DDoS

    С 07.07.2007 02:20 MSK Хабрахабр находится под DDoS-атакой.

    Периодически коннект может пропадать, пока у заказчегов не кончатся деньги, но в общем ситуация под контролем ;)
    Поделиться публикацией

    Комментарии 103

      0
      Упячка?!
        +28
        Не, наверное, кто-то уснул носом на F5. Проснись, мерзавец!
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
                • НЛО прилетело и опубликовало эту надпись здесь
            0
            Прошу прощения, что встреваю в разговор, но я не могу написать в "я умный" хотя карма должна позволять(0.00) =(
            0
            Лучи поноса настигли неверных?!
              0
              ой да ладно, какие заказчики, просто «демонстрация силы», как обычно..
              или демонстрация дури
              • НЛО прилетело и опубликовало эту надпись здесь
                +2
                Самое страшное, когда начнется WWINDOWS атака.
                  0
                  Я бы поставил плюс, но почему-то уже давнго не могу ставить плюсы/минусы за комментарии.
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    стартаперам-неудачникам:)
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          ты же ушел вроде :)
                          • НЛО прилетело и опубликовало эту надпись здесь
                      • НЛО прилетело и опубликовало эту надпись здесь
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          # grep -c "/blog/ " ./access.log
                          1218116
                          • НЛО прилетело и опубликовало эту надпись здесь
                              +3
                              т.е. вы хотите сказать, что больше 1млн запросов с полуночи вида GET /blog/ и GET http://www.habrahabr.ru/blog/ с ~90 разных айпишников, по 50-100 запросов в секунду - это не DDoS, а просто кто-то чихнул? :)
                                +2
                                фух, всего 90 ip?
                                это кто-то ночная сменя каких-нибудь манагеров на работу вышла.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    100 запросов в секунду - это DDoS, от которого сервер ложится? Что-то у меня резко ухудшилось мнение о качестве кода движка хабра и квалификации админов.
                                      0
                                        0
                                        Увы, город не тот.
                                          0
                                          Разве это важно?
                                            0
                                            В описании вакансии нет слова "удаленка". Значит важно :)
                                            0
                                            а в Москве с удовольствием принимают на работу не москвичей, есличо ;)

                                            например наша компания даёт беспроцентные кредиты, хлопочет насчёт жилья, делает регистрации, если надо, безоговорочно официальное оформление на работу и страховку даже гражданам других государств и т.д.

                                            это уже вполне обычное явление на рынке труда в Москве..
                                              +13
                                              Только вот не все не-москвичи страстно хотят переезжать в Москву. У меня например ни малейшего желания :)
                                                0
                                                да, в Питере тоже хорошо ;)
                                                0
                                                вроде за пеар Юле платят, а не тебе :)))
                                                  0
                                                  это пиар Москвы ;)
                                          0
                                          100 запросов в секунду - это даже не норма для публичного сервера. Производительность должна позволять обрабатывать 200-400 запросов любого URL. Если блог ложится, то проще и дешевле увеличить производительность как сервера, так и скрипта, чем бороться с хулиганами с опасностью ограничения обычных пользователей.
                                            +3
                                            Спасибо! Мы будем работать над этим.
                                              0
                                              Не знаю не знаю. Для того, чтобы выдержать slashdot эффект нужно примерно 50 запросов в секунду всего держать, а это вроде как начало серьезной разработки.

                                              200-400 это вдвое меньше чем SERP яндекса, например. Все-таки наверное для к форума IT-шой тусовки из 5-10K человек, такие требования предъявлять несколько излишне.
                                                –1
                                                Плюс в отличии от нас, habr можно будет заDDOS-ить даже если он будет держать миллион соединений в секунду, просто заняв весь его канал. У него там наверное стандартный гигабит, поэтому нужно всего 1024 машины с мегабитным соединением, чтобы его вырубить.
                                                  0
                                                  стандартно 100mb, не думаю, что хабру нужно больше. ну пусть 200
                                                    0
                                                    Возможно ты прав. Я не репрезентативен слегка, в том что считается стандартным в этой области.
                                                    –1
                                                    ДДОСят не путем забивания канала, а SYNами. Быстрее ляжет маршрутизатор от большого вол-ва пакетов в секунду, чем сам канал. И то и другое ляжет после атакуемого сервера. А 100 запросов/сек, конечно, не серьезно. Видимо на хабре все на одном серваке (фронт, БД, fcgi). Ну или все на апаче работает:) тогда 30 запросов\сек хватит:)
                                                      0
                                                      Это не правда. DDOS-ят как захочется. Обычно по разному ища слабую точку.

                                                      А на счет DDOS-а SYN-ами - такая штука почти не встречается. В свое время был популярен DOS SYN-ами(т.е. не distributed, а просто с одной машины) aka SYN Flood - причина очень простая, это можно сделать с одного IP адреса, просто поставив в обратный адрес у SYN-а какой нибудь fake. Все такие пакетики до машины добегут, займут на ней какие либо ресурсы, а ответ пойдет непонятно куда - смотря какой адрес указали. Соотвественно атакующую машину вычислить нельзя - не договариваясь со всеми провайдерами по дороге.

                                                      Но последнее время я такой штуки на практике не видел, во первых практически любой программный firewall или железка умеет бороться с SYN Flood, и эффективность атаки близка к нулю. Во вторых сейчас появились реально большие zombie сети, с количеством машин от 10000 до 100000. Т.е. атака идет не с твоих ресурсов - и то что их реальные IP адреса светятся почти совершенно никого не напрягает. Ну найдут несколько таких машин, поставят на них антивирус, а толку-то.

                                                      То что SYN очень дешев по сравненю с полноценным соединением, а эффективность от него сильно ниже и так понятно.
                                                        0
                                                        P.S. Про маршрутизатор, конечно тоже не правда. Ему совершенно наплевать, что роутить SYN или другой пакет. И если думать как эффективней его загрузить - пусть лучше роутит пакеты от habrahabr(которые тот посылает, а потом перепосылает по снесколько раз), загружая свои ресурсы, а не твои.

                                                        Плюс роутер обычно сильно помощнее в сетевом плане, чем сервер habrahabr.ru - т.к. обслуживает целый сегмент сети, и настраивали его не программисты хабра, а NOC-и мастерхоста, которые про DOS атаки знают явно побольше.

                                                        Плюс дополнительный аргумент, что в данном случае люди у себя увидели записи в логе - значит соединение было установлено. При SYN Flood его установить нельзя.
                                                          0
                                                          А я не про конкретный случай, а вообще. Если речь про логи софта, то конечно ыбло установлено, но при желании и сины можно увидеть и сдампить их в лог в том числе.

                                                          По маршрутизатору. Ясно дело, что ему без разницы какие пакеты роутить. Насчет "помощнее" - конечно, я же сказал что сервер хабра ложиться первым в любом случае. Это понятно.

                                                          По поводу синов, еще раз я не говор что это эффективно. Самое эффективное - это атаковать софт, обрабатывающий соединение, он нагибается проще всего.
                                                          0
                                                          если я не ошибаюсь, маршрутизатор провайдера из сети которого идет ддос не роутит ИП не из его подсети. т.е. от балды src_ip нельзя поставить. хотя, зависит, от анстроер маршрутизатора. Про сины я сказал к слову о забивании канала. Если атака идет не на софт который брабатывает запрос, а на "канал", то ддосить трафиком нет смысла.
                                                            0
                                                            Ты ошибаешься, в стандартном роутинге ни в одной OS таких функций нет(там вообще нет понятия внутренняя и внешняя подсеть, есть таблица роутинга и default gateway), можно поднимать firewall для внутренних клиентов и на нем проверять, но я тоже не слышал, чтобы кто-нибудь так делал. Плюс один фиг если ты например в мастерхосте, ничего тебе не мешает указать IP адреса соседних машин, которых там многие тысячи - для набора адресов хватит.

                                                            SYN-ами сложно забить канал, они толи 40 толи 38 байт длиной всего, любым ping-ом или UDP с payload равным MTU гораздо эффективней получается(только их легко вырубить правилом на firewall - microsoft.com вообще например на ping не отвечает - но даже вырубленный на твоей стороне firewall ping тебе подзасрет канал). HTTP с установлением соединения - еще эффективней - но тогда нужно засветить IP атакующей машины. Как я уже говорил для ботнета это не проблема.

                                                            SYN-ы это не на забивание канала, а попытка открыть в принимающей системе много сотен тысяч или миллионов соединений в фазе "не до конца установлено, ждем ACK". Когда-то давно не все это нормально воспринимали, сейчас помоему все запатчили. Во всяком случае от здоровенных ботнетов, которые честно качают по http я периодически страдаю, а SYN-Flood как-то кардинально решен - за последние 3 года ни разу его не видел.
                                                              0
                                                              по поводу маршрутизации, я не про клиентскую ось говорил, а про сиськаобразные роутеры, которые у провайдеров стоят. Они щас помоему подефолту настроены не пропускать через себя не свои ИП. По поводу соседних ИП - смысла мало, т.к. атакуемый комп может порезать всю подсеть однм правилом в фаерволе.

                                                              Насчет эффективности синов сильно спортить не буду, вам видней. Но забивку канала по трафику все равно считаю неэффективным способом ддоса.
                                                                0
                                                                Не могу назвать себя специалистом по Cisco, но никакого разбиения подсетей на внутренние и внешние там не видел. Что cisco умеет(помоему как SLB, а не как роутер) так это не пропускать внешнюю наполовину установленную сессию. Т.е. тот самый SYN Flood.

                                                                Да - но мелким компаниям с ними сложно бороться. Знаю многих людей которые умеют писать быстрый софт и автоматом закрывать firewall-ом вредных клиентов, но с каналом они не знают, что делать.

                                                                Кстати - наиболее простой путь это закрыть firewall зарубежные IP адреса - ботнетов в россии мало и они на хилых каналах.
                                                      0
                                                      Слешдот эффект - это массовое дергание ОДНОЙ страницы. Каковое элементарно разгружается кучей способов.
                                                        0
                                                        Это смотря какой сайт.

                                                        Если эта первая страничка всем понравится, то у тебя могут десятки процентов людей попробовать порегистрится или посмотреть вторую страничку.
                                                        0
                                                        Хм, SERP Яндекса - всего 400 запросов/с? Я думал побольше ;)
                                                          0
                                                          Можно по публичной статистике посчитать 30M-35M поисков в день на 86400 секунд, получается в среднем 347-405 поисков в секунду. Понятно, что ночью там сильно меньше, а днем в пике сильно больше. Но вообщем цифры которые я на вскидку назвал вполне себе ничего.

                                                          Там понятно плюс к этому еще наверное вдвое-втрое больше показов других страничек, не SERP, но это фигня все т.к. SERP в плане нагрузки гораздо более поганый, каждый запрос к нему тиражируется внутри на много сотен машин кластера на котором лежит порезанный на шарды поисковый индекс.
                                                            0
                                                            Ага, ну 400 в среднем - это все-таки хорошо за 1000 в пики ;)
                                                              0
                                                              Ну типа того - но это не сильно далеко от 800, как верхней границы.
                                                        0
                                                        А кто решает, где "норма", а где "не норма"? Если в нормальном режиме нагрузка на сайт не превышает 50 запросов в секунду, а он держит 100 - то это отличный показатель.

                                                        Вообще, более чем двукратный запас производительности - это пустая трата денег. Двукратный запас позволяет комфортно себя чувствовать при любых темпах роста посещаемости, хотя по экономическим соображениям обычно эффективнее иметь где-то 1.5 кратный запас.
                                                          0
                                                          Кстати, если не секрет - расскажите, в каких проектах, которые держат 200-400 запросов в секунду, участвовали Вы лично?
                                                            0
                                                            Об этом неуместно тут говорить, но таких проекта 3. Все они достаточно известны с числом уникальных IP от 10 тыс до 200 тыс в сутки.
                                                            Сразу отвечу на предыдущий вопрос, норм как на производительность, так и на "запас мощности" нет. На проекте, похожем на этот при 14 тыс. посещений в сутки нагрузка больше 100 запросов в секунду к контентному URL (не картинки и пр. статика) случается примерно раза два в неделю.

                                                            Необходимость "запаса" обусловлено исключительно издержками от потери работоспособности сервера на некоторое (известное нам) время. Если ущерб (прямой и косвенный) много меньше, чем стоимость доработки программно-аппаратного комплекса, то и фиг с ней. Пусть не работает. Если же 10-минутный простой сопоставим со стоимостью улучшения, то даже 5-кратный запас мощности может быть оправдан.
                                                              0
                                                              Какая-то неравномерная у Вас нагрузка. 100 хитов в секунду в пике обычно соответствует 20-40 хитам в среднем, а это сильно больше, чем 14к посетителей в сутки (даже если каждый посетитель делает по 100 хитов - что тоже очень много).

                                                              Впрочем, не важно. Разумеется, бывает что надежность крайне важна. Но "типичный" web-сайт - не тот случай, и 5-кратный запас для него - пустая трата денег. Вот что я хотел сказать.
                                                          0
                                                          Я не раз уже замечал, что ночью на сайт войти сложно. Постоянно проблемы с загрузкой. Возможно, Вы в это время что-нибудь делаете с базой и ее производительность падает, и как следствие накапливается очередь запросов, что создает иллюзию атаки?
                                                            0
                                                            <irony>Вечером база, позевывая, ложится спать и ночью обрабатывает запросы сквозь сон</irony> :) Пожалуйста, сообщите на support@habrahabr.ru подробности возникающих проблем с загрузкой.
                                                            0
                                                            кеширование надо делать, если конечно маршрутизатор раньше не воткнёт или сокеты не закончатся...
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                        0
                                                        ого!
                                                          0
                                                          а сколько стоит DDoS?
                                                            0
                                                            смотря какой, разумеется.
                                                            там всё зависит от объёмов, от страны, от качества.
                                                            не каждый ддосер отдаст свою подсеть, ведь риск огромный её потерять.
                                                              +1
                                                              А что значит "отдать подсеть"? Я просто в этом не осень шарю, но интересно =)
                                                                0
                                                                про термин подсеть я написал не в прямом смысле.
                                                                т.е. есть у человека список зараженных компьютеров, это боты.
                                                                при сильной атаке - этот список банится провайдером, т.е. атака на этого хостера уже невозможна, как мы знаем крупных и хороших хостеров очень мало.
                                                                на нашем одном проекте был недавно DDOS, очень сильный, так что пров, а он не из мелких, ощутил нагрузку на своих каналах, и как нам сказали - ip кинули в "черную дыру", таков термин, я хостеров изнутри не знаю.
                                                                ну суть думаю понятна.
                                                                  +1
                                                                  Да, спасибо большое.
                                                                    0
                                                                    "черная дыра" - убирают маршрутизацию для определенного ИП, и анаунсят всем аплинкам тоже его не маршрутизировать.
                                                                  0
                                                                  Разве нельзя просто ддосить своей подсетью чей-то сайт? Зачем просто отдавать?
                                                                    +2
                                                                    я выше отписал, что имел в виду, своей подсетью рисковать это как всей семьёй со стволами на улицу выйти.
                                                                    0
                                                                    Если Distributed Deny of Service, то адреса должны быть в разных сетях, иначе очень просто зафильтровать.
                                                                      0
                                                                      я потом оставил комментарий, что имел в виду под подсетью, всё верно, моя ошибка.
                                                                      я подразумевал ip адреса, которые заражены, т.е. определенная сеть пк.
                                                                        0
                                                                        ботнет
                                                                  +2
                                                                  Не оставим хулиганство безнаказанным!
                                                                  Дадим противникам достойный отпор!

                                                                  ping -i 2 217.147.30.151

                                                                  :D
                                                                    +4
                                                                    Командочку подкорректировать надо :)
                                                                    ping -t -i 2 127.0.0.1
                                                                      0
                                                                      пол линух лучше так: ping -i 0.05 -f 127.0.0.1
                                                                      :) пускать из под рута

                                                                      а тем кто жаждит ести больше всего так: ping -i 0.01 -f 127.0.0.1
                                                                    0
                                                                    Да, на упячке чё-то писали, что хабр какую-то войну объявил и щас к нему прийдёт ппц и наступит пятой лапой (вроде так).
                                                                      –1
                                                                      все в восторге просто от трансформеров :) нельзя отдавать хабракуб!
                                                                        +1
                                                                        Наверное, нужно написать провайдерам тех компьютеров, с которых идут атаки, чтобы они их отключили. Либо как то блокировать адреса, чтобы сервер хабра не выдавал ответы на те айпишники, раз их всего 90, это наверное не сложно
                                                                          0
                                                                          есть стандартная процедура при атаке.. только она всё равно делается админами вручную — пишется скрипт, который определяет характер запросов и банит подозрительные IP, делов на полчаса, так-то.. если расти не начинает
                                                                            0
                                                                            есть автомат, называется Snort (IDS) + snortSAM (плагин). Первый следит за подозрительным, второй подозрительному накручивает хвост. Но с этой штукой нужно быть очень осторожным, оно может весь сервак законопатить наглухо, не пробьетесь )
                                                                              0
                                                                              при хорошем досе это не поможет
                                                                              при большом списке IP сервер будет ложится еще до запуска скрипта
                                                                              проверено опытным путем
                                                                              как решали проблему
                                                                              1) ip (до 1000) скрипт
                                                                              2) (более 1000) выделили отдельный сервер (FreeBSD) через который идут все запросы
                                                                              На нем конфигается файервол

                                                                              Есть аппаратное решение защиты от ДОСа (очень дорого от 15000$)
                                                                              Как сказали специалисты толку не много

                                                                              Самое простое решение отдельный сервер для защиты + толковый админ
                                                                                0
                                                                                да какой уж там скрипт... добавьте 2000 правил в ipfw или таблетки, сразу ляжет сервак.
                                                                                  0
                                                                                  Пробовал, не ложится. Правда не под ддосом, просто нагруженный.
                                                                            0
                                                                            Думаю, это Давид Крамер и его братья-близнецы.
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                +1
                                                                                истирички™
                                                                                я вот смотрю со стороны и понимаю, что параноиков и идиотов хватает и там и тут.
                                                                                  0
                                                                                  Самизнаете у кого много денег на DDoS-атаки.
                                                                                    +1
                                                                                    думаете это самизнаетекто?

                                                                                    нас, кстати, тоже досят.. у нас сервак поменьше и специализация другая... все равно досят... И уж мы самизнаетекому - не конкуренты
                                                                                      0
                                                                                      Нет, я так не думаю.
                                                                                      Прошлый коммент своего рода шутка.
                                                                                    0
                                                                                    На каждом крупном портале, раз в жизни да появлялись сообщение о DDOS атаках?
                                                                                    Скажите, а кто этим вообще занимается, конкурирующие сайты, интернет-мафия?
                                                                                      0
                                                                                      обычно этим занимаются конкуренты. За руку поймать сложно, потому, что если поймать - это будет подсудным делом (нечестная конкуренция и все дела). Но, тем не менее, метод используется. Хотя и далеко не всеми.
                                                                                        0
                                                                                        Можно поподробнее про доказательство DDoSа? Каким способом можно это доказать?
                                                                                        Насколько пробиваемы отмазки, типа "У нас сеть 150 компов выходим через гейт. Наверное завелись трояны. Мы будем лечить". Как я понимаю нужно доказать факт осмысленности DDoSа. Или я неправ?

                                                                                        ЗЫ: Сам иногда шлю запросы, для того, чтобы спамеры получили штрафы в партнерках. В мягком режиме, конечно, 10 запросов в секунду.
                                                                                          0
                                                                                          а ведь и правда сетки бывают по 1000 машин с одним ипом. Сам сижу в сетке где на 500 машин - один внешний ип, покупать себе выделенный ип никто не хочет :)
                                                                                        0
                                                                                        да обычно этим занимаются конкуренты, достаточно распространенный метод
                                                                                        недавно пришлось столкнутся с этим вплотную, честно говоря хорошего мало, когда IP не 90-100
                                                                                        а около 3000 – 5000 и меняются с частотой 10-20 минут, справится не так просто.
                                                                                        Качество ДОСа зависит от цены, чем больше количество ботов тем дороже.
                                                                                        цена от 20$ до 1000$ в сутки.
                                                                                          0
                                                                                          Если, так быстро меняются IP, то кроме DDOS можно и контекстную рекламу конкурентов сливать в бешенном темпе.
                                                                                            0
                                                                                            Именно в сутки? Что-то дешевый ДОС, я думал что такой диапазон денег - это за час.
                                                                                          0
                                                                                          по мне легче 90 ИП забанить. вроде не так трудно.
                                                                                            0
                                                                                            Прошу прощения, что встреваю в ваш разговор, но как написать в какой нибудь блог? Пытаю написать в "Я умный" и при нажатии на кнопку add меня молча перекидывает на страницу вики. В чем дело?

                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                            Самое читаемое