Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.
Kp.ru распространило релиз:
Минувшей ночью сайт "Комсомольской правды" KP.RU стал недоступен. Утром и днем 5 сентября ресурс то работает, то "падает" вновь.
Как выяснилось, популярный портал стал мишенью хакеров.
- Это DOS-атака, - сообщил руководитель интернет-службы ИД "Комсомольская правда" Иван ФРОЛОВ. - Мы фиксируем десятки тысяч одновременных обращений,
в результате серверы не выдерживают нагрузку.
В настоящее время программисты KP.RU ведут работу по выявлению IP злоумышленников.
Комментарий Roem.ru: а зачем им айпишники компьютеров из ботнета?
Добавить 21 комментарий
Не в первый раз уже. Но выпускать такие релизы это непрофессионально — организаторв DDOS они не найдут.
ip адреса ддосеров они могут найти в логах веб-сервера или фаервола, а если им нужны заказчики ддоса, то накой им ip адреса их?
В принципе, если быстро-быстро выявить IP-ботов, а потом прийти к ним, то с участников ботнета можно будет вытащить адрес управляющего компьютера. Вряд ли он будет исполнителем и/или заказчиком атаки, поэтому действие придется повторить.
Чего там быстро выявлять tail -n 1000 access.log| awk {‘print $1’} | sort | uniq -c | sort -nr
alfa, код пишет tail: access.log: No such file or directory Что нам делать?
Надеюсь, коммент выше — шутка:))
find / -iname access.log
Это DOS-атака, — сообщил руководитель интернет-службы ИД «Комсомольская правда» Иван ФРОЛОВ. и DDOS, а не DOS кстати
DDOS это частный случай DOS, так что фраза Фролова вполне верная, хотя для специалистов и не совсем конкретная
Честно говоря меня реально убивают вопли крупных сайтов/проектов/издательств когда они вместо того, чтобы потратить один раз штуку баксов и купить самый простой сервер для FW + заплатить немного тем, кто его вам правильно отстроит и забыть навсегда про любые DDOSы, начинают искать «IP адреса DDOSеров» :) По сути вопроса — обычно если ддосят «правильным» флудингом (читай неправильными пакетами с кривыми заголовками), то обычный веб-сервер просто не в состоянии понять какие реальные IP адреса шлют пакеты и сделать с этим ничего не может. В итоге даже 200-300 зомби машин может завалить вам любой по мощности сервер. Возможно они не умеют просто правильно настраивать FW и ищут IP адреса DDOSеров именно этих самых машин с которых идет флуд. Иначе я просто не понимаю что они имею ввиду :) IP адреса ботов с FW видно сразу же, IP адрес управляющего сервера — его может в принципе не быть (бывают P2P ботнеты), IP адрес заказчика? Ж) В общем «непонятно…» :) (Камеди Клаб) PS. А вообще мне например постоянно DDOSят разные проекты, если сайт не ложится, то атаку довольно быстро снимают. Если все настроено верно — то атаку замечаешь только в мртг спустя некоторое время. В общем страшного ничего нет с этим довольно легко можно бороться, если конечно позволяют каналы.
Кстати сайт у меня открывается без проблем их.
to программист kp.ru 05.09.2008 20:25:53 > tail: access.log: No such file or directory > Что нам делать? Увольняццо. Срочно! :-D :-D
В настоящее время программисты KP.RU ведут работу по выявлению IP злоумышленников. Флаг им в руки, топор в спину, ветер в морду и паровоз навстречу. :-D Вроде не 1-е апреля. :-) Ну ладно бы там «мы работаем над исправлением проблемы» или «наши специалисты совместно с милицией пытаются выйти на организаторов». У истинного злоумышленника АйПи един — сто двадцать семь ноль ноль один. ;-)
to unimaximus: > Честно говоря меня реально убивают вопли крупных сайтов/проектов/издательств когда они вместо того, > чтобы потратить один раз штуку баксов и купить самый простой сервер для FW + заплатить немного тем, > кто его вам правильно отстроит и забыть навсегда про любые DDOSы, начинают искать «IP адреса > DDOSеров» :) хороший, сочный DDOS а) довольно трудно отловить и б) еще труднее отфильтровать, так что бы под фильтр попал только он и не попал «нормальный» трафик. Если он (DDOS) уже дошел до сервера, то и то и другое сделать еще труднее, в разы. В любом случае фильтровать его прибором за $1000, что бы он собой не представлял — это сильная заявка на успех. Расскажите как Вы намерены фильтровать поток в 2-3 гигабита пакетами байт по 40-60 «сервером» (сервер — это что — вот прямо таки сервер о x86 апроцессоре с freebsd/linux в ём?)? Я не знаю деталей этого конкретного случая, зато хорошо знаю что у сайтовладельцев (каких бы то ни было, пусть даже мегакрупных) подходящих технических средств не бывает, никогда. Ну, разве что у самой-самой верхушки (яндекс-одноклассники-вконтакте-mail.ru). Это приборы в сотни тысяч не рублей, довольно специальные. Их общее количество установленных и работающих в России исчесляется в штуках (не в десятках даже).
P.S. Но выявлять ip-адреса с которых идет этот поток мусора — конечно, бессмысленное занятие.
eermakk, за каждое слово готов ответить :) Мои проекты отлично жили и под 3гигабитами ДДОСа, правда ГолденТелеком очень сильно ахреневал от такого. Сейчас мы даже оказываем услуги и защищаем клиентов своего датацентра от ДДОСов. Стоит это $100-$150 в сутки если не очень много трафика. Реально каждую неделю кого-то ддосят, это нормальная рабочая обстановка. По поводу мощности сервера — мощность погоды не играет никакой, вполне достаточно 4гига чтобы с запасом влезали все ИП в память и если запросов очень много, то апдейтится сетевуха на хороший Интел (~$200), после чего сервер легко работает с 10-25тыс коннектами. Вторым концом пихаете его в ваш сервер и любой средний ДДОС (до 1гигабита вам не страшен). OC — FreeBSD.
Короче руки нужны правильные иначе никакая железка тебя не спасет :)
Так вам надо антиDDOS хостинг предлагать. Крупные сайты без своих ДЦ сразу соберете
> Короче руки нужны правильные иначе никакая железка тебя не спасет Без правильных рук ничего не будет, но пока я не увижу своими глазами фильтрацию потока от 150-300 тысяч источником, пакетами сильно разного размера, протокола и типа, с полосой в первые гигабиты (2-3-4), описанной выше конструкцией, и так что продуктивный трафик не страдает — не поверю. Само собой, бывают и простые случаи. Но они редки. Ставить между сервером с каким-то ресурсом и сетью еще чей-то сервер — ресурсовладельцы не захотят из обоснованного чувства паранойи. Сервер может быть сильно не один. ну, и т д, тут много факторов. После этого вспомним, что у хостера — сотни ресурсов. Вы что, предлагаете каждому поставить вот по такому серверу? Вы снижаете емкость своего технологического помещения на треть или больше. > правда ГолденТелеком очень сильно ахреневал от такого Конечно, Он охреневал, но не от ловкости ваших рук, а от того незатейливого факта, что ему (Голдентелекому) приходилось доставлять весь этот стремительный поток мусора от своих границ до сервера-цели, тащив его через пол-сети. Вливается он на 90% из аплинков, от всяких американских, китайских и индийских dsl-ей. То есть, вот от точки входа до серверов надо доставить. Точка входа — в лучшем случае в Европе, а то и дальше. Само собой, у них есть желание этого не делать, а применить жестокий метод — зафильтровать все прямо на входе в их сеть. Охренеешь тут.
> Так вам надо антиDDOS хостинг предлагать Такие существуют. Есть среди хостеров сущности, которые это умеют делать крайне ловко. Во всех смыслах — и отделить флуд от продуктивного трафика, с сделать это на границе своей сети (а не тянуть все это от границы до сервера-цели атаки. Этот факт не стал решающим в процессе собирания крупных сайтов без своих ДЦ. Вообще никак не повлиял.
>Так вам надо антиDDOS хостинг предлагать. Крупные сайты без своих ДЦ сразу соберете У нас нет вообще проблем с клиентами, мало того крупные сайты (типа мейла, вконтакте, депозитфайлс, укоз и тд) частично размещены у нас. антиДДОСом пусть занимаются хостеры. Это их прямая задача. Я просто привел пример, что в текущих реалиях ДДОСят реально очень часто и даже малозначительные сайты, однако минимальные деньги решают их проблемы и ваше я написал только потому, что считаю, что КП просто таким способом привлекает к себе внимание. errmark, ты можешь мне верить, можешь не верить — все это личный опыт. Времени спорить нет :)