активно гузят БД. Ставьте query_cache на уровне mysql
Ведите лог slow_query… проверяйте индексы
эээ. 50 тыс. это по вашему много?
Запускать подобный проект на VPS, это глупо… Взяли бы в аренду хотя бы железку на Атоме. Стоимость подобной, примерно 80-100 баксов (в России, в США должно быть дешевле).
У нас на подобной держится сайт лотереи, в день розыгрыша, у нас примерно 80+ пользователей, и 500+ просмотров динамических страниц. И дело не в том что мы больше не выдержим, все упирается в канал 10мбит
> Запрос к базе SET OPTION все еще происходит со скоростью в 193К запросов в час
В phpMyAdmin смотрите??? Set option обычно используется для установки кодировки. И скорее всего он у вас есть, при установки соединения, и указания кодировки UTF-8 (что-то типа функции mysql_set_charset)
> сервисы лежат, SSH доступа нет, рестарт сервера не помогает, дело направили в техподдержку.
К серверу также иногда нельзя подсоединится, когда, канал забит на полную. И скорее вчера был именно этот случай, так как сам лично видел, в бульварной газетке «Метро», была статья про русский вики-ликс
Решить проблему можно: заменить VPS на нормальную железку, увеличить канал (думаю вам хватит и 10Мб, для 100+ и 1000000+ просмотров), добавить оперативки (4Гб+), увеличить производительность ЖД, обновить весь софт на серваке, закрыть все порты, кроме 80 (во вне)
Смотрите узкое место, если это бд, переводите на что-то без бд, и то что генерит статику в итоге.
>По вашему 20к+ коннектов ежемоментно это не серьезный ддос?
Скорее всего это скопившиеся очередь… Поставьте лимит на соединение, не держать более 5-10 секунд, дропить мертвых…
Отслеживайте более активные IP, и баньте их прямо в firewall
Как я понял, если это даже ДоСС то он не распределенный…
>> 196 запросов в секунду к базе
Смотрите какие они, на сколько они активно гузят БД. Ставьте query_cache на уровне mysql
Ведите лог slow_query… проверяйте индексы
О, хорошие советы.
Согласен насчёт хотя бы маленькой, но своей железкой.
А в остальном добавление железа мне кажется сомнительной необходимости — тут же не биллинг какой-нибудь. Ну ДОСят, но повесить тогда статику и ждать, пока прекратится. А на хабраэффект нормальной оптимизации хватит.
Согласен насчёт хотя бы маленькой, но своей железкой.
А в остальном добавление железа мне кажется сомнительной необходимости — тут же не биллинг какой-нибудь. Ну ДОСят, но повесить тогда статику и ждать, пока прекратится. А на хабраэффект нормальной оптимизации хватит.
Я просто не верю что нет лишних 100 баксов на атоме, в том же Инфобоксе: Atom (1.66 (2 ядра)), 2ЖД, 2Гб — 3 тыс. рублей.
Из двух ЖД можно сделать софтварный рэйд (gmirror)
4Гб, чтобы вынести в Memcache (можно и без), у меня лично на серваке из 8Гб, занято всего 1Гб. Пару раз до 2х вырастало…
Из двух ЖД можно сделать софтварный рэйд (gmirror)
4Гб, чтобы вынести в Memcache (можно и без), у меня лично на серваке из 8Гб, занято всего 1Гб. Пару раз до 2х вырастало…
Ещё раз: я согласен, что для популярных проектов лучше как минимум иметь атом, а лучше более полноценный сервер, но вот необходимость расширять канал или прокачиваться ресурсами ради сопротивлению DOS'у для проекта, от простоя которого не зависит выживание людей или крупной компании, это расточительство.
А где наши те которые бы как с вики начали создавать зеркала тысячами
rospil.info/ — все еще мертвый
ruleaks.net/ — очень тяжко открывается
Могу поделиться опытом как боролись и боремся в макхосте (http://mchost.ru) когда Оверсан нас 2 недели ддосил в ноябре атаками от 20 до 100 Гбит/с
Если атака идет на НСы, проще всего поднять простой bind и купить услугу secondary dns у ставнительно устойчивых днс хостингов типа dyndns.com. Наш опыт показал что dyndns держался при 20-40Гбит udp флуда с периодическими затыками.
Если атака по tcp, допустим flood, тогда проблема решалась примерно так:
1. Фильтруем tcp на роутерах, оставляем только нужный порт (80, 443), часто бывает tcp syn flood идет не на один порт а по всем портах
2. nginx как фронтэнд для статики, с ограничением по limit_zone
3. крутим sysctl, выделяем больше памяти для сокетов, оптимальнее всего оказались параметры
net.core.optmem_max = 40960
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 87380 16777216
net.ipv4.tcp_mem = 50576 64768 98152
net.ipv4.route.flush = 1
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.rmem_default = 65536
net.core.wmem_default = 65536
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_fin_timeout = 5
3. страничка, которая под ддосом превращаем в статику и отдает через nginx
4. выводит базу mysql по возможности на отдельный сервер
5. делаем пачку зеркал и по dns round robin размазываем нагрузку по ним
6. фаирволом режем ботов на основе user agent-а, это макхостовое решение, позволяющее блокировать ботов по маске на основе составленных регулярок по user agent-у)
Как правило этого хватало на серьезные атаки до 50-80Гбит/c суммарного трафика.
Если все еще нужна помочь, обращайтесь.
ruleaks.net/ — очень тяжко открывается
Могу поделиться опытом как боролись и боремся в макхосте (http://mchost.ru) когда Оверсан нас 2 недели ддосил в ноябре атаками от 20 до 100 Гбит/с
Если атака идет на НСы, проще всего поднять простой bind и купить услугу secondary dns у ставнительно устойчивых днс хостингов типа dyndns.com. Наш опыт показал что dyndns держался при 20-40Гбит udp флуда с периодическими затыками.
Если атака по tcp, допустим flood, тогда проблема решалась примерно так:
1. Фильтруем tcp на роутерах, оставляем только нужный порт (80, 443), часто бывает tcp syn flood идет не на один порт а по всем портах
2. nginx как фронтэнд для статики, с ограничением по limit_zone
3. крутим sysctl, выделяем больше памяти для сокетов, оптимальнее всего оказались параметры
net.core.optmem_max = 40960
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 87380 16777216
net.ipv4.tcp_mem = 50576 64768 98152
net.ipv4.route.flush = 1
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.rmem_default = 65536
net.core.wmem_default = 65536
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_fin_timeout = 5
3. страничка, которая под ддосом превращаем в статику и отдает через nginx
4. выводит базу mysql по возможности на отдельный сервер
5. делаем пачку зеркал и по dns round robin размазываем нагрузку по ним
6. фаирволом режем ботов на основе user agent-а, это макхостовое решение, позволяющее блокировать ботов по маске на основе составленных регулярок по user agent-у)
Как правило этого хватало на серьезные атаки до 50-80Гбит/c суммарного трафика.
Если все еще нужна помочь, обращайтесь.
Sign up to leave a comment.
rospil.info и ruleaks.net подверглись DOS-атаке