хабраиндекс
84,07
22 октября 2012 в 18:50

Облака против тесака, или Хроника DDoS-атак на cvk2012.org

Блог Highload Lab на Хабрахабре обновляется нечасто — интересных DDoS-атак, на примере которых каждый может чему-то научиться, мало, а раздражать читателей бесконечными историями успеха не хочется. Тем ценнее действительно занимательные прецеденты, к числу которых, несомненно, относится нападение на сайты Центрального Выборного Комитета Координационного Совета оппозиции.

В предыдущих выпусках бортового журнала сети фильтрации трафика Qrator (обязательная рекламная ссылка — http://qrator.net/) мы выяснили, что в преддверии серьёзных мероприятий в Рунете лучше заранее озаботиться защитой от атак. Сегодня я расскажу вам, как можно, даже выполнив это требование, заработать себе пару бессонных ночей на рабочем админском месте.

Предыстория


Сотрудники ЦВК подошли к проблеме отказоустойчивости фронтенда системы голосования со всей академической серьёзностью и не стали складывать все яйца в одну корзину. «Морда» системы голосования была размещена в облаке Microsoft Azure, рекомендуемом для приложений на платформе Windows. Параллельно домен election.cvk2012.org был зарегистрирован в Qrator практически за месяц до описываемых событий и всё это время находился под профилактической защитой, что позволило накопить необходимую базу для обучения. Всё это позволяло рассчитывать, что выборный уик-энд в плане работоспособности сайтов оппозиции пройдёт так же спокойно и беспроблемно, как и несколько предыдущих митингов.

18 октября


Первый звоночек прозвучал в четверг. К этому времени маломощная атака на сайт регистрации избирателей шла уже 3 дня, однако в тот момент она впервые создала проблемы. Схема атаки — типичный JS LOIC: на предположительно устойчивом хостинге размещается страница с ECMAScript-кодом, который раз в 200 мс обновляет псевдоизображение с URL атакуемого сервиса. Аналогичную схему в апреле использовал сервис Вконтакте для «предупреждения» сайта antigate.com. В данном случае вначале атакующий скрипт располагался на сайте hellotesak.narod.ru, при этом серверы Яндекса не принимали участия в атаке – скрипт исполнялся в браузерах пользователей. Позднее этот сайт был заблокирован.



Выяснилось, что при некоторых условиях атакующий код создаёт серьёзные проблемы для базы данных. Так как времени на оптимизацию общения фронтенда с СУБД уже не оставалось, а запаса производительности у сайта для анализа истории всех входящих запросов не было, после консультации с техподдержкой Qrator заказчик решил тесно проинтегрировать приложение с системой фильтрации, предоставив ей обратную связь относительно трудоёмкости запроса к БД.



Таким образом, сайт был защищён от напастей до субботы.

20 октября


В субботу вечером злоумышленники переключили своё внимание на расположенный в Microsoft Azure сайт голосования — election.democratia2.ru. Само по себе облако продолжало работать, однако расположенный в другом месте сервер голосований был успешно убит таргетированной LOIC-атакой — на этот раз с сайта cvkhello.do.am. Вначале команда разработчиков попыталась побороть беду изменением архитектуры, потом ввела капчу, однако в полночь сайт голосования всё же был поставлен под защиту Qrator… без HTTPS — про него впопыхах забыли. Когда Qrator получил доступ к SSL, вдобавок сказалось отсутствие накопленной истории поведения легитимных пользователей.

Работа election.democratia2.ru/ была восстановлена к часу ночи воскресенья, 21 октября, после обучения системы фильтрации.

По информации от Meddy (сотрудника uCoz), cайт cvkhello.do.am просуществовал двое суток. Регистрация сайта происходила с IP-адреса, принадлежащего одному из крупнейших украинских кабельных провайдеров.



21 октября


Само собой, срочный отказ от Azure и масштабные изменения в коде не могли не повлиять негативно на общую производительность сайта. А в воскресенье злоумышленники наконец-то пришли к использованию, наряду с LOIC, полноценного ботнета с IP-адресами из азиатских и европейских стран. Суммарное число ботов, участвовавших в атаке, составило немногим более 130 тыс. без учёта NAT. Всё это вкупе привело к необходимости превентивно блокировать ряд потенциально подозрительных IP-адресов, допуская их на сайт поодиночке и анализируя историю поведения каждого из них в отдельности. Ближе к вечеру, когда самые узкие места в производительности защищаемого сайта были ликвидированы, доступ к сайту был предоставлен всем легитимным пользователям.



Сухие технические подробности атаки


  • Тип атаки: комбинированная, SYN-флуд + атака прикладного уровня (ботнет + LOIC)
  • Пиковая мощность SYN-флуда: 150 тыс. пакетов/с
  • Пиковая мощность атаки прикладного уровня: 3,8 тыс. HTTP-запросов/с
  • Число IP-адресов, участвовавших в атаке: ориентировочно 135 тыс.


Мораль?


  • Облачная архитектура приложения не есть панацея от всех бед. Даже при благоприятном стечении обстоятельств вам грозит многозначный счёт за ресурсы, израсходованные облаком на полноценную обработку паразитного трафика. Менее оптимистичный прогноз — серьёзные проблемы с устойчивостью и производительностью и, в результате, даунтайм в самый ответственный момент.
  • Никакое высоконагруженное приложение не может быть избавлено от нагрузочного тестирования. Ни размещение в облаке, ни репутация серверной платформы и фреймворка, ни предварительно закупленный гигабитный канал не гарантируют отсутствия узких мест в скриптах, в схеме базы данных, в логике обработки запросов. Нагруженное приложение должно иметь запас в производительности и выдерживать, по крайней мере, нагрузку в 115% от расчётной или штатной — только это позволит обеспечить качественную фильтрацию при минимуме ложных срабатываний.
  • К слову, о производительности. Если ваш сервер часто думает над ответом больше секунды, крайне вероятно, что у вас большие проблемы, которые нужно решать до вывода системы на продакшен!
  • Если сайт уже недоступен извне, сохраняйте спокойствие и трезво оценивайте свои возможности. Hot patching сайта прямо на продакшене, возможно, закроет одну дыру, но откроет три новые и отрежет вам путь назад. Рассмотрите все имеющиеся в наличии возможности к спасению и выберите из них оптимальный по соотношению цены и качества.
  • Повторюсь: чем раньше ваше приложение окажется под защитой, тем больше свободного времени останется у вас и ваших системных администраторов для работы, отдыха и борьбы за свои идеалы.
+124
55045
99
ximaera 53,7 G+

Комментарии (135)

+15
AStahl, #
>обязательная рекламная ссылка
Восхитительно! Так легко и непринуждённо показать нелепость требований об «обязательности» вставки ссылки к месту и не к месту.
Это талант.
:)
0
Boomburum, #
Причём в посте Qrator без ссылки — ладно хоть хабрапарсер не подвёл :)
0
flx, #
я так подозреваю что «маркетинг» надавил ;)
+5
f0rk, #
Мне кажется, что в настоящее время, успехом бы пользовалась частная контора, занимающаяся расследованием киберпреступлений. Отражать атаки наверное интересно, но виновников найти — не менее увлекательная задача.
+25
mitradir, #
как-то отвечал на этот вопрос на лепре:

вот представьте себе гипотетическую схему организации атаки
1) человек приходит с ноутом к кафе, цепляется к местному вайфаю
2) подключается к китайской проксе, в случае паранойи к нескольким
3) подключается к управляющим центру (ам) ботнета и отдает команду
4) уходит из кафе

действия защищающей стороны:
1) 100500 ботов атакует, система их фильтрует
2) видим живые IP адреса ботнета
— FAIL в случае spoof флуда на сетевом уровне
3) изымаем зараженную машинку, дезассемблируем тело бота, взламываем протокол взаимодействия с центром
— FAIL в случае ботнета без четких управляющих центров (P2P)
4) изымаем центр ботнета, смотрим лог, устанавливаем IP с которого отдана команда на начало атаки
5) разворачиваем список прокси–серверов
6) получаем адрес кафе, едем туда, снимаем данные видео наблюдения, и, КОНЕЧНО, видим номер машины, которая приехала–уехала во время отправки команды на начало атаки

причем 1)–5) за 12 часов — время хранения информации на прокси серверах

для решения поставленной задачи необходимо:
* немеренный административный ресурс
* мана, очень много маны:
вероятность успеха считайте сами ;)
+2
Flagman, #
Тем не менее порой грабители свои паспорта на месте преступлений оставляют =)
+3
ximaera, #
Мы даже однажды таких злоумышленников «задержали» (см.). Но это везение, бизнес на этом не построишь.

Group-IB занимается оперативной работой, вроде бы даже результативно (сам не видел), но стоимость у них ой-ёй-ёй.
0
coocheenin, #
Это люди из Сколково? На сайте много слов, но ничего конкретного. Даже диапазона цен нет.
+1
ximaera, #
На эту услугу не может быть прейскуранта, так как условия и обстоятельства, от которых напрямую зависит успех расследования, в каждом случае разные.

Я повторюсь: я сам скептически отношусь к стремлению расследовать каждую DDoS-атаку на свой ресурс (с учётом требуемых для этого ресурсов), но тредстартер спросил — я ответил.
+2
coocheenin, #
Согласен. Я не про точный прейскурант, а хотя бы про диапазон цен, технологии и тд.
Сайт QRator приятно отличается в этом смысле. Более прозрачный подход к вопросу, а поэтому более понятный и дружелюбный.
+11
resetnow, #
После второго шага можно вставить следующие:

2) подключается к китайской проксе, в случае паранойи к нескольким
3) отдает команду маленькому серверу в облаках, причем как-нибудь незаметно
4) уходит из кафе
5) через некоторое время (случайное несколько часов) сервер в облаках подключается через tor/i2p к управляющим центрам ботнета и отдает команду, почле чего самоуничтожается.

И ищи потом концы.
+4
shaman007, #
Такие задачи решаются не айтишными методами.
+2
Renius, #
Пороть мокрыми розгами?
+2
cyber_ua, #
А если это не кафе, а компьютерный клуб в полуподвальном помещение в котором не то что камер, даже норм компов нет и через час уже не кто не вспомнит что кто то приходил.
Найти тогда практически не реально.
0
NeverFoldAQ, #
Надо «злоумышленнику» оставаться в кафе. А как тогда искать? :)
+1
AFC, #
Открытых Wifi точек по городу как бродячих кошек. И даже без них это не проблема, у меня во дворе видно восемь WiFi точек, шесть из них поддерживают WPS. Думаю можно не продолжать.
–3
track, #
Вы все допускаете одну и ту же общую ошибку, думая, что искать вас будут «по айпи» и прочими техногиковскими методами. Впрочем, со стороны Group-IB есть заинтересованность не развеивать это заблуждение ;)
+4
AFC, #
Может назовете хоть один достоверный не «техногиковский» способ идентификации исполнителя DDoS или заказчика? Без напускания тумана вроде «у нас длинные руки» или «у нас есть такие методы о которых вы даже не догадываетесь, но мы вам не скажем».
–6
track, #
Нет, конечно! ;D
+5
AFC, #
Ожидаемо. Как и нулевая информативность и достоверность ваших постов.
–5
track, #
Как человек, заинтересованный в успешном отлове малолетних паскудников, считающих себя «хакерами», я, конечно, не заинтересован в рассказе, как им успешнее продолжать свои гадости.
–1
L3n1n, #
Может по MACу? Вычислить думаю не очень то и сложно. При сотрудничестве с крупными провайдерами отследить откуда подключались с одинаковым MAC тоже займет не много времени.
+2
xforce, #
1) мак можно поменять и делается это довольно легко
2) маки не уникальны и запросто повторяются.
0
L3n1n, #
Все это и так понятно… Но вероятность того, что злоумышленник не менял MAC / меняет редко, согласитесь, очень велика. Поэтому и считаю что это очень даже серьезная зацепка в поисках.
0
AFC, #
Если это не тупой скрит-кидди скачавший где то експлоит, а более-менее серьезный взломщик, то смена мака делается автоматически или вручную на уровне обязательной процедуры перед каждым соединением. Кроме того мак живет до первого роутера, атакуемая сторона не видит мак атакующего.
+1
Lux_In_Tenebris, #
причем 1)–5) за 12 часов — время хранения информации на прокси серверах

Ну что за глупости? Вы можете наверняка сказать, какой прокси вообще имеет логи и сколько их хранит?
«Развернуть» список прокси серверов (естественно, рассматривать transparent HTTP proxy, палящие исходный IP-адрес в заголовках ответа, совершенно бессмысленно), имхо, доступно только лишь правоохранительным органам или при активном содействии соответствующих подсетей (что крайне маловероятно).
0
bukt, #
Так именно потому задача и увлекательна. Когда появились первые детективные агенства тоже никто не знал про отпечатки пальцев и типы пишущих машинок.
+7
coocheenin, #
Заказчиков искать — опасно для жизни, исполнителей — зачем?
QRator нашел свою нишу: предотвращает падение защищаемых ресурсов, зарабатывает деньги.

PS: «обязательна рекламная ссылка» действительно выглядит как насмешка.
+2
SADKO, #
Кроме простейших случаев, заговоров упячки. (Или аццкого Мавродия :-)
Эта задача не разрешима. DDoS не организуют, его заказывают, причём не на прямую.
Тот кому заказали, покупает услуги запуска скриптов на разных ботнетах. Или заказывает DDoS от ботнета.
В общем, дело тёмное, а у вас есть лишь айпишники ни в чём не повинных людей.
Я расследовал такие случаи, точнее не расследовал, а просто отбивал охоту DDoSисть.
Ловушки собирали нечисть, её трафик анализировался, управляющие сервера банились хостерами, а так как это носило массовый характер, «бизнесменам» это не нравилось они взвинчивали цены, отказывались брать заказ на конкретный ресурс :-) Но технологии не стоят на месте, и так отбиться можно только от желторотых кулхацкеров скачавших олдовый зевс и иже с ним.
–1
logan, #
любая задача разрешима, это вопрос ресурсов (денег, связей и времени). Если что-бы-то-ни-было покупалось по цепочке — ничто не мешает пройти по этой цепочке обратно. Но это должен делать опытный специалист. Почему то я уверен, что такие специалисты есть, но им нет необходимости писать сообщения на хабре.
+1
AFC, #
Только при наличии двусторонней связи между каждыми звеньями цепочки. Если заказчик сам выходит на исполнителя и общение происходит только по его инициативе, а канал связи не отслеживаем — никакие деньги и ресурсы не помогут.
+2
SADKO, #
Ну, да конечно, Дядя Стёпа — Милиционер! Всё видит, всех посадит :-)
Ваши представления о практических возможностях проведения следственных действий более чем наивны как и вера в бабло всемогущее.
Интернет это всего лишь набор технологий, вполне доступных для осознания, как игра в крестики-нолики где победитель предопределён, если конечно не будет тупить.
+7
Renius, #
Если не тупить, предопределена ничья в крестиках-ноликах :)
0
SADKO, #
Для пытающегося скрыться ничья это победа, а вот для следака поражение.
0
Renius, #
Тогда крестики-нолики неудачная метафора? :)
0
gluk, #
А можно поподробнее про метод отбивания охоты DDoSить? Насколько я понял, вы видите айпишники ботов, которые вас атакуют. Потом каким-то образом вы добираетесь до некоторых из них и собираете весь их трафик. Часть этого трафика просто обязана содержать управляющие команды из центра ботнета, и таким образом можно узнать айпишник этого центра. После чего написать хостеру, все подробно объяснить и попросить заблокировать сервак с этим айпишником. Но как добраться до ботов и перехватить весь их трафик?
+1
shaman007, #
Вот эти ребята: www.group-ib.ru. И не только они, правда, цены таких услуг велики, а сами услуги затратны и сложны.
0
Diam0n, #
Интересно, как поведет себя сайт во время рабочей нагрузки во время выборов, когда посещаемость будет спровоцирована интересом самих голосующих, а если в это время запустят новую атаку?
+3
HangGlider, #
Голосующих всего 170+ тысяч на пару/тройку дней — это не нагрузка.
Вот верификация избирателя — это действительно узкое место, т.к. работают люди. За три дня верифицировались под 100 тыс. Полагаю, что если бы в пятницу пришел миллион заявок, вот тогда бы организаторы не управились.
+4
vkupriyanov, #
Для неспециалиста объясните, пожалуйста, насколько профессиональный является группа атакующих и приблизительный бюджет этой атаки. Можно ли говорить, что навалилось целое государство как рисуют некоторые? Или тут больше собственных ошибок?
–2
SADKO, #
Будите смеяться, но там в основном Америка-Европа, хотя злоумышленник может приплатить и россиян, дабы не быть тупо зарезанным по диапазону.
0
ximaera, #
По диапазону вообще нехорошо резать (хотя иногда скрепя сердце приходится). Любовь заказчиков к русским ботнетам не вполне резонна.
+4
AlexeyK, #
Ошибки проектирования в приложении (или некомпетентность программистов) там присутствовали.
0
iborzenkov, #
«у них там гнездо» (с)
+3
ximaera, #
Бюджет на написание JS LOIC, размещённого на Народе… кхм, нулевой там бюджет. Домен у uCoz и армянское доменное имя тоже стоят недорого. Ботнет уже подороже, к тому же надо найти организатора. Навскидку расценки тут от 300 до 800 у. е./день (но я могу жестоко ошибаться).

Если даже у злоумышленников и были какие-то серьёзные ресурсы, они предпочли их не «светить». При нынешней дешевизне DDoS-атак сделать это довольно просто.

В целом, строя публичные сервисы на платформе от Microsoft, полезно учитывать, что Microsoft крайне активно использует термин Advanced persistent threat. Соответственно, если у вас есть этот самый APT, его нельзя недооценивать.
+1
Darbin, #
К слову, do.am это один из доменов uCoz.
0
iborzenkov, #
Для неспециалиста — пожалуйста!
И атакующие собрали все на коленке и защитники не специалисты а майкософтовские дрочеры.
У этих чудиков упала база. Простите, но написать свою говносистему так, чтобы она падала от каких-то 4 тысяч запросов в секунду? используя вот это habrahabr.ru/post/155225/ и правильную архитектуру системы можно вообще было повесить ее на одной виртуалке.

Вечерем в понедельник смотрел на дожде шоу, где все это обсуждали. Нормальный и адекватный был ответ человека из LJ — он просто посмеялся над такими спецами.
0
vkupriyanov, #
а во сколько была передача? В архиве за понедельник только сам Волков с объявлением результатов и «итоговое шоу дебатов»
0
iborzenkov, #
Госдеп3 с Собчак, шло оно с 12 до часа, я смотрел в записи около 2 часов.
В третьей части как раз было
+2
amorphius, #
Даже при благоприятном стечении обстоятельств вам грозит многозначный счёт за ресурсы, израсходованные облаком на полноценную обработку паразитного трафика.

Ходил как-то на двухдневные курсы по Azure, на котором рассказывали, что за DDoS не взимается плата, если докажешь факт атаки, а не просто внезапного прироста посещаемости. Насколько это сложно сделать, конечно, другой вопрос.
+1
alklim, #
Ботнет на 150 тыс хостов — не хило!

Но чего атака такая слабая получилась?
Размер SYN пакета это примерно 70 байт. При скорости 1 SYN на хост в секунду (пишут про пик в 150 тыс пакетов/сек) имеем общую емкость атакующего трафика всего в 80 Мбит/сек.

По-моему при таком большом ботнете проще атаковать на полосу. При аплоаде в среднем 1 Мбит/сек на хост можно получить 150 Гбит/сек трафика. По-моему никакой фильтр такие объемы не вытащит.
+1
iFrolov, #
А чем вы (какой железкой) будете обрабатывать такой PPS?
+1
alklim, #
Так в том и задача атакующего, чтобы у атакуемого не хватило ресурсов и сайт упал!
+6
ximaera, #
Поясню предыдущего комментатора.

Вот, например, в описываемой атаке участвовало 23 тыс. IP-адресов из Пакистана. Большой вопрос, кого первого сложит SYN-флуд в 23 гигабита с пакистанских IP-адресов, но есть основания полагать, что из Пакистана этот трафик никуда не уйдёт.
0
alklim, #
А можете дать реальный расклад по странам этих 150 тыс ботов?
Очевидно же, что 1/6 из Пакистана — это преувеличение. =)

Мне просто интересно стало. Ведь ботов много, они расположены в разных странах, у разных провайдеров. По-моему можно просчитать атаку так, что существенная часть трафика дойдет до атакуемого хоста.

Вообще, насколько распространены именно атаки на полосу, самые тупые, но большие по объему?
Мне казалось, что это и есть самое простое и эффективное оружие чтобы убить отдельный сайт или даже целого хостера. А то, что страдают провайдеры и их клиенты по всей цепочке трафика, так атакующему это наверное неважно.
+3
ximaera, #
Нет, представьте себе, это не преувеличение. Там даже больше, чем 23 тысячи.

Для отбивания «тупых» атак сетевого и транспортного уровня человечество уже много чего придумало, от SYN cookies и до специализированного железа. Атаки же прикладного уровня для каждого ресурса свои, поэтому общий инструмент для отражения придумать сложно. Отсюда и повышенная эффективность.
0
xoposhiy, #
Последний график — на фоне цветная гистограма. Каждый столбик — страна. Так ведь? Получаются Пакистан и Египет в лидерах.
0
Stiver, #
Пакистан, Иран, Палестина и прочие ближневосточники действительно «поставляют» непропорционально много ботов. В недавнем ддосе Флибусты они тоже лидировали. Как это соотносится с тамошним огораживанием интернета — черт знает.
0
casperrr, #
Если смотреть по спаму (собираю стату с одного smtp-сервачка), то расклад по первой двадцатке примерно такой в порядке убывания

Vietnam
India
Korea, Republic of
Russian Federation
Pakistan
China
Kazakhstan
Iran, Islamic Republic
Poland
Sri Lanka
Chile
Indonesia
Singapore
Israel
Saudi Arabia
Jamaica
Tunisia
Philippines
Turkey
+4
vkramskikh, #
Читал хроники в эти выходные и чуть не разбил себе лицо фейспалмами, ибо:
1) Наличие единой точки отказа в виде сервиса в azure (и какой толк тогда от декларируемой распределенности?)
2) Доступность его снаружи всем желающим
3) Сейчас ещё выясняется, что он не был за qrator
4) Попытка бороться с однотипными запросами капчей (double facepalm). Поставили бы что-нибудь вроде nginx с ngx_http_limit_req_module, и проблема бы ушла совсем (да, я понимаю, что там винда, но не думаю, что под неё нет аналогов)
0
iFrolov, #
У nginx есть модуль для капчи, который в случае решения капчи добавляет хост в доверенные. Если слишком много запросов без куки — блеклист (как и пользователей с выключенными куками). Чем плохо такое решение? Я правда не знаю что за капчу там они использовали, но вроде идея неплохая.
0
vkramskikh, #
Вышеназванный модуль nginx снизит нагрузку на порядки, хотя это даже не блеклист. Он уже написан и ставится вместе с nginx, настраивается двумя строчками конфига. Этим это решение и хорошо. Пока нагрузка снижена и сервис работает, можно пытаться изобразить уже что-то посерьезнее.
+2
ximaera, #
Как мы сами выяснили год назад, это решение плохо тем, что неуниверсально. Если вы хорошо представляете круг своих пользователей, оно годится; но мы видели сайты, половина пользователей которого не могла разгадать капчу, потому что либо не знала английский язык и латиницу, либо просто не понимала, «чо тут за ^%&# написана? это своё имя надо ввести чтоли?».

Например — из опыта, — на сайте частной клиники я бы капчу вводить не стал никогда.
0
SADKO, #
Я не говорю что капча хорошо, НО…
… сложная капча делается ради защиты от бот-постеров с файнридером, а здесь цель иная, так-что простая и понятная капча вполне сойдет…
0
questor, #
Аналогично следил в выходные за хроникой и от постоянного фейспалма чуть лицо не разбил.
Особенно меня повеселило, когда ресурс, стоящий за куратором и куратор выдаёт «502 куратор не смог подключиться к приложению».
+13
coocheenin, #
Как отметили выше — очень плохая реклама Azure.
0
iFrolov, #
Наверное глупый вопрос от меня. Расскажите пожалуйста, как работает система обучения?
Приведу пример: приходят мусорные запросы (400, 404 на http, udp, syn-flood). Допустим, система все это видит и быстро блеклистит злого нарушителя. У нас получается списочек машин ботнета.

1. А что, если на каком-то популярном ресурсе (уровня vk.com) будет поставлена картинка с src=host/404.jpg, браузер полезет за несуществующей пикчей и легитимный пользователь (а не зараженный член ботнета) попадет в черный список
2. А что дальше с этим списочком делать?
0
ximaera, #
0. За SYN flood и UDP flood блеклистить бессмысленно. IP-адреса источника могут быть произвольными.
1. Вы сделали неявное предположение, что единственным поводом для бана является HTTP-статус ответа. Это предположение неверно.
2. Смотреть на поведение, считать корреляции, кого-то банить, кого-то придерживать… кого-то амнистировать.
0
iFrolov, #
Я не сделал предположения, я спросил как оно вообще работает. Дело в том, что я у себя регулярно нахожу тысячи 4хх-запросов, решил написать модуль для nginx-а, который бы авторов таких запросов бы отправлял в iptables, но столкнулся с тем, что я делаю DoS своими же руками, т.е. какой-то внешний ресурс провоцирует мусорный запрос и потом легитимный пользователь банит сам себя. Очевидное решение и очевидная глупость. Потому и спросил, как же работает система обучения, которая позволяет отделять одних от других. Смотреть на поведение наверное полезно для вас, кто уже имеет опыт защиты от подобных атак, а мне они ничего не говорят, потому и задал этот глупый вопрос.

Про UDP блеклистить его нет смысла не только из-за IP, но и потому что канал он все равно сожрет, но подумалось что можно посчитать количество хитов с такого адреса, если пришло больше сотни запросов — профилактически забанить, дабы не смог на http переключиться.
0
vanxant, #
Более хитрые, кстати, запрашивают не host/404.jpg, а /search?q=$(random()) или любую другую динамическую страницу. Ну это так, к слову.
+3
ximaera, #
Внимание! Несмотря на то, что пишут в некоторых СМИ (обалдеть, что там пишут), Яндекс не атаковал сайты оппозиции! Если это вам неочевидно, изучите матчасть или уточните у коллег, пожалуйста!
–22
fStrange, #
Третий топик про cvk
Автор, удачи вам! norlin, 78ds уже сошли с с дистанции вместе с топиками.
+11
coocheenin, #
Топик совсем не про cvk. Не провоцируйте на пустом месте.
Любой материал из недр куратора — всегда интересно.
–6
fStrange, #
Предыдущий тоже был не про цвк.

Любой материал из недр куратора — всегда интересно.
Так и мне интересно, я лишь предупредил о выпиливании.
+4
Vilgelm, #
Насколько я понимаю — это оплачиваемый блог. Удалить пост из такого блога, а уж тем более забанить оплаченный аккаунт, на мой взгляд, недопустимо, да и вряд ли возможно с точки зрения договора (насчет последнего не уверен).
0
fStrange, #
Логично. Не обратил внимания, что это блог компании.
+11
xiWera, #
«Пиковая мощность атаки прикладного уровня: 3,8 тыс. HTTP-запросов/с»

ну если это называется атакой… то на какую нагрузку то был расчитан сайт?
+1
rubyrabbit, #
Нужно строить архитектуру на базе открытой распределённой БД, где есть клиенты, пишущие в БД при голосовании, и клиенты, анализирующие БД и подсчитывающие результаты.
Сроки голосования, круг допущенных к участию удостоверяющих центров (УЦ) и критерии допуска граждан, авторизовавшихся через эти УЦ, должны быть свойством голосования.
Подробнее мои мысли на эту тему собраны здесь: socdev.org/projects/direct-democracy/wiki

При такой архитектуре вообще не существует никаких центров, которые можно было бы «положить».
+1
UncleAndy, #
Хорошая архитектура. В ней есть единственная дыра — Центры авторизации. Если они будут управляться заинтересованными лицами (а это очевидно), то ни о какой защите голосований от вбросов речи быть не может. И тут плохо то, что при наличии большого количества таких «центров авторизации» повышается и вероятность мошенничества, и сильно усложняется процедура обнаружения такого мошенничества.

Голосующие должны удостоверяться исключительно через сеть взаимного доверия. С обратной связью, естественно.
+1
rubyrabbit, #
Из чего будет состоять сеть взаимного доверия? Из центров авторизации ))
В пределе конечно вы правы — каждый из нас должен стать таким центром, но я пока не могу представить себе такую сеть, сделанную прямо сегодня.
Что касается доверия к ЦА, то список 2-3 доверенных ЦА можно опять же указать в свойствах голосования. Далее эти ЦА могут доверять другим по цепочке. Если один из ЦА себя скомпрометировал (правда, решение о признании его скомпрометированным тоже надо как-то принять), то можно исключить его результаты при подсчёте.
В целом, авторизация — это самое узкое место в любом случае.
+1
UncleAndy, #
На счет сети доверия… Идея намного глубже чем просто техническая. Она говорит о том, что каждый гражданин общества должен быть ответственным и обязан прилагать определенную долю усилий для управления им. Конечно, намного проще «выбрать» представителя и свалить всю работу на него. Но такой подход уже отлично показал чего он стоит. А стоит он потери свободы и невозможности ее вернуть. Конечно, в любом обществе будут те, кто не захочет утруждаться его управлением. Однако, у любого должна быть возможность вмешаться, если происходит что-то, что ему не нравится.

И на самом деле, сеть доверия — это просто техническое воплощение существующих принципов «работы» общества. Именно то, что большинство граждан считают правильным и является правильным в данном обществе.
+2
rubyrabbit, #
В целом разделяю ваше видение.

По поводу «проще выбрать», я как раз и предлагаю в программе-минимум начинать с муниципалитетов, где каждому понятно, почему, ради чего, как и т.п.
0
Gorthauer87, #
Но вообще как ни странно, мне кажется в данном случае ддос скорее сработал на цвкшников, они изобразили героическую борьбу с ним, показали, что властям далеко не пофиг на выборы, если бы этого ддоса не было, его обязательно надо было придумать!
+3
fStrange, #
Ну да, конечно. Логика гениальная.
Выгодно тратиться на Qrator, тратиться на облако. Выгодно тратить кучу времени и нервов.
+3
Gorthauer87, #
Парсер тег

<irony>

съел…
+2
Renius, #
Предпросмотр? Не, ни разу не слышал.
+12
david_mz, #
Я не хотел бы пинать ЦВК-шников — они провернули огромную работу, организовав все эти выборы, и атаки отбили довольно оперативно. Но всё-таки некоторые моменты…

Послушайте, все знали, что будет ДДОС, ЦВКшники знали что будет ДДОС, все об этом говорили, все этого ждали. И при этом — синхронные запросы к БД на публичных страницах сайта?! Azure без логов?! Капча?! Атака им. Дурова, которая, извините, почти вся отбивается просто по реферерам?!

Уверен, что все там вынесли свои уроки из этого.
+2
fStrange, #
Времени на организацию было мало.
Это же политика. Были достигнуты договоренности с разными группами. Пока эти договоренности не протухли, пришлось в срочном порядке делать площадку, которая существовала на уровне идеи.
+12
iFrolov, #
В личечку мне свалился огромный пост от пользователя egorinsk, поскольку написать из-за кармы в –400,8 он не может, а высказаться хотелось. Пост показался мне интересным, поэтому копирую сюда:

Не могу к сожалению, ответить на вопрос в комментарии, а ответить хочется, отвечу тут, если вы не против.

От UDP/SYN/флуда защищаются при помощи обратного прокси: все запросы к сайту идут на сервер с хорошим каналом и nginx (иногда еще с железкой от Cisco), а он проксирует внешние запросы к настоящему сайту с сервером (IP которого держится в секрете по понятным причинам). На нем же удобно ограничивать число одновременных подключений с 1 IP и делать фильтрацию. UDP/SYN как вы пониамете, через прокси просто не проходят.

Сразу же на прокси можно банить Индонезию/Пакистан/Китай/Таиланд/Бразилия/Польша/филиппины, если там у вас нет клиентов. В этих странах очень много ботов, а абузы даже не доходят до провайдеров.

В крайнем случае ставится несколько прокси. У вконтакте, например, 32 балансера с страшно представить какими каналами.

На самом сайте важно настроить сервер так, чтобы при большом числе запросов он не уходил в своп и ронял сервер (как это делает с дефолтными настройками апач), а просто отказывался их обслуживать.

Если же атакующие применяют атаку через HTTP, то их выявляют, смотря логи и выявляя закономерности. Примеры закономерностей:

1) При использовании LOIC или картинки на популярном сайте для школьников запросы элементарно режутся по полю Referer. Более того, отправляя в ответ редирект, можно обратить атаку назад, а отправив заголовок Authorisation Required 401, можно пугать и блокировать атакующих пользователей.

2) Если атаку ведет школохакер, он может тупо долбить запросами на главную. Соответственно, все, кто сделал больше N запросов в час/минуту на один и тот же УРЛ, караванами отправляются в бан (это автоматизируется скриптами).

3) При более серезной атаке ищется/пишется модуль для nginx, который проверяет наличие у клиента поддержки кук или JS и только в случае поддержки пропускает запросы с этого IP. Опять же, многие боты из ботнетов JS не выполняют.

4) Боты часто долбят в тяжелые страницы, но не грузят статические файлы и картинки
5) Боты отсылают нереально число запросов в единицу времени, часто на один и тот же УРЛ, и легко ловятся на этом
6) Боты часто игнорируют заголовки кеширования и Last-modified, а нормальные браузеры, закешировав файл, повторно его не запрашивают
7) В самом крайнем случае можно напистаь/найти модуль nginx, показывающий капчу для доступа на сайт
8) До этого пункта обычно большинство атак не доходит, так как уровень знаний владельцев ботнетов обычно низок (сейчас любой может купить сплойт/защиту от антивирусов/распространение эксплойта не обладая глубокими знаниями, были бы наличные, потому владельцы ботнетов обычно не особо грамотные люди), но если атака полностью забивает канал, то надо пользоваться сервисом уровня cloudflare с 600 Гбит каналов. Его-то не уронят. Плюс, атака такой мощности с домашних компьютеров вряд ли ведется, а значит, можно писать абузы хостерам. Кстати, базовый план на cloudflare бесплатен.

Знания, правда больше теоретические и из статей, так как не имел счастья (или несчастья) отбивать настоящие десяткогигабитные атаки, только в интернете про них читал, когда атакой положили интернет в каком-то регионе Украины.

Подводя итог, при наличии грамотного системного администратора, большинство атак отбивается не очень дорогой ценой. Как я понял, описанная в статье атака была очень слабая и примитивная и сайт упал лишь из-за ошибок в проектировании.
Вот такой пост мне свалился, не со всем я согласен, но считаю его интересным.
0
iFrolov, #
Ну и сразу отвечу: проксировать имеет смысл далеко не каждый сайт. К примеру, мой сайт проксировать не имеет смысла, так как сайт написан на сях и практически потребляет 0% ресурсов, т.е. разнося и делая «секретный сервер», который будет совершенно не нагружен, я совсем ничего не выигрываю. Да, если городить свой CDN, то конечно нужно как-то синхронизироваться и вечноживая «секретная» нода будет полезна, но я бы не хотел тратить на это много денег, обойдясь одним сервером.

Cloudflare любит показывать сообщение «вау, мы заметили что фигня случилась, перенаправляем весь трафик на вас», очень веселит меня всегда. Даже от школьников, которые могут порой засирать канал очень хорошо.

С тяжелыми страницами тоже не все так просто, самое тяжелое что есть у меня — капча, хотя вижу в логах множество запросов на картинки графиков, которые на самом деле являются статикой. Забавно наблюдать за такими потугами.

Собственно, свой модуль для nginx я и делаю, проблем все больше и больше (особенно с провокациями с внешних ресурсов — я не знаю как это решить, реферер не ответ), вот уже больше смотрю на haproxy и баны на стадии парсинга запроса.
+1
flx, #
удален комментарий.
+3
flx, #
Капитан Очевидность подсказывает — «Если на вашем веб-приложении есть swap, то как только вы в него полезли — приложение умерло. Считайте память. Считайте IOPS. Выучите словосочетание бюджетирование ресурсов. С теми показателями concurrency о которых идет речь в случае современным web у вас не будет времени на swapin/swapout.»
+2
flx, #
Cloudflare это совсем о другом. И в случае даже десятки G вас даже на «business» тарифе переведут в Null.
Обратите внимание что enterprise который хоть сколько-нибудь вменяем: Pricing starts at
$3,000 per month.
–3
flyaway, #
>Облачная архитектура приложения не есть панацея от всех бед.

Очевидно, что набор слоупочных виртуалок, которыми по сути являются эти облака — палка в колесо производительности, а не панацея.

Элсо забавно, что болотники используют винду и azure, а госуслуги, например — linux, nginx и железные сервера.
Кровавый режим технологически подкованнее :D
+6
flx, #
Эм, новые веяния кровавого режима — это тоже Azure. В частности для Олимпиады 2014.
Посмеемся последними?
0
flyaway, #
Это шутка была, хотя я немного надеялся, что кто-то там думает о гомогенности среды и помнит о том, как экспрезидент наказывал делать ставку на опенсорс.
+3
iFrolov, #
А потом Убунту запретили, сочтя ее вредной для детей.
0
achekalin, #
А может все же с архитектуры начинать? Все, что можно (реально — ВСЕ, что можно), сохранить в статические файлы, gz-ипнуть из для красоты, а всякая интерактивность, вроде голосования, не показывает человеку результат с учетом его голоса сразу, а просто пишет в некий лог упоминание о еще одном голосе, и по cron раз в 5 минут пересчитываем голоса и обновляем статическую страничку с голосами.

И т.д. Облака в таких случаях (когда ожидаете атаки) лучший способ разориться, ибо ресурсы становятся заметно платными. Куда проще арендовать физический сервер было, чес-слово, хотя бы по бюджету предсказуемее. Тем более что Вы взялись строить систему на Azure, а там и так не самые чтобы гроши оплата за все.

Я бы на вашем месте, правда, пошел бы к cloudflare (хоть на бесплатный, хоть на платный аккаунт). Если уж они закрывали сайты типа Евро-2012, наверное и с вашим сайтом как-то смогут обойтись хорошо :)

P.S. Скажите, а что такое «ЦВК»? В начале статьи не нашел, в голове приравнял к «сферическому сайту в вакууме», но все же интересно, на фоне какого ресурса происходит пиар сервиса…
0
Renius, #
Сайт выборов лидеров оппозиции.
Не нужно кроном голоса счтитать. Достаточно кешировать страницу, а убивать кеш, скажем каждые 50 голосов, или каждые 5 минут. Кешем можно управлять не только на уровне веб сервера, но и на уровне приложения.
+1
ximaera, #
Я прямо не знаю, с чего начать :-)

1) Расшифровка аббревиатуры «ЦВК» (есть в первом абзаце данной статьи) — Центральный Выборный Комитет.
2) Я не имею отношения к ЦВК и не принимал участия в проектировании и конструировании системы. Наш вклад свёлся к интеграции системы по защите от DDoS-атак в готовую инфраструктуру. В частности, систем на Azure я строить не берусь :-)
3) Ни Cloudflare, ни Azure, ни кто иной не смогут исправить недостатки архитектуры приложения. Эти проблемы не лечатся уходом в облако. Никак.
4) Кстати, у Cloudflare для Евро-2012 совсем другие расценки. У ЦВК бюджет явно меньше, чем у UEFA.
5) Да и зачем Cloudflare, если Qrator работает успешно? :-)
6) Или вы предлагаете Куратору уйти в Cloudflare? Нет, спасибо %-)
–4
achekalin, #
Честно говоря, так и захотелось про ЦВК (не про вас, именно про них) сказать старую фразу про то, что у боцмана шутки не особо умные. Уже судя по аббревиатуре (она — одна из тех, что, не прочитав расшифровку, никогда не разгадаешь; это дает подсознательное представление об уровне внимания к деталям), не говоря о технической составляющей. И это, Вы правы, никто (ни система защиты, ни что-то еще) не исправит.

Хорошо, что им встретились вы. Плохо, что их разработка велась (как кажется) без учета реалий, в которых сайту жить. С такой нагрузкой, по идее, ребята и сами могли справиться.

Вообще, облака хороши, когда нагрузка небольшая, либо непредсказуемая заранее. Если же понятно, что она будет высокой, проще взять физический сервер — дешевле выйдет, если не ошибаюсь, и точно понятнее в работе.

P.S. Судя по www.cloudflare.com/plans, даже на бесплатном плане ребят бы прикрыли от атаки. Да и на самом маленьком платном — тоже, думаю, он обходится в $20/мес…
0
Mendel, #
Первой ассоциацией по домену было cvk.gov.ua так что направление хоть угадалось :)
а вообще да, не очень домен.
0
Ns2033, #
Я так и не понял — сколько примерно стоила атака? Мне — для общего развития и построения домыслов о заказчиках.
0
iago, #
Глупый вопрос — а почему такие атаки называются «тесаками»? Или это вид защиты так называется? Или вообще, причём тут тесак?
0
Mielofon, #
из-за hellotesak.narod.ru/ я так понимаю.
+1
domin, #
про Тесака и КС:
www.livejournal.ru/themes/id/58413
0
ilya42, #
Вопрос специалистам. Насколько сложно заДДоСить такую архитектуру: при регистрации избирателю выдаётся «электронный бюллетень» (фактически — шаблон, в котором нужно поставить галочку + криптографический ключ + какая-то программная обёртка, автоматизирующая всё, что можно, чтобы смог разобраться даже пенсионер), а в день голосования он просто отсылает заполненный и подписанный бюллетень на почтовый сервер ЦВК. Почтовый сервер вообще труднее или легче завалить, чем веб-сервер? Может быть, стоит вообще сделать бюллетень в виде небольшого нативного приложения, которое будет общаться с сервером не через HTTP, чтобы максимально затруднить использование примитивных стандартных инструментов для «школохакеров»?
0
Lux_In_Tenebris, #
Почтовый сервер вообще труднее или легче завалить, чем веб-сервер?

Смотря чей. Яндекс Почта и Gmail, конечно, скорее всего выдержат, но всё равно как минимум уязвимы к атаке на переполнение ящика, т.е. его могут попросту зафлудить (как, например, уже бывало с почтой Навального).
Конечно, использование инфраструктуры интернет-гигантов заметно повышает надёжность, но, пожалуй, и делает процесс менее доступным среднестатистическому избирателю, поскольку необходимо как минимум создать какой-то специальный криптографический софт, формирующий сообщение с голосами.
+1
david_mz, #
Можно сделать следующий шаг: отсылать не по почте, а через личные сообщения вконтакта или фейсбука. И пусть у Дурова голова болит:) Кстати, почти не шутка.
0
iborzenkov, #
Хрен задосиш :) Она на порядок устойчивее — я собственно примерно это и предлагал у них в блоге в субботу. Да и каналов дофига может быть разных
0
somniator, #
Интересно было бы узнать, какого порядка бюджет у этой атаки.
0
beduin01, #
Я не понял
>Даже при благоприятном стечении обстоятельств вам грозит многозначный счёт за ресурсы
Это что ж получается. На меня DDOS атаку проведут и на мне квартиру трехкомнатную в Москве придется продавать, чтобы расплатиться за ресурсы? Бред.
0
ngreduce, #
Есть определенный лимит. Если ваш сайт не сильно нагруженный, можно эти деньги сэкономить в другое время.
+1
Akr0n, #
А ведь самое печальное, что оппозиция готовится к честным выборам в нашей стране как к настоящей войне! Казалось бы зачем это все??? Ведь выборы электронные, зачем париться, можно просто нарисовать итоговые циферки, рейтинги и так все знают… Молодцы, что стояли до конца!
+4
Meddy, #
Сайт vkhello.do.am был удален. Информация о нем, к сожалению, была получена только из данного поста. Жалоб на него не поступало. Просуществовал двое суток. Регистрация сайта происходила с ip-адреса, принадлежащего одному из крупнейших украинских кабельных провайдеров.
0
ximaera, #
Откуда у вас такая информация?
0
Meddy, #
Я являюсь сотрудником компании uCoz
+1
ximaera, #
Интересно, спасибо!
+1
Meddy, #
Простите, ошибка в написании. Удален был cvkhello.do.am/
0
ivlis, #
А база данных какая была? MSSQL?
0
iborzenkov, #
ага, этот позор :)
писал в блоге их главный разработчик
0
ivlis, #
Реляционная БД на высоконагруженном фронтэнде.: фейспалм: Не, так мировая революция не получится :))
0
iborzenkov, #
С GPG подписью там вообще можно было всю Россию за пару дней
присылаться будет шифрованный подписанный список и ID избирателя
по ID из мемкеше-подобного отфильтровываются боты, потом все на очереди обработки.
nginx и сразу в очередь, воркеры, откидывающие ботов и во вторые очереди, а там уже фигня — расшифровываем, обрабатываем. В случае чего — маштабируем + DNS.
Так нет — они боятся что с подписью юзер затупит.
+1
Mendel, #
Ребят, читайте внимательнее.
Я понимаю что не хочется упустить возможность повозмущаться, но статья о защите а не о разработке.
И топикстартер не автор системы а тот кто ее защищал. Уже такую как есть.
0
iborzenkov, #
Так на топикстартера никто не ругается — он ее защищал, тоесть говоря простым языком из известной субстанции конфетку делал. Почитать действительно было интересно.
0
philpirj, #
Поправьте меня, если что-то не так:
— домен куплен через RU-CENTER
— DNSSEC нету
— SSL сертификат куплен у скомпрометировавшего себя godaddy
— dns сервер NS1.MASTERHOST.RU
— опубликован емейл, на который зареган хост Email:lv@leonidvolkov.ru
— сервер использует TLS 1.0
— сервер висит на одной единственной машине
— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47

Неужели так надо было строить сайт, на который могли совершаться атаки с участием административного ресурса с практически неограниченным бюджетом?
0
Elmot, #
Не склонен так уж обвинять их в косяках ибо:
— «если б я был такой умный, как моя жена потом»
— есть фактор времени подготовки. если делать долго и хорошо, то могут и прижать нетехническими методами.
— не ошибается тот, кто ничего не делает
— более-менее случилось и так. и Волкову все равно зачет.

кстати, в чем проблема с godaddy?
0
philpirj, #
GoDaddy поддерживали акты, направленные против свобод. Подробнее тут.
А по поводу времени подготовки, скажу честно, готовилось ещё с января прошлого года, и даже кое-что уже было готово и использовалось на президентские для екзит-поллов и т.п. Погуглите ФРЭД.
0
Elmot, #
А, вы все о том же…
Ну поддерживали, ну проучили их, они отказались от поддержки. Каким образом это влияет на надежность сертификатов?
0
philpirj, #
GoDaddy вполне могут оказаться нелояльными к заказчику в случае применения к ним административного ресурса и, например, заrevoke'ать сертификат.
0
Elmot, #
да ну, скорее наоборот. За битого 2х небитых дают, а потом они американцы. Чхать хотели на российский административный ресурс.
0
galaxy, #
— DNSSEC нету

И сильно бы он помог?

— SSL сертификат куплен у скомпрометировавшего себя godaddy

И? Не с копирастами же боролись, а с кровавым режымом

— dns сервер NS1.MASTERHOST.RU

— сервер висит на одной единственной машине

— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47

В дни голосования все было в облаке azure

— домен куплен через RU-CENTER

— опубликован емейл, на который зареган хост Email:lv@leonidvolkov.ru

И? Надо было шифроваться?

— сервер использует TLS 1.0

Это к чему?
0
philpirj, #
— DNSSEC нету
И сильно бы он помог?

— dns сервер NS1.MASTERHOST.RU

В сочетании с нормальным сервером имён помог бы избежать подмены домена целиком.

— SSL сертификат куплен у скомпрометировавшего себя godaddy
И? Не с копирастами же боролись, а с кровавым режымом

Аффилированные структуры же.

— сервер висит на одной единственной машине
— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47
В дни голосования все было в облаке azure

Я проверял ck2012 в день голосования. Взможно, что у облака был единственный IP адрес, что плохо из за возможности отключения канала аплинком.

— домен куплен через RU-CENTER
— опубликован емейл, на который зареган хост Email:lv@leonidvolkov.ru
И? Надо было шифроваться?

Да, это обычно неплохая идея, избавляющая если не от терморектального анализа, так хоть от подлома почты перебором паролей.

— сервер использует TLS 1.0
Это к чему

Это вопрос?
Это к тому, что TLS старше 1.0 защищают от некоторых видов атак (подробнее. И применение 1.0 для клиентов, поддерживающих 1.2 не обосновано.

Я пишу всё это у тому, что DoS — не единственный вид атак, и единственная причина, почему сайт лежал так мало — это потому что атакующие плохо старались.
0
galaxy, #
Вы предлагаете защищаться в основном от мелких, локальных атак с негарантированным результатом, а у режыма задача была сорвать выборы, и тут они совершенно рационально стали DDos-ить: пинцет — хороший инструмент, но кувалда надежней
0
ximaera, #
Небольшое техническое замечание.

— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47

178.248.237.47 — это IP-адрес, принадлежащий Qrator. Мы — не хостинг.

у облака был единственный IP адрес, что плохо из за возможности отключения канала аплинком.


В BGP, кроме unicast'а, есть ещё и anycast. Так что связи между числом IP-адресов и числом аплинков нет.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.