Знаем всё о доступности в интернете
122,64
рейтинг
6 мая 2012 в 22:18

Разработка → Сайт радиостанции «Эхо Москвы» атаковали сразу три ботнета

DDoS-атака на сайт «Эхо Москвы» началась 6 мая в 8:45 мск. Ее предвестником 5 мая в 15:00 мск стал небольшой и кратковременный SYN Flood.

Сеть фильтрации трафика QRATOR зафиксировала три различных ботнета.



Первый из них, размером 20 000 машин, осуществляет классический HTTP Flood – частые запросы к корневой странице сайта.

Днем к нему подключилась вторая сеть из 45 000 зараженных компьютеров. Она осуществляет атаки двух видов: UDP Flood мощностью более 1 Гбит и HTTP Flood, при котором боты каждые 1,5-2 секунды запрашивают произвольную страницу.

Размер третьего ботнета всего 250 машин. Атаки нацелены на исчерпание ресурсов веб-сервера (TCP Payload Flood).

Большинство зараженных компьютеров расположено в Азии (Китай, Индия, Индонезия, Таиланд, Филиппины, Корея, Иран, Ирак) и Африке (Египет, Алжир, Судан).

Размер ботнетов увеличивается и по состоянию на 19:50 мск составляет 89 000 машин. Сайт работает в штатном режиме. Ранее, в момент подключения новой волны атакующих, наблюдались нестабильности в доступности ресурса. Это связано с обучением фильтров поведению нелегитимного пользователя.

Зафиксировано значительное пересечение ботнетов, атакующих сайт «Эхо Москвы» и некоторые СМИ Армении, где, напомним, 6 мая проходят парламентские выборы.

UPD: Добавлен график стоп-листа с гео привязкой

UPD2: Тех. подробности по заявкам трудящихся:

1) Тут просто:
GET / HTTP/1.{0,1}
Host: echo.msk.ru
сколько успеем, пока не забанят.

2.1) UDP Flood, тоже просто:
шлем столько килобайтных UDP пакетов, сколько можем, payload забиваем рандомом.

2.2) HTTP Flood: неизвестно, по какой логике они выбирали URL, но выглядело как-то так (с одного IP):
06/May/2012:17:06:35  GET /top/ HTTP/1.1
06/May/2012:17:06:35  GET /blog/zoldat/885435-echo/ HTTP/1.1
06/May/2012:17:06:37  GET /likes/e885530 HTTP/1.1
06/May/2012:17:06:37  GET /blog/navalny/885662-echo/ HTTP/1.1
06/May/2012:17:06:38  GET /blog/echomsk/ HTTP/1.1
06/May/2012:17:06:40  GET /news/885730-echo.html HTTP/1.1
06/May/2012:17:06:44  GET /tags/448/ HTTP/1.1
06/May/2012:17:06:45  GET /interview/ HTTP/1.1
06/May/2012:17:06:48  GET /blog/maxkatz/885466-echo/ HTTP/1.1
06/May/2012:17:06:49  GET /polls/885608-echo/comments.html HTTP/1.1
06/May/2012:17:06:53  GET /likes/e885426/ HTTP/1.1
06/May/2012:17:06:53  GET /blog/ HTTP/1.1
06/May/2012:17:06:55  GET /blog/diletant_ru/885131-echo/ HTTP/1.1
06/May/2012:17:06:56  GET /likes/e885701 HTTP/1.1
06/May/2012:17:06:56  GET /news/885504-echo.html HTTP/1.1
06/May/2012:17:06:57  GET /tags/32/ HTTP/1.1
06/May/2012:17:06:57  GET /programs/galopom/ HTTP/1.1
06/May/2012:17:06:57  GET /blog/greglake_/ HTTP/1.1
06/May/2012:17:06:58  GET /blog/dgudkov/885655-echo/ HTTP/1.1
06/May/2012:17:07:01  GET /blog/bornad/885688-echo/ HTTP/1.1

3) Тут, видимо, дописывали бота на ходу, потому как вначале (от одного и того же бота) можно было увидеть разное:
\x00flate, gzip, chunked, identity, trailers
\x00: PHPSESSID=yjjmknexitxltizixmninfxskdjfjjns3kigefqenxqtmg
"././23*#@!#&!@^*(#&()*(^&#*^*(@&)*_)!@*(^&#*(^*@$&)
XGET /4iqvdjjjx2ilxfzfgk HTTP/0.0

В районе 18.00 ребята решили проблемы с памятью, и стало понятно, что задумывалось в оригинале:

GET /xxidkmie2txz1niln2kx2xxl4ki1tvtmqyjjm4s311kxgvqignxs3e<...> HTTP/1.1
+
много-много мусора вместо запроса (нулевые байты пишут)
Еще иногда спрашивают /stylesheets/all.css?5 (непонятно зачем).

Заметим, что этот ботнет небольшой, но мажорный: Канада, Германия, Испания, Франция, Великобритания, Греция, Италия, Польша, Португалия.
Автор: @0xLGA
Qrator Labs
рейтинг 122,64
Знаем всё о доступности в интернете
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Комментарии (118)

  • +14
    Сегодня везде был АД.
    Я так понимаю автор админ Эховского сайта? а нет инфы по другим атакованным: Слон, комерс, дождь?
    • +2
      А за что их так, если не секрет?
      • +71
        За то, что митинги освещают не в стиле НТВ. Ну, или по крайней мере, раньше освещали.

        Сегодня им этого сделать не дали из-за атак: Коммерсант слёг и всплыл, там был массовый SYN, но с ним вроде справились довольно быстро; Дождь полёг практически моментально, и отдавал долгое время заглушку; Слон лёг сразу и не отдавал вообще ничего, все перешли в Фейсбук.
        • +9
          Ясно. Пойду про митинги прочитаю, а то я вообще не в курсе событий…
          • +11
          • –6
            Подождите минаевскую запись, завтра наверное появится. Я сегодня смотрел в прямом эфире, провокаций кучу засняли.
            • +20
              Вы бы еще запись НТВ подождали. Они всю правду состряпают напишут, как только признаки народной любви с машины убирут.
              image
              • +1
                А причем здесь НТВ или еще кто? минаевская запись единственная что велась сверху охватывая сразу всё и всех, без склейки и вырезок в режиме онлайн.
        • +1
          А я вот предусмотрительно открыл трансляцию на сайте Дождя (пока сайт ещё функционировал), в результате чего до самого вечера прекрасно смотрел всё что творилось. Я вот не понял — в чём смысл атаки только на вебсервер, когда самое интересное-то с RTMP-сервера идёт. Причём к этому серверу можно прекрасно подключиться своим плеером, без участия сайта Дождя.
          • +1
            Так было бы глупо ожидать, что они трансляцию ведут с той же машины, где у них сайт размещён. Просто дело еще в том, что они генерируют и текстовый контент, а большинству людей и в голову не придёт смотреть стрим стандалон-плеером.
            • +3
              Просто каждый раз при таких событиях одна и та же ситуация. Основные информационные сайты ложатся, а те кто не ложится или быстро поднимается (Твитер, ЖЖ) — захламляются ботами. Каждый раз одно и то же и никто не ищет варианты решения проблемы. Я, когда не участвовал на митингах, как раз и делал альтернативные просмотрщики, народу рассылал. Но хорошо бы такое централизовано делать дабы атакующим побольше проблем доставить.
              • +10
                Знаю, Хабра не место для политики, но мы говорим не о политике, а о свободе информации
                • +1
                  Пиратская Партия вас не забудет.

                  Понимаю, параноидальненько, но, если озаботиться заренее, то одно из лучших решений: retroshare.sourceforge.net/
                  • +4
                    Граммарнаци — а пишете с ошибками )
                    • +2
                      Это не ошибка, а опечатке. :P
                      • +3
                        Опять >.<
                • –2
                  Свобода информацыи, это когда информацыю не скрывают, а не когда пишут/говорят/показывают все что взбредет в голову журналисту/редактору/начальнику. Рассейские СМИ (да и прочие «демократические») тянут лишь на второе :)
              • +1
                Думаю здесь у многих имеется один, а то и парочка не загруженных сервачков, что смогут стать основой для такой системы. Если будет действительно путевая реализация, готов поддержать.
        • +1
          Коммерсантъ вчера весь день не работал
          • +1
            Работал, хотя и с лагами — и не только у меня, так что это стопроцентно не кэш или локальное явление.
    • 0
      > Я так понимаю автор админ Эховского сайта?

      автор

  • +20
    Автор — «летописец» сети фильтрации трафика QRATOR, под защитой которой находится сайт радиостанции
    • –16
      Недавно ваш старший разработчик Артём Гавриченков говорил что измерять атаки уровня приложения мегабитами — некорректно.

      Или у вас пиарщики только выдумыванием красивых цифр заняты?
      • +14
        Я, справедливости ради, скажу, что «мощность» в мегабитах там указан для UDP-флуда, а это не application level, и его вполне можно охарактеризовать в мегабитах.
    • +4
      О, вы графики и логи добавили. Ну теперь-то пост внезапно превратится из унылой рекламы в серьезную техническую статью.
      • +3
        ну да, постарались ) спасиб )
      • –3
        А по-моему так и остался унылой рекламой.
  • +3
    Хорошо работаете! Молодцы!
  • +1
    А сайт «Дождя» тоже они положили?
  • +47
    Блять, а потом будут говорить, как некто Барщевский в декабре 2011-го года:
    echo.msk.ru/programs/personalno/840800-echo/

    М.БАРЩЕВСКИЙ: Большая часть атак была с территории Индии, Пакистана, США и… Черт, страну забыл.
    Н.БОЛТЯНСКАЯ: Михаил Юрьевич, вы – хороший юрист. Объясните это, пожалуйста, с точки зрения своих профессионально устроенных мозгов. Я не понимаю.
    М.БАРЩЕВСКИЙ: Самыми хорошими юристами были древнеримские юристы, которые всегда говорили, что надо исходить из принципа, кому это выгодно.
    Н.БОЛТЯНСКАЯ: И кому это выгодно на территории Индии, Пакистана?
    М.БАРЩЕВСКИЙ: Не знаю.
    Н.БОЛТЯНСКАЯ: Не знаете. Понятно.
    М.БАРЩЕВСКИЙ: Но только почему-то самое большое количество DDOS-атак было не с территории РФ.
    Н.БОЛТЯНСКАЯ: Понятно.
    М.БАРЩЕВСКИЙ: Нет, конечно, можно предположить, что сурковские люди вместе с сотрудниками ФСБ окопались в Индии, в Пакистане, в США и в четвертой стране (не помню какой) и оттуда произвели эти атаки. Вполне реальная версия. Но смешная.

    Расскажите ему там про прокси-сервера кто-нибудь. Он либо некомпетентен, либо делает вид, что тупой.
    • +5
      Барщевский — это товарищ, когда-то учавствовавший в создании Что Где Когда. Сомневаюсь, чтобы он понимал базовые принципы проведения атак.
      • +43
        Зато какие глубокомысленные рассуждения, ммм… «Кому это выгодно? Ага, Пакистану, Индии и Бангладешу!».
        Прямо Александр Друзь, да и только. Хрустальную сову осталось только вручить.
        • +2
          Ну, он же не в курсе. Вот и строит доводы и выводы, не учитывая массы информации в силу собственной неосведомлённости.
      • +15
        Если не знает, то пусть не лезет туда. Пусть так и скажет: не знаю.
        Я, например, не умею людей лечить и если меня попросят аппендицит вырезать кому-нибудь, я честно скажу — не знаю, не умею, идите к врачу.
        А этот нет — ему порассуждать надо. Он же умный.
        • +4
          Я как бы и не защищаю его. Просто он счёл возможным сделать комментарий, и, в конечном итоге, в глазах людей хотя бы что-то понимающих, выставил себя посмешишем. Имеет полное право, чо.
          • +8
            Дело в том, что он это сморозил по радио, в прямом эфире. А сколько радиослушателей понимающих именно в данной узкой теме — с гулькин хвост. Нет, я не говорю, что радиослушатели непонимающие, нет. Есть прекрасные врачи, строители, политики… Но они же специалисты только в своём деле. И то, что им говорит такой авторитетный человек, как Барщевский, в той теме, в которой они неосведомлены, они принимают на веру.
            То есть, Барщевский, этой своей глупой фразой выставил себя посмешищем только на хабре, среди 10 тысяч человек. А для остальных миллионов россиян запомнился факт — «атаки устроили Индия и США». Точка. Госдеп устроил атаку! Вот оно чо, думают люди.
            Барщевский умышленно или неумышленно (в чём я сомневаюсь), ввёл массу народа в заблуждение.
            • 0
              Это проблема Барщевского, а не моя — это, в принципе, все, что я могу по этой теме сказать.
              Миллионы телезрителей и так сегодня думали про США, им и без Барщевского об этом расскажут.

              И это, давайте уже от политической составляющей атаки отвалим, а? Мы и так знаем, господи, кому это нужнее, от перемусоливания этого дела здесь ничем лучше нам не будет — для этого есть Лента и чаны.
        • 0
          > не знаю, не умею… А этот нет — ему порассуждать надо. Он же умный.

          Вот вы сейчас 98% медиапространства описали. Господство некомпететных мудаков.
    • +10
      <offtopic>
      Гм. Барщевский работает в правительстве (его полномочный представитель в высших судах) — вы от него ждете признаний, что Путин лично заразил компы в Индии троянами и насылает на «оппозицию»?
      «Эхо» нужно слушать очень осторожно, постоянно заботясь о гигиене собственного сознания. У ихнего главреда только один принцип — свобода слова, поэтому там треплют все что угодно и изо всех сторон. Помните, как там в прямом эфире геев убивать призывали? Вот-с…
      Записывать «Эхо» в оппозицию — это вообще смешно. Они перманентно занимаются созданием образа того же Путина как супер-пупер тирана — великого, могучего и непобедимого. Надеюсь, очевидно, что оппозиция не этим должна заниматься… А Венедиктов вообще доверенным лицом Путина перед выборами согласился быть…
      </offtopic>

      <antiofftopic>
      Автор, хочется больше технических деталей. Графики нагрузки, дампы интересных пакетов флуда и так далее. А то неинтересно.
      </antiofftopic>
      • –1
        +1

        был бы у меня ботнет — тоже бы атаковал ухо мацы

        это оппозиционная радиостанция, но не по отношению к кремлю (оккупантам и их пособникам), а оппозиционная по отношению к русскому народу

        и слушать её не надо вообще

        я лично перестал её слушать лет пять назад, когда их пидор-ведущий (Дымарский вроде) в передаче про «Забытый полк» пытался весь разговор свести к «таджыцкой девочке» и «гусскому фошЫзьму»

        а поскольку дело было девятого мая — гость программы (поисковик-копатель или типа того, занятый увековечиванием памяти павших) не захотел продалжать и ушёл из студии

        а я выключил радиоприёмник — чтобы не разожглась во мне рознь к жЫдам всех национальностей, оккупировавших мою родину — кроме вражеской пропаганды на ухе мацы нет ничего

        и с тех пор не слушаю

        чего и вам желаю
        • 0
          Мммм… Это совсем махровый оффтопик, поэтому я отвечу тезисно и более общО не вдаваясь в детали: вы совершаете одну из типичнейших ошибок сторонника любой идеологии или позиции — игнорирование оппонентов. Это же очень легко: замкнуться в своем социуме, где говорят только приятные вещи, соответствующие личному мировоззрению, и тихонько радоваться. Но так невозможно достичь никаких целей — можно только продолжать жить иллюзиями. А для целей реальной борьбы нужно постоянно слушать врагов и взаимодействовать с врагами. Только знание врага помогает разрабатывать способы борьбы с ним. Только ознакомление с риторикой врага позволяет проанализировать и утвердиться в своих принципах и сформулировать свои возражения, которые могут потребоваться в случае полемики с ним. От прослушивания того, с чем вы согласны, у вас не прибавится ни знания, и умения — это обычно вообще бессмысленно.
          • –1
            глупость IMHO — так только нервы попортишь

            Ухо мацы принципиально ничем не отличается от геббельсовцев, просто вместо слова «еврей» у них ругательство «русский»

            google://парадокс русофоба

            зачем накапливать ненависть?
            нужно быть спокойным и просто стрелять, слушать бред вредно — рука может дрогнуть

            я с 1997 г. не смотрю и не слушаю сурковскую пропаганду, так зачем мне слушать или смотреть гей-пропаганду?

            вся эта гей-бесовщина (геббельсовщина) очень мало изменилась со времени своего возникновения — Ухо Мацы почти дословно повторяет заголовки «Огонька», а заголовки огонька — содержимое листовок, расбрасывавшихся министерством пропаганды Рейха над окопами советских солдат — формулировки заимствованы дословно — на эту тему были исследования в ЖЖшечке

            принципиально там только «трёхразовое питание и медобслуживание» поменялось на «бесплатный чизбургер, сникерс и ойPhone»

            не нужно изучать повадки зверей, чтобы убить волка-овцекрада — все, кто живут жЫвотными инстинктами, давно изучены и написаны зоологами

            так что я лучше буду жить в семейном кругу своего рода и народа, а против жЫдов использую град/ураган/мстю и ядрёную бомбу

            кавказоидное зверьё или предатели из КГБ и партийно-комсомольской верхушки для меня не враги, а жЫвотные — у них не риторика, а блеянье и рык
    • +25
      При чём здесь прокси-сервера? Заражённые машины, скорее всего, действительно находятся на территории вышеперечисленных стран. Просто отдел «К» арендовал именно вот эти ботнеты. Что здесь удивительного?
      • +3
        О как вы)))
        • +4
          Более того, поскольку автор комментария не уверен насчет местонахождения ботнета, но четко указывает название отдела — не остается никаких сомнений, с чьей стороны он был в данной сделке. ;-)))
      • +2
        Не сам отдел К, а всевозможные путин-югенты под их крылом. Потому и Азия/Африка, потому как дешевле, инсталлы стоя копейки, единственный путь их монетизации — тупо ддос боты.
    • +3
      Барщевский юрист и «эксперт», который на любое событие имеет мнение. Только жаль он страну забыл.
  • +2
    Во всей этой драме непонятно одно — при том, что Эхо живёт на газпромовские деньги, они недавно исключили журналистов из состава правления, нафига идти таким сложным макаром?
    • +3
      Венедиктова никто не выкидывал, он все равно контроль над редакционной политикой сохранил.
    • 0
      Что конкретно вы имеете в виду насчет «сложного макара»? «Эхо» свою задачу выполняет успешно. И на фига нужны журналисты в правлении? Правление вопросы бизнеса решает, а редакторскую политику глав.ред. определяет. Если бы владельца глав.ред. не устраивал — они бы его и так выпилили…
    • +1
      Ну, Эхо не просто живёт на деньги Газпрома, а само вполне приносит доход Газпрому. Реклама в эфире не из самых дешёвых, да и сайт пестрит рекламой.
      • +2
        Кстати да. Отчетность у них закрытая, но заявляли о 34 млн. прибыли за 2011 г. Копейки, конечно, по меркам Гзапром-Медиа, но копейка рубль бережет… Обидно, наверное, оппозиционно настроенным фанатам «Эха» осознавать, что их любимая «оппозиционная» радиостанция зарабатывает деньги «банде Путина», которую, как известно, «под суд». :-)
        • +6
          Дык, оппозиционеры сами зарабатывают деньги «банде Путина», платя налоги в госбюджет, из которого вся эта политическая камарилья и кормится.
          • +6
            Точно! Каждый раз покупая батон хлеба, истинный оппозиционер должен страдать, что минимум 18% НДС от этого батона идет на содержание ненавистного режима! :-)
      • 0
        Генеральный директор акционерного общества «Эхо Москвы» Юрий Федутинов подтвердил Life News, что итоги финансовой деятельности за последнее время были отрицательными.

        — 2010 год мы закрыли с убытком в 21 миллион рублей, — заявил Федутинов

        отсюда
    • –1
      Эхо успешное радио, оно не живет на деньги, оно зарабатывает деньги газпрому.
    • +2
      В качестве альтернативной точки зрения.
      Радио Эхо Москвы зарабатывает очки оппозиционного радио.
      При этом вполне может финансироваться сверху.
      Всегда выгодно иметь радио которому верят, и через которое время от времени можно скармливать очень важную дезинформацию.
  • –1
    Коллеги, можно политику оставить за кадром? Здесь обсуждаются только технические моменты DDoS атаки на приложение echo.msk.ru.
    • +29
      Обсуждение echo.msk.ru без обсуждения политики… Вы серьезно? :)
      • –32
        абсолютно. Это Хабр, детка. Политика здесь не в почете.
        • +58
          Обращение «детка» здесь не в почёте.
        • +24
          Это 2012 год, дядя. Политика теперь снова в почете, если она компетентная.
        • –5
          Что вы, flx, дайте этим товарищам вновь друг дружке плюсиков понаставить.
        • –2
          «Откуда: Япония»

          nuff said
    • +1
      Кроме админов Эха их незнает никто. Так что вам карты в руки, а мы с удовольствием будем читать.
    • 0
      Так с удовольствием, но автор не счел возможным снабдить нас необходимым количеством технической информации, о чем я уже посетовал выше. А ведь можно было хотя бы графики какие-то выложить нагрузки… А если у них получается даже ботнеты друг от друга отличать, то и графики роста количества атакующих из ботнетов машин. Или вот, скажем, пишут, что «боты каждые 1,5-2 секунды запрашивают произвольную страницу» — это же так интересно! Совсем произвольную (с абракадаброй в адресе и получают 404 в ответ) или реально существующую? А если реально существующую — откуда они ее берут? Из заранее подготовленного и отпраленного ботам списка (значит кто-то заранее парсил сайт и можно попробовать его найти по логам)? Парсят сами результаты предыдущего запроса и выбирают оттуда произвольную ссылку (тогда сам Бог велел скормить ботам что-нибудь прикольное, вместо реального содержимого страницы)?
      Ну и так далее. Короче, можно было бы много всего интересного рассказать при желании. Но желания рассказывать, как я понимаю нет, так что топик лично я воспринимаю как типичный наброс. Ну а раз наброс — то почему бы о политике и не поговорить? :-)
      • +2
        sky_lord, сформулируйте какие именно данные вы желаете увидеть/услышать. тоже поймите — у нас сложный день и не только в России но и в Армении. Коллеги постараются ответить.
        • +2
          Ну а раз сложный, то зачем отвлекаться и тратить время на написание статьи на Хабр? :-) Я не желаю видеть нечто конкретное — я не знаю, какие данные вы собираете, что и как анализируете и о чем вообще вас можно спрашивать и просить. О системе QRATOR тоже ничего не знаю (об этом было написано в вашем корпоративном блоге? Не все его читают — дайте ссылки в тексте топика на предыдущие, где об этом рассказано...). Просто хочется читать адекватный и интересный материал, а не простую констатацию «идет DDoS», достойную твиттера, а не блога «Информационная безопасность»…
          Вы уж извините за наезд, но это ведь действительно фигня какая-то, а не статья по теме. Лучше уж не торопиться, а потом подробный «разбор полетов» сделать — всем будет интересно.
      • 0
        Ответ вскоре появится в UPD 2
    • 0
      О! График добавленный увидел! Теперь никакой политики в комментах — все обсуждаем этот график! ;-)
      • +4
        График про политический трафик :-)
    • +7
      Технические моменты обсуждать можно, а причины атаки — нет? И кто так решил?
      • 0
        Причины атаки все знают и о них можно почитать во многих местах. Всёже Хабр не место для политики, как бы мне этого не хотелось(
  • +5
    slon.ru вроде и под защитой qrator, а все равно лежит
    • +12
      К сожалению slon/tvrain/bg отключились от QRATOR 24го апреля, по непонятным для нас причинам. На данный момент происходит попытка экстренного подключения, но поскольку выходной день — у них это получается не очень шустро. Как вы понимаете наша команда работает сегодня в обычном графике, но датацентр заказчика сегодня отдыхает (во многих смыслах) ;)
      • 0
        Теперь понятно кто их DDoSит :)
      • 0
        Любопытно, не правда да ли, чего это они отключились от защиты то?
        • 0
          Ну защита-то денег стоит. Это как с сисадминами иногда бывает: прокорячишься месяц-полтора, но сделаешь-таки так, чтобы все работало как часы, из-за чего сидишь на своем рабочем месте и скучаешь, но через какое-то время начальник начинает смотреть косым взглядом и размышляя, нафига он ежемесячно платит зарплату «этому лентяю».
          • +1
            То есть, иными словами, господа управляющие, ранее закупившие защиту от ддоса (следовательно имея на то причины, не правда ли?), не смогли предугадать по предыдущему опыту, что во время «марша миллионов» существует риск подавления их работы этим самым ддосом?
            • –1
              Вы там к чему пытаетесь клонить, к тому что они сознательно подставились под DDoS (хотя нафига тогда было начинать защищаться от одного противопротестного DDoS'а только для того, чтобы специально убрать защиту перед другим?) или к тому, что Qrator чего-то испугался и сам их выпроводил?
              • –2
                Нельзя игнорировать факт предварительного отключения защиты от ддос, вот куда я клоню.
  • +2
    Кстати, не знаю как насчет «Эха», но Дождь хоть и лежит до сих пор, но трансляция из мобильного приложения работала исправно. Получается, на мобильные трансляции выделен отдельный сервер, который то ли не атаковали, то ли он оказался более защищенным от DDoS-атак.
  • 0
    Митинги закончились, атака до сих пор идет. Зачем? Все равно когда-нибудь с них слезут и они все осветят.
    Может, у тех, кто запустил ботнет, рабочий день закончился раньше?
    Из графика не понял ничего. К чему его прикладывать?
    • +4
      От освещения этих новостей сейчас гораздо больший пиар-эффект, чем это будет через неделю. А ещё весь твиттер пестрит сообщениями, что завтра в 10:00 на Манежной «продолжение банкета». Так что я надеюсь завтра Дождь будет работать.
    • 0
      И я вот думаю, всё равно ведь когда-нибудь ддос закончится. Насколько будет подогрет интерес к «информации», которую противоборствующие силы пытались «потопить»? Тут же на хабре так любят вспоминать про эффект Стрейзанд.
  • +9
    Как обычно власть не придумала ничего лучше ддоса. И при этом катят бочку на других. Бездарные твари.
    • 0
      Почему же — придумала, урезать bandwidth в RL и спровоцировать тем самым DDoS на свой файрвол особого назначения.
      • 0
        кстати, по Ленте получается что спровоцированный DDoS оказался успешным: мало того, что модулей защиты файрвола особого назначения было сломано больше, чем атакующих, так и вторая цепь этого самого файрвола сейчас по уши в присланных пакетах… =)
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Кстати да, давайте уж гулять так гулять! Реквестую версию посложнее, обсудим!
        • +1
          Взломать все сайты в интенете и написать то что нужно.
  • 0
    Сейчас оочень туго открывается. Все атакуют?
    • 0
      с 8 утра прошлого дня нон-стоп.
    • 0
      В Пакистане и Индии наступает утро:



      Атака, тем не менее, фильтруется, и, по нашим данным, сайт «Эхо Москвы» работает в штатном режиме.
      • –1
        А по моим — лежит!
  • +1
    А че там с анонимусами-то? Они ж обещали сайт правительства заддосить. Пока читаю, впечателние, что все стало с точностью да наоборот.
    • +2
      ну не совсем. вчера ряд правительственных сайтов вынужден был повесить подкэшенную статику ;)
      их выдавало «остановившееся» время.
  • 0
    Честно говоря, судя по графикам, атаки какие-то детские, даже странно что кто-то от таких еще ложится.
    • –2
      Ну не даром же эти товарищи предварительно от QRATOR'а отключились?
      • –2
        Сгинь, нашистская сила!
        • –1
          Это ответ?
          • НЛО прилетело и опубликовало эту надпись здесь
            • –2
              О, это прекрасно, не расскажите кому и что главное зачем нужен ддос этих самых определённых ресурсов?
              • НЛО прилетело и опубликовало эту надпись здесь
                • –2
                  А что же так, для вас же всё так очевидно?
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • –1
                      Нет, я бы хотел услышать мотивы для этой ддос-атаки, которые, что меня обескураживает, для вас очевидны.
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • –1
                          Однако, своё мнение вы не постеснялись всё-таки выразить в комментариях выше.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • –1
                              Вашего мнения я не разделяю, поэтому в ответ на свой комментарий я продолжил дискуссию. Однако, вы ведёте дискуссию так: «моё мнение важно для хабра, отличное от него — нет».
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  Интересно было бы узнать, где это я ругался? Не процитируете? Ваш же первый комментарий глубоко политизирован и не затрагивает ни одного технического аспекта топика.

                                  Получается, что типично, правило №6 действует так: сказать «оппозиционность» — можно, усомниться — нет.
    • +1
      Честно говоря, на выборке из 365 инцидентов за Q1 2012, средний размер ботнета составил всего-навсего 2637 «голов».

      Почему так мало? Да потому что «зачем больше, если и этого хватает».
      Вот вам простое упражнение — посчитайте сколько synflood по полосе/pps сгенерирует этот ботнет если предположить что каждая «голова» сидит на обычном ассимитричном ADSL? Сколько получилось? Много/Мало?
      Все в мире относительно, давайте скажу что Мегафону, например — точно хватит.
      • 0
        «Этот» — подразумевается ботнет зашедший на Эхо. Пардон за дизлексию, срочно нужен кофе :-/
  • –3
    Сгинь, нашистская сила!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка