Выборы, выборы - ддосят сайты...

Previous Entry Поделиться Next Entry
5 декабря, 2011
e_kaspersky
Всем привет,

Продолжение темы ддоса сайтов - ЖЖ, политизированных, партийных и прочих. Итак, с проекта анти-ддос сообщают.

1. По поводу ЖЖ. По нашей информации с 28го ноября по сегодняшний день (5е декабря, после обеда) ЖЖ ддосили один раз и чуть более получаса.
Жертва: golos-org.livejournal.com, время ддоса: 4 декабря примерно с полудня до половины первого.

Еще раз. Мы, конечно же, видим не все ддос-атаки. Что-то проскальзывает и мимо нас. Но оно проскочило и мимо всех других компаний, которые занимаются изучением или защитой от ддос-атак. Т.е., если атака действительно была - то это был не ддос, а что-то другое. Но, скорее всего, атаки с использованием ботнетов просто не было.

Это предположение лишь подтверждается твитами и постами сотрудников ЖЖ и СУПа:

adagamov: IMHO Касперский в DDoS принимает самое активное участие... бывших КГБшников не бывает, точно
adagamov: Я вообще удивляюсь тем, кто ставит к себе на РС "антивирус" бывшего КГБшника. Представляю, какую инфу о владельце "антивирус" сливает.
http://dolboeb.livejournal.com/2242543.html -> «С нетерпением жду глубокомысленной аналитики от говноэкспертов - о том, что сайты Слона, Эха Москвы, Коммерсанта, Большого города и проекта Карта нарушений полегли в день выборов из-за криворукости админов и неуёмной жажды монетизации»

Если главным аргументом в дискуссии является "бывший КГБшник", то дискуссию можно считать закрытой :) А Носику передавайте, что приставка "гов..." превосходно сочетается не только со словом "эксперт".

Ну да ладно. Вернёмся к острой теме самых заметных ддос-атак на ресурсы Рунета.


2. Зафиксированные нами атаки 2-4 декабря сего года.

Жертва: zaks.ru, атака шла аж с двух ботнетов.
Жертва: kartanarusheniy.ru, атака с двух ботнетов, атака продолжается до сих пор.
Жертва: levada.ru, но, похоже, атака была слабой и ресурс не пострадал.

Ага, вот:

Жертва: forum-tvs.ru - это форум Эха Москвы. Атака продолжается до сих пор.

Тот же ботнет ддосит и контору по ремонту офисов и квартир mskrem.ru :) Похоже, что просто заказной ддос-сервис: кто заплатил - тому и ддосим.

А вот самое интересное. Тот же ботнет, что ддосил Леваду, 4го декабря ддосил еще два ресурса - ЕдРо и КПРФ: er.ru и kprf-tula.ru :)


3. В Инете сообщают, что были атаки и на прочие ресурсы, которые от этого пострадали, - но у нас этих атак не видно. А именно, на головной Web-сайт Эха (echo.msk.ru), Коммерсанта (kommersant.ru), на главный сайт Голоса (golos.org), «Большой Город» (bg.ru), Slon.ru, newtimes.ru – этих ддос-атак мы не зафиксировали.

Что это было?

3.1. Серьёзные Ддосы мы бы заметили, скорее всего.
3.2. Я с трудом верю как в то, что "пришли чекисты и выдернули шнур" - так и в то, что "устроили самострел, дабы попиариться как жертва кровавого режима".
3.3. Не исключен сценарий, что перегретые политической жизнью граждане с активной позицией "закликали" раскрученные политизированные сайты. Т.е. эти ресурсы вполне могли стать жертвой своей популярности (кстати, с нами самими пару раз такое тоже случалось). Лечится это увеличением бюджета IT-подразделений и переводом сайта на более толстый канал, на железо получше, а еще лучше - побольше зеркал в разных регионах.

Конечно, было бы очень любопытно точно узнать - что же за это была за напасть, косившая сайты 4го декабря. И мы можем помочь. Если у пострадавших ресурсов есть желание - обращайтесь. Выделим специалистов, поможем выяснить причины и выпишем рецепт куда идти лечиться. Дабы не было рецидива весной 2012 :)
Метки: ,
Previous Entry Поделиться Next Entry
к тому же засилье спамботов в жж может тоже сыграло свою роль

а с Ридусом что?
пол дня не работал!

>А вот самое интересное. Тот же ботнет, что ддосил Леваду, 4го декабря ддосил еще два ресурса - ЕдРо и КПРФ: er.ru и kprf-tula.ru :)

Хаааахахаха...
Напомнило историю про немецкие банки во Англо-Французкой войне =)))

Подскажите, пожалуйста, как бороться с DDos на уровне серверного сисадмина (исключая небюджетные варианты типа Cisco)?

нанять хорошего админа. задорого. который сможет быстро понять тип атаки и покрутить нужные настройки.

Зависит от атаки. ДДОСы бывают разные.
Простив ДДОСов прикладного уровня можно что-то противопоставить.
Простив атак сетевого уровня, когда просто забивают канал мусором - уже гораздо сложнее.
В обоих случаях прикрыться от такого стоит денег.

Хабраэффект - тоже ДДОС своего рода, только атакой не является ;)

Носик молодец, да. то есть в Козмо говноэкспертов не было, а тут внезапно... :)
а вобще по количеству падений жж в этом году я скорее поверю в кривой код. учитывая, что любое падение сопровождалось комментариями в РФ "ааа!!нас ддосят", а в иноязычных новостях ни слова об атаках.

(Удалённый комментарий)
(Удалённый комментарий)
Евгений, я случайно работаю в ООО "ДДОС ЗАЩИТА", сайт нашей фирмы спокойно находится через поисковые системы. Если в 2009 году полоса атак редко превышала 20 гигабит и 1 mpps, то в 2010-2011 году атак превышающих эти цифры существенно больше. Превалирующая масса атак была сделана при помощи пакетных генераторов, работающих на узлах с возможностью отсылки пакетов с подделкой адреса отправиля. UDP поток появлялся в результате атак на DNS сервера с открытой рекурсией с подделкой адреса жертвы, а SYN атаки и др. атаки направленные на перегрузку портов выполнялись напрямую. В частности перед выборами на одного из наших клиентов пришло 6mpps SYN флуда, а это очень много на самом деле... трафик приходил из пира с de-cix. Потом в 2011 году один большой торрент-трекер каким-то образом заставил ходить торрент-клиентов по HTTP на веб-сервер другого нашего клиента, хостов в логах было больше 600 тыс. Атаку пофильтровали, трекер методом тыка установили. Далее, если рассуждать не на тему ботнетов, был ряд атак при помощи iframe, достаточно эффективных, но это не ново и наша система это фильтрует. В довесок есть различные легальные клик-сети из разряда "заработок в сети", где пользователь с запущенным кликером в скрытом окне и ведать не ведает по каким сайтам он ходит. Атаки с такого сервиса были, установить его не представилось возможным. Теперь хочется спросить... Вы серьезно считаете, что slon.ru стоящий у qrator.net валялся от переизбытка пользователей? Или вот ЖЖ, который в один момент отсветился раутами у prolexic.com валялся просто так? Тому же ЖЖ HTTP трафик с этих школоботнетов не особо страшен, они по всей видимости испытывают проблемы от перегрузки портов на балансировщиках + полоса мусорного трафика. У нашей фирмы с ЖЖ не срослось, причем по какой-то их внутренней причине, связанной с недопониманием сути происходящего. До 4 декабря считал, что в РФ какая-то из фирм по защите от ДДОС может составить нам конкуренцию, но с учетом падения slon.ru под протекцией qrator.net... пью шампанское.

Если посмотреть на другие цифры, то в Ваших словах есть и правда... вот как-то не верится в тот факт, что кто-то где-то в тайне от Касперского смог заразить 200 тыс. компьютеров. Это очень серьезная цифра, такой ботнет в оригинале должен тыс. на 500 выглядеть по всей видимости... у меня сомнения по поводу такого массового инсталла за короткий срок.


Кстати, основная причина падения slon.ru -- недостаток времени на обучение системы на HTTP-уровне. Если бы они пришли хотя бы за 3 дня, этих проблем, скорее всего, не было бы. Кроме того, мы отстояли и остальные сайты либеральных СМИ. Так что рано пьёте шампанское :-)

да, вместе со слоном валялся и сайт qrator.net ... т.е. слона убили вместе с сайтом фирмы оказывающую услуги защиты.

Можно пруфлинк, пожалуйста? Мы работали в воскресенье, отражали атаки (включая те, которые Евгений Валентинович считает несуществующими), и что-то я не наблюдаю даунтайма в логах.

извините за флуд, но тут еще немного нумерологии

http://slon.ru/russia/ddos_ataki_na_nezavisimye_smi_kto_eto_sdelal_i_skolko_eto_stoit_-721912.xhtml

Qrator сообщает, что атака в пике была 250 мегабит... 250 мегабит с 250 тыс компьютеров.

?

Log in

No account? Create an account