Форум Сообщества Практиков Конкурентной разведки (СПКР)

igrick рассказывает, почему LJ опять плохо. К сожалению, рассказывает он это в том самом LJ, которому плохо, так что фиг прочитаешь. К счастью, я смог достать эту запись из кэша Яндекса. Вот копия:

andrzejn.dreamwidth.org/1869060.html

За что? А пDDoSто так!

Folks, прошло достаточно времени для того, чтобы собрать необходимые данные и с уверенностью сделать из этого неутешительный вывод — к сожалению, это был и есть DDoS, причем такой мощности и характера, что до серверов LiveJournal он даже не дошел, т.е. магистральные провайдеры Qwest и Verizon, поставляющие услуги в дата-центр, где расположены наши сервера, не выдержали нагрузки, и весь дата-центр, т.е. не только LiveJournal, были отрезаны от мира как минимум на 5 часов. Не работала даже резервная консоль, которая позволила бы нам хоть как-то понять, что происходит с сетевым оборудованием (при этом данные пользователей по-прежнему надежно защищены ввиду архитектуры LiveJournal, за это можете не переживать), поэтому единственным источником информации для нас были вышеупомянутые провайдеры, отвечающие на наши вопросы, и не только наши, но и остальных клиентов, в стиле «we are experiencing network routing issues». Позднее был настроен и запущен DDoS Mitigation Protocol, по результатам которого стало видно, что трафик в нашу сторону составлял в среднем около 6 гигабит при пиках в 8 гигабит (напомню, в прошлые разы он составлял около 2-х гигабит в пике), что по всей видимости является потолком для Qwest и Verizon на данной площадке. При этом, как и в прошлый раз, никаких преференций с точки зрения атакуемых выбрано не было и «валят» весь LiveJournal.

На данный момент этот протокол все еще в работе и площадку все еще атакуют, и именно работой этой системы и вызвана вся та нестабильность, которая сейчас проявляется при работе с LiveJournal. Но тут либо нестабильность, либо полный blackout (и опять же — не только для нас, но и для всей площадки), так что из двух зол мы выбрали меньшее.

Из того, что в отдельных случаях может не работать (например, на работе работает, а дома — нет):

отправка записей;
отправка комментариев;
изменение настроек;
новая авторизация;
регистрация;
добавление/удаление друзей;
и прочие операции, осуществляемые методом POST с более-менее весомым телом.

Из того, что мы делаем/сделали — c Апреля мы увеличили пропускную способность текущих каналов почти в два раза и даже успели прокопать третий, который в данный момент подключают. Производительность оборудования так же была увеличена в разы, и мы в процессе еще большего расширения. Mitigation протоколы настроены и включены.

В очередной раз надеюсь на понимание, терпение и непереключение.

вот такое хреновое лето

Картинки с DDoS Mitigation Report от Verizon:

что-то ДДОСят все чаще - вот и Хабра недавно атаковали. См. на _ttp://habrahabr.ru/company/highloadlab/blog/125018/ подробности

может просто пиар-акция - они же сейчас конкурируют между собой (см. статью на _ttp://krebsonsecurity.com/2011/08/digital-hit-men-for-hire/)

[q]

...
There are dozens of underground forums where members advertise their ability to execute debilitating “distributed denial-of-service” or DDoS attacks for a price. DDoS attack services tend to charge the same prices, and the average rate for taking a Web site offline is surprisingly affordable: about $5 to $10 per hour; $40 to $50 per day; $350-$400 a week; and upwards of $1,200 per month.
...
Of course, it pays to read the fine print before you enter into any contract. Most DDoS services charge varying rates depending on the complexity of the target’s infrastructure, and how much lead time the attack service is given to size up the mark. Still, buying in bulk always helps: One service advertised on several fraud forums offered discounts for regular and wholesale customers.

The unwitting conscripts in these cyber armies are hacked PCs that the service owners remotely control via malicious software. Some DDoS services disclose how many bots they have corralled into their armies. One service claims: “Average in-line bots from 1,500 to 5,000 bots, enough to work on challenging projects with an anti-DDoS protection, and protection type CISCO ™ GUARD.”
...
According to the Darkness creators, the bot is continuously being updated by testers and coders (reportedly in its ninth major revision). It claims to be able to configure infected machines for use in four types of DDoS attacks at a moment’s notice, and to steal passwords stored by a variety of Web browsers and Windows programs.

“Our bot has almost no load on the system, allowing it to remain invisible for very long,” the Darkness team boasts in its ads. “Bot is lightweight and gets along well in the system.”

How many infected PCs or bots does one need to incapacitate an intended target? The individuals pimping the Darkness DDoS botnet creation package provide a handy reference.

From their ad (translated from Russian):

• 15-30 bots (!!!) knock off line a relatively small site.

• 250-280 bots – the average site.

• 750-800 bots – a large site.

• 2,000-2,500 bots – great site with Anti-DDoS protection

• 4,300-4,700 bots – a cluster of sites, even when using the Anti-DDoS protection, blocking, etc.

• 15-20 thousand bots – take offline virtually any site with any protection.

Anyone interested in a technical analysis of the software that powers these DDoS services should take a look at research from Shadowserver.org, Arbor Networks and Dell SecureWorks.
...

[/q]