О ЖЖ, СУПе и власть имущих - взгляд технаря

[beldmit]

Читать здесь.

http://dbg.livejournal.com/63762.html#cutid1
http://dbg.livejournal.com/64462.html#cutid1
http://dbg.livejournal.com/64577.html#cutid1

То, насколько хватает моего знания веб-технологий и TCP/IP (второе - очень мало), не позволяет оспорить выводы автора.

Возникает, впрочем, более интересный момент: кто учинил эту DDoS-атаку? Тут теоретически для всякой сволочи от власти места больше, но скорее всего ботнет-дело рук каких-то энтузиастов из низового звена. Что я о них думаю, впрочем, в приличном обществе вслух все равно не говорят.

Comments

[(Anonymous)]

В случае с сайтом каспарова дело вовсе не в DDoS, судя по всему.

[dimrub.livejournal.com]

Это был я

[alexkuklin.livejournal.com]

по поводу защиты от DDoS...
не более чем на троечку, т.к. в результате то, чего добивались атакующие - они достигли.
в частности, я не понимаю, почему мимо фильтров не были пропущены запросы от авторизованных платных пользователей.

[stas]

Потому что фильтр стоит сильно раньше той части, которая понимает авторизацию. И заставить фильтр понимать, что такое пользователь и какая у него бывает авторизация - очень нетривиальная задача, к тому же имеющая потенциал свести на нет всю пользу от фильтрации - задача фильтра быстро выбросить мусор, а если он будет каждый запрос сверять с базой данных авторизованых пользователей, то он сдохнет.

[alexkuklin.livejournal.com]

да ну?
как минимум, ip-based white-list можно сделать быстро и эффективно

[stas]

Это если нужная железка поддерживает ip white list размером эдак в миллион штук, с задаваемым извне expiry time и задаваемым извне же списком адресов.

[alexkuklin.livejournal.com]

а это, извините, не мои проблемы.
при таком размахе соответствующим оборудованием следует озаботиться.
задача распределения нагрузки в кластерной системе - вполне решаема.

каждый мнит себя стратегом

[stas]

Конечно не ваши. Известно, что каждый человек является экспертом в футболе, медицине, политике и вот средствах защиты от DDOS-атак.

Re: каждый мнит себя стратегом

[alexkuklin.livejournal.com]

должен, однако, заметить, что я при этом являюсь действующим админом и в мои обязанности входит защита части серверов (тех, которые представляют интерес для определенных лиц) от атак.

размах, конечно, не тот, но тем не менее :)

Re: каждый мнит себя стратегом

[stas]

Я ни на секунду не сомневаюсь, что когда вы будете админить сайт с полутора миллионами активных пользователей, несколькими тысячами хитов в секунду и сотней разных серверов - то у вас не будет никаких проблем с DDOSами.

Re: каждый мнит себя стратегом

[alexkuklin.livejournal.com]

Скорее всего будут :)

Это ж разные стороны баррикад.

Я, как пользователь, хочу получить сервис, без ограничений, в соответствии с обещанным при регистрации.
6врозь будет стараться решать все вопросы минимальными затратами, при необходимости ограничивая сервис (в рамках допустимого с их точки зрения).
Когда эти рамки оказываются более широкими, чем я (как пользователь) готов принять, у меня появляется желание задать вопросы. Чем более квалифицирован в предмете пользователь, тем сложнее от этих вопросов просто отмахнуться словами "так надо". :)

[dbg.livejournal.com]

Даже не знаю, что на это сказать.
В рамках наличных ресурсов ЖЖ справился хорошо.

[alexkuklin.livejournal.com]

// принимая как рабочую гипотезу версию о защите от DDoS (а не что-либо еще)

судя по имеющейся (косвенной пока) информации, 6врозь не озаботился применением не-технических ресурсов для решения проблемы, что imho странно

[stas]

Нетехнических это каких? В российскую милицию пожаловаться?

[alexkuklin.livejournal.com]

СУП

[stas]

Что - СУП?

[beldmit.livejournal.com]

Развей мысль.

[dimrub.livejournal.com]

Муа-ха-ха

[dbg.livejournal.com]

Вот-вот.

Даже без автоматического expiration. Потребный размер access-list'а превосходит все разумные пределы.

[dbg.livejournal.com]

> я не понимаю, почему мимо фильтров не были пропущены запросы от авторизованных платных пользователей

Каким именно образом предлагается это реализовать? В смысле пропустить авторизованных платных пользователей мимо такого фильтра.

[alexkuklin.livejournal.com]

например, формированием белого списка IP, с которого пришли добропорядочные пользователи и не валится мусора.

я, как платный пользователь, желаю видеть сервис, функционирующий без крайне странных ограничений.
кроме того, я не понимаю, почему я не получил сразу внятного ответа на жалобу в саппорт.

[dimrub.livejournal.com]

Если бы не особенность русскоязычной блогосферы подбирать какашки и тщательно их обсасывать, никто бы никаких ограничений не почувствовал. Я просто торчу с того, какому количеству людей вдруг срочно понадобилось писать посты со словами ru_nbp в них.

Ну и ожидать СРАЗУ ответа на жалобу в саппорт - это, прямо скажем, наивно.

[beldmit.livejournal.com]

Дима, я подозреваю, что посты со словами, которые нельзя писать, все равно составили малую долю от того, что присылали атакующие. А русскоязычный сегмент сейчас живет в ожидании цензуры - от кровавой гебни ли, от власти с добрыми и мудрыми глазами - не важно, поэтому реагирует несколько избыточно остро.

Претензия к саппорту, напоминаю, состоит не в отсутствии моментального ответа на жалобу, а в перевод жалобы под замок.

[alexkuklin.livejournal.com]

не в последнюю очередь, да.
т.е. перевести жалобу в private они успели, а сделать copy-paste из заготовки - нет.

offtop

[(Anonymous)]

ты бы апельсины из своего резюме выкинул....
Gor