editor_ruvds 13 июн 2021 в 17:05

DDoS-атаки: откуда берется и куда девается “мусорный” трафик

23 мин

11K

Блог компании RUVDS.comИнформационная безопасность*Карьера в IT-индустрииЧитальный зал

+48

Комментарии 8

questor 14 июн 2021 в 11:36

Часто слышу разные истории о том, что кто-то не смог провести трансляцию, потому что именно на это время их ддосили. И вот мне интересно — это правда или кривые руки настройщика, когда легальные пользователи сами укладывают трансляцию?

gtsimms 14 июн 2021 в 12:10

Технически, навскидку 4 варианта развития событий (может быть и больше):

Хост-машине, с которой стримится видео+аудиопоток, забивает канал связи. Если стрим идет не через сервис, а зрители коннектятся непосредственно к источнику -- то исчерпать провайдерскую емкость можно легко безо всяких атак.
Стрим может идти через сервис/платформу, но ip+порт источника контента торчат в Сеть без ACL и других ограничений в файрволе. Они обнаруживаются аттакером, после чего туда наливается мусорный трафик, для домашнего или офисного канала много его не потребуется.
DDoS шатает саму платформу для стриминга. Если это Twitch, например, то в случае удачи атака однозначно будет значимой, уровня "заголовки в новостях". При этом outage будет и других стримеров и зрителей.
Одна из черепашек лжет.

Qetzlcoatl 15 июн 2021 в 02:43

Лучше бы они научили Qrator не блокировать запросы, которые приходят не напрямую из браузера, а через корпоративный прокси.

gtsimms 15 июн 2021 в 10:51

Так они научили. Если есть проблемы с доступом куда-то в подобном сценарии, напишите в ЛС, выясним причину. Обратная связь -- царица полей.

Qetzlcoatl 15 июн 2021 в 11:46

Так мы не являемся клиентами Qrator.
И даже наши клиенты, которые используют наш прокси, тоже не являются клиентами Qrator.
Клиентами Qrator являются владельцы сайтов, которые при помощи него защищаются.
Но они как раз проблем с Qrator не испытывают, раз в Qrator не в курсе, какую проблему он создаёт конченым пользователям.

Qetzlcoatl 15 июн 2021 в 11:54

Например, наш клиент из Оренбурга при обращении на www.avito.ru через корпоративный прокси с вероятностью 80% получает задержку при загрузке страницы в 10 секунд. Вспомогательные ресурсы загружаются без проблем. Задержка не на прокси, а именно с сайта. В обход прокси — без задержек.
Curl показывает "< Server: QRATOR".
Что и куда несчастный человек должен написать?

gtsimms 15 июн 2021 в 17:05

Задержка не на прокси, а именно с сайта. В обход прокси — без задержек.

Это больше похоже на проблемы с маршрутизацией, чем на блокировку. Тут TCP-трасса ответила бы точно на этот вопрос.

Curl показывает "< Server: QRATOR".

Во всех ответах, отдаваемых самим защищаемым сайтом, будет такое значение. Наоборот, при блокировке никакого HTTP-ответа заблокированный не получит.

Что и куда несчастный человек должен написать?

В конце поста есть мои контакты — можно мне туда написать.

Nurked 22 сен 2021 в 20:17

Вы чего! Всё! Я теперь буду ДДоС называть только "порчей" или "сглазом"

Зарегистрируйтесь на Хабре, чтобы оставить комментарий