среда, 6 апреля 2011 г.

DDOS LJ - Подробности?

Похоже цирк с DDOS продолжается. 4 апреля ЖЖ не отвечал, по моим оценкам около 12 часов, хотя может быть ошибка на пару часов в любую сторону. В отличии от 30 марта до серверов от меня не доходили пинги. Без технических деталей понять что это такое не получается, но информация к анализу ситуации есть.
Блог Носика и его статью для журнала оставим за скобками, поскольку там только эмоции, а сам Носик к СУП вроде как отношения не имеет.
Пост ljru_staff фиксирует время начала атаки в 14 часов 4 апреля GMT+4. Там же есть ссылка на "Дополнительные подробности".
Попадаем на пост igrick с романтически названием "Как закалялся ЖЖ". В первых строках читаем: "Эта запись будет посвящена в меньшей мере техническим деталям и в большей - рассуждениям о причинах и следствиях". Блин а где "Дополнительные подробности"?
Это подробности:
"По типу атака отличалась от той, что была 30-го марта. Если предыдущая была смесью из syn и прикладного уровня флуда, т.е. в разной степени направлена на оборудование и канал, то вчерашняя была направлена исключительно на отказ канала и сетевого оборудования и представляла из себя замусоривание последнего битыми TCP-соединениями. В какие-то периоды из Москвы не проходил даже Ping, но расположенные ближе к серверам компьютеры в то же время вполне могли и пробиться (именно по этой причине www.downforeveryoneorjustme.com говорил то про то, что лежит для меня, то про то, что лежит для всех)"
В итоге добило меня сообщение от Касперского . Классная статья с кучей информации, но блин вопросов она порождает больше чем ответов. Да и стыкуется с официальной версией ЖЖ слабо. Те были под атакой, по их словам постоянно с 24 марта…
Итого имеем:
1. Сначала совпадает старт системы фильтрации трафика, потом 30 марта идет реальный DDOS, а 31 марта СУП говорит, что ЖЖ досится с 24 марта и выкладывается картинка, где 28, 29 и 30 до 16-30 с трафиком все нормально. Сам DDOS длился около 7 часов видно на графике, я об этом говорил в предыдущем посте. http://r-a-permyakov.blogspot.com/2011/04/ddos-lj.html
2. 4 апреля DDOS длился опять таки около 7-8 часов. Я так думаю опять 7 часов… (По заявлению СУП)
3. Вопросы: Что это за DDOS? Какие цели можно преследовать такими короткими атаками? Почему сообщения СУП не стыкуются? Почему они до сих пор не обратились в полицию?
P.S. Идея что это тестирование возможностей при подготовке настоящего удара - бредовая по своей сути: механизм воздействия DDOS известен более 10 лет, как работает botnet тоже ясно, что при определенной активности можно заглушить любой сайт известно также. А проверку работоспособности конкретной сети, нужно производить на своем ресурсе, что бы посмотреть качество трафика, разброс адресов и другие тех параметры. Испытание на будущей цели - просто возможность дать цели подготовиться.
UPD: Появился пост у Носика, где есть 2 интересных факта:
1. "Однако же упорное нежелание обеих компаний (и российского <суп>а, и калифорнийской LiveJournal Inc.) привлечь к защите серверов правоохранительные органы — оправдать более чем затруднительно." (с) Носик
2."эта заметка "эксперта" - бессмысленное малоинтересное вранье, которое пытается сделать вид, что по следу одной части тела, может описать животное, структура этой атаки была другой, наиболее атакуемые адреса вообще не упомянуты в этом списке.
Коммерсантъ подвергался такой атаке и мы подавали заявление, так что ты понимаешь, что нет никакой идеологической проблемы с этим. Мы всегда за легальное решение проблемы. Но сейчас есть проблема юридическая и логистическая и не одна. Адвокаты этим заняты. После их заключения мы определимся как и где действовать. Какой-то лох из лаборатории Касперского "выражает недоумение
" (с)Демьяна Кудрявцева,damian, оригинал здесь.

Короче, с начала атаки прошло 14 дней, по словам СУП, а у них адвокаты, только этим заняты. Ну-ну...

Комментариев нет:

Отправить комментарий