full stack javascript developer
0,0
рейтинг
28 марта 2013 в 02:19

Разработка → Одна из самых больших DDoS-атак в истории

На протяжении последней недели многие пользователи интернета в Европе столкнулись с задержками и кратковременной недоступностью множества сайтов. Их причина — бушевавшая всё это время DDoS-атака, достигавшая 300 гигабит в секунду — одна из самых крупных, возможно даже самая крупная за всю историю интернета. Масштаб атаки был таков, что её ощутили даже «киты», на которых стоит интернет — Tier-1-операторы и крупнейшие точки обмена трафиком европейских столиц.

Причиной атаки стал конфликт между организацией Spamhaus, составляющей списки распространителей спама, и голландским провайдером Cyberbunker. Конфликт разгорелся после того, как Spamhaus включила Cyberbunker в списки спамеров. Cyberbunker — один из самых радикально настроенных «абузоустойчивых» провайдеров. Его услугами пользовалась Пиратская Бухта. Штаб-квартира и серверы Cyberbunker расположены в пятиэтажном здании бывшего военного бункера НАТО — отсюда и название. Как утверждает Spamhaus, в ответ на включение в чёрный список Cyberbunker начал атаку.

Удар приняла на себя CDN CloudFlare, предоставляющая в том числе и защиту от DDoS. Атака началась 18 марта и на следующий день выросла до 90 Гб/с. 21 марта атака прервалась, но 22 продолжилась с новой силой, увеличившись до 120 Гб/с. Так как завалить саму CloudFlare не удалось, атакующие вскоре переключились на провайдеров, с которыми работает CloudFlare, и увеличили мощность атаки до рекордных 300 Гб/с. Атака затронула сети крупнейших провайдеров, которые в отдельные моменты оказывались перегруженными. 23 марта значительные проблемы были на лондонской точке обмена трафиком. В час пик, когда трафик обычно составляет около полутора терабит, она не справлялась с нагрузкой. Провал хорошо виден на графике:



Атака велась методом DNS amplification — серверы атакующих рассылали DNS-серверам по всему интернету множество рекурсивных запросов с поддельными обратными адресами. Ответ на такой запрос длиной несколько десятков байт может весить несколько килобайт, и отправляется он по адресу жертвы, «усиливая» таким образом атаку. С помощью DNS amplification можно добиться гораздо большего трафика, чем обычным ботнетом, так как в роли «зомби» оказываются не пользовательские компьютеры со слабым каналом, а серверы. Чтобы провести такую атаку, надо иметь списки адресов уязвимых DNS-серверов. Судя по всему, списки атакующих были очень длинными и качественными. Об этой уязвимости DNS известно уже давно, но до сих пор миллионы серверов по всему миру не закрыли её.

Илья Сименко @ilya42
карма
526,7
рейтинг 0,0
full stack javascript developer
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (126)

  • +88
    аплодирую стоя!
    • +11
      Кому?
      • +26
        Да просто хорошо человеку.
        • +45
          Я бы аплодировал CloudFlare.
          Раньше я много спама получал из того бункера пока не закрыл их на уровне Firewall, так как на «абуз» они не отвечали.
          • +5
            Использую CloudFlare уже около 3 лет и нахожу их прекрасными, защищая около 10 сайтов/серверов.
            До того, пока не прочёл эту статью на Хабре, и не подозревал, что существует проблема и риск для моих сайтов/серверов.
            Аплодирую CloudFlare!
            • 0
              Просто аплодирую )
          • 0
            Так и думал, что это — рекламная статья CloudFlare
            • +1
              Тссс… А то сейчас нас НЛО забанит.
  • +40
    Ну Spamhaus далеко не всегда себя адекватно ведет. Может, теперь будут задумываться перед тем, как отправлять большие подсети в блеки из-за одного хоста.
    • +2
      В тексте вроде бы не упомянуто то, что Spamhaus удалось завалить. Разве удалось?
      • +4
        Я, вроде, и не говорил что удалось завалить. Это и не важно, на самом деле. Важен прецедент, показывающий что спамхаус не является «пупом земли» и истиной в последней инстанции.
        • +7
          Ну вообще-то если остались только такие аргументы, получается что так и есть, «пуп земли», истина и пр.
          Хорошо не стали из пушки бомбить по провайдерам (это уже про Cyberbunker) и с B-29 бомбы сбрасывать.
          • +13
            А я бы сбросил. И заодно по маленькой двухотфунтовке в ректус каждому, кто этот спамхаус использует.
            На моём почтовике используется проверка SPF и reverse-DNS check. В качестве последнего бастиона стоит старый добрый байесовский фильтр.

            Если раз в две недели ко мне в инбокс пробивается спам-письмо, то я его даже читаю. Просто из уважения к спамеру. :)
            • +1
              Кстати, а что даёт reverse-DNS? Я, например, уже год как плюнул воевать с мэйл-админами Октябрьской ж.д., которые блокируют все письма с нашей Яндекс почты-для-домена и в ответ говорят, что мы «не проходим Reverse-DNS проверку».
              • 0
                Очень странно, т.к. почта для домена использует MX-запись mx.yandex.ru, на которую возвращается 5 А-записей и все они имеют корректный PTR. Возможно, вы шлете им почту напрямую, а не через ваш(яндексовский) SMTP?
                • 0
                  Да даже через web-интерфейс шлю — никак. У меня единственная идея была, что, может, проблема с тем, что на нашем домене кроме кроме почты ничего нет т.е. нет А-записи на сам домен (ну нетуть у нас сайта!). Но что нам, ради почты сайт заводить?
                  • +1
                    А-запись для домена не имеет никакого отношения к работе почты. Для почты имеет значение только MX (ну и еще TXT-запись с SPF, но это не является требованием, а лишь рекомендацией. Кроме того, при подключении к почте-для-домена создаются и MX, и TXT со всеми нужными данными для корректной работы SPF).

                    На всякий случай проверьте через какой-нибудь публичный DNS (например, гугловский — 8.8.8.8, либо 8.8.4.4), что отдается в качестве MX для вашего домена, и если это mx.yandex.ru, пинайте админов железной дороги до тех пор, пока не найдут, почему у них либо другие данные для этой записи, либо почему у них не получается определить PTR, когда снаружи все хорошо, либо истинную причину, а не то, что они вам говорят.

                    Электронная почта на самом деле очень просто устроена. Как только приходит понимание базовых принципов ее работы, большинство вопросов отпадает само по себе.
          • +3
            Спамхаус давно нарывался, не удивлюсь если у кого-то терпение лопнет и пойдет физическое уничтожение.
            Вспоминается сюжет End of Evangelion, там правда силы были изначально неравны.
        • 0
          прецедент, показывающий что спамхаус не является «пупом земли» и истиной в последней инстанции.
          Этот прецедент больше показывает, что в нашем мире всё ещё прав тот, кто сильнее.
          Разве CyberBunker пытались юридически уладить ситуацию? Не… Spamhaus, пользуясь свои монопольным положением, занимается вымогательством, её сразу в ответ ддосят — почти как у нас в 90-х, только теперь в интернетах.
          • +1
            Так всегда и будет прав тот, кто сильнее. Просто меняется представление о силе, а суть остается та же. Вот когда все будут киборгами, то будет сильнее тот, у кого прошивка круче.
            • 0
              Вспоминаю эпизод из GitS.
    • +8
      Вот кстати правда, шальная контора.
    • +34
      Неадекватность его поведения даже не в том, что он отправляет сети в бан из-за одного хоста, а в том, что эта организцаия занимается рекетом, включает в бан тех, кто ей отказывается платить. Таких контор в интернете сотни, но к именно этим почему-то многие прислушиваются.
      • +2
        Именно. Причем, на самом-то деле эта контора никаких прав и не имеет. Объединение энтузиастов, возомнившее себя Робин Гудами.
        • +9
          Они не Робин Гуды, денег, которые получают от сервисов, они никому не раздают. И не энтузиасты, так как занимаются вымогатательством.
          • 0
            Я, наверное, не очень правильно выразился. Энтузиасты — так как это некоммерческая организация. «Робин Гуды» — так как наказывают «плохих» (и еще кто под раздачу попадет), и отдают все «бедным» (себе), так как им же надо на что-то существовать.
            • +28
              Зачем выдумывать для них какие-то эпитеты из области средневековых английских баллад?
              Всем и так хорошо известно, что спамхаус — непредсказуемые и неуправляемые обезьяны ;(
              • +2
                А кто же управляемая и предсказуемая обезьяна?
                Не наезда для а ради ликвидации безграмотности.

                P.S. Со спамхаусом никогда не было проблем, хотя сети наших провайдеров (например комстара, будь он не ладен) у них тоже по-умолчанию банятся. Одно письмо (или даже через Web-морду запрос) при смене IP и все — инцидент исчерпан, причем весьма оперативно.
                • +6
                  Ой да ладно одно письмо, а рассказать когда решили проблему, кто решил, кто наказан, как наказан и куча прочей информации и не дай бог им не понравится ответ, можно месяцами переписываться при этом целые сети /24 забанены из за одного хоста. На заполненную вебформу почти всегда приходит письмо, что данных недостаточно и расскажите ка нам (список выше). В одном запросе нельзя указать сразу ряд абуз, которые хочется снять, только по отдельному запросу на каждую, сидишь так пол дня на каждую оправдания сочиняешь, в каком месте они адекватные?
                  • +1
                    Ну я вот ХЗ, т.к. ни разу не занимался письменным доказательством, что не верблюд. Всегда ограничивался запросом на удаление из списка, все разы общения с ними у меня в сумме отняли от силы часа полтора. Правда стоит оговориться, что последний раз я с ними общался года полтора назад, и попадал всегда только в PBL. После перехода на провайдера, который физиков в принципе не обслуживает, не контактировал с ними вообще ни разу. Их подсеть вся не присутствовала в списках спамхауса в принципе.

                    Так что лично я про их адекватность ничего плохого сказать не могу. И даже в какой-то степени поддерживаю инициативу по-умолчанию блочить подсети, которые физикам выдаются, ибо нефиг. А потратить 15 минут времени — вполне можно, тем более что конечная цель организации все таки благая. Если сейчас они испортились и стали докапываться ко всем по поводу и без, то чтож, остается только поохать.

                    И кстати, как на счет адекватного альтернативного поставщика подобных данных, есть такие?
                  • 0
                    Также подтверждаю что никогда со Спамхаузом проблем не возникало.
                    При том что у нас уже почти 16-я сеть в общей сложности насобиралась.
                    Если возникает прецедент, он решается в течении часа-дня по одному запросу.
                    Ответ всегда один:
                    Hello,

                    Thanks for your effort.
                    We have removed the SBL record.

                    Our mirrors will update within the hour.
                    • 0
                      Завидую Вам, похоже на кого попадешь там, есть абузы которые закрываются быстро, а есть на которые проще плюнуть и не выдавать адреса клиентам, чем доказать, что не верблюд. От чего это зависит понять сложно, то-ли от фазы луны то-ли от кармы принимающего. Самое противное сами на абузы реагируем быстро, которые к нам идут, а потом еще месяцами выгребаем из разных чудосписков.
                • +1
                  А кто же управляемая и предсказуемая обезьяна?

                  По моему опыту, меньше всего сюрпризов возникает при общении со Spamcop.

                  Но на самом деле, спамхаус тоже не самое страшное. Те, кто сталкивался с uceprotect, знают :)
              • 0
                Web-картель?)
    • +1
      «Великий Российский Фаервол» так надо атаковать, когда они большие подсети в бан отправляют…
      • 0
        А смысл? Это же не государственный железки, а оборудование у провайдера, у каждого своё. Причем если его перегрузить, то у вас интернетов вообще не будет.
  • +80
    DDoS атака провайдера из военного бункера. Красота какая, кибер-фаллаут!
  • +2
    Сильно, вот что может коммерция — если разозлить.
  • +14
    А какая их ждет ответственность?
    • +15
      Теоретически могут на них обидется аплинки
      Практически — никакой, не думаю что кто-то их не поддержит, спамхаус многим надоел
    • +18
      Пусть сначала в бункер прорвутся.
      • +1
        В этом случае проще забетонировать все выходы.
        Даже сажать никуда не надо, не сбежишь.
        • 0
          Не забывайте, у них есть скоростной доступ в интернет и куча серверов! Они там могут просидеть вечность.
          • 0
            а воды много?
            • +2
              Конденсат от кондиционеров.
            • 0
              «10 000 литров воды в баках бункера и еще 240 000 литров за его пределами»©
              Внутри бункера можно автономно существовать 10 лет, судя по тому что про него писали.
              Вот только предательский интернет кабель можно тупо перерезать.
          • 0
            а кусачки к оптоволокну нельзя применить варварским способом?
            • 0
              Ну уж нет, это слишком жестоко!

              К тому же наверняка они позаботились и об этом, пустив кабель под землёй и никто кроме них не знает, где он выходит на поверхность.
              • 0
                В точках обмена трафиком и у аплинков же!
                Коварный замысел раскрыт. )))
              • +2
                траншейным экскаватором по кругу пройти.
  • +1
    И сайт cyberbunker-а не открывается.
    Дали ответку? :)
    • +1
      Заспамили вероятно :)
    • +4
      Хабраэффект :D
      • +1
        Так нас подставили!
    • 0
      Так они же в черном списке.
  • +20
    Spamhaus давно пора придушить.
    • +8
      Вопрос: а была ли атака эффективной? Спамхаус понес какой-либо ущерб?
      • +2
        Я думаю, единственной целью атаки было поднять шум и уронить авторитет спамхауса в определенных кругах. Добились ли они этого — сложно сказать, увидим.
        • +1
          Уронить? Ниже, если только закапывать.
  • +11
    Знаете, в этой истории, занимательной и немного фантастичной, меня пугает одна вещь, а именно то, что группка из нескольких толковых (пусть и очень толковых) ребят смогла пошатнуть весь интернет, который соединил миллиарды людей.
    • +5
      Просто он (Интернет и все, что он соединяет) уже давно стал слишком сложным, а сложные системы хрупкие или ооочень дорогие. Но да, немного страшно.
      • 0
        Не все сложные системы хрупкие, просто они имеют предел хрупкости. Человеческий организм — сложная система, в то же время, нехрупкая.
        • +1
          А по-моему, очень хрупкая…
          • 0
            Смотрите, от частых нагрузок, после которых есть время на восстановление, человеческий организм становится лучше. Вообще — очень рекомендую Николаса Нассима Талеба Antifragile. Как раз об этом книга. Как и о многом другом.
            • 0
              А маленький кусочек чего-либо твердого (чаще всего металла), пролетающий сквозь голову на достаточно низкой (по космическим меркам) скорости способен полностью сломать эту систему. Так же как и несколько милиграмм некоторых веществ, которые часто называют ядами.

              Зато человеческий организм весьма круто преспосабливается к медленно меняющимся условиям (также как и большинство животных), это да, что есть, то есть.
              • 0
                У любого организма есть пределы хрупкости, согласен.
    • +8
      А вот меня на самом деле пугает совсем другая вещь. DNS reflection/amplification атака с точки зрения реализации элементарна, в связи с чем не нужно ванговать, чтобы утверждать, что чем больше людей о них узнает, тем больше атак мы будем наблюдать и этот год будет не простым. Инструментария по поиску открытых резолверов предостаточно, генераторов dns запросов тоже. А удивляет тот факт, что интернет сообщество в лице операторов связи по всему миру очень аморфно и не спешит выполнять требования BCP38, который появился в далеком 2000 году. Пока у атакующих будет возможность арендовать/брутить сервера с возможностью спуфа, либо создавать ботнеты из пользовательских ПК, которые также могут спуфить, мы будем наблюдать различиные вариации amplification атак (DNS, NTP, SNMP, etc). И 300Гбит/с не предел, это лишь к вопросу ресурсов у атакующих. С плечом 1:70, достаточно и 10 серверов подключенных гигабитом.
      • +4
        Неплохо было бы сразу давать ссылку: tools.ietf.org/html/bcp38
      • +5
        Нет никакого плеча 1:70 — журналисткая выдумка, усиленная с плечом 1:2 каждым пересказывающим… )
        Размер UDP DNS ответа ограничен 512 байт, для большего обьема данных нужно использовать TCP, а на TCP со спуфингом вообще никакого усиления не получишь, максимум — SYN-ACK reflection.
        Да и найти днс-сервер и запрос к нему, чтобы ответ приближался к 512 байт — та ещё задача. Это только рутовые сервере, и ещё для некоторых особо крупных зон, могут генерировать большие списки следующих нс-ов в цепочке. Таких серверов всего несколько десятков, и на них наверняка стоит ограничение исходящего трафика на один ип, не первый день в бизнесе ведь.
        А если учесть 14 байт Ethernet, 20 байт для IPv4 заголовка, плюс 8 байт UDP хидера, плюс сам днс-запрос — полный пакет уже минимум 50 байт.
        Вот и получается плечо — теоретический максимум 1:10, это для самых коротких доменов типа a.com, среднее плечо будет 1:7, а для обычных нерутовых серверов и того меньше.
        • +7
          EDNS0 увеличивает максимальный размер ответа до 4КБ.

          После подписи RU исходящий трафик скачком возрос в четыре раза, при этом кол-во запросов не увеличилось. Так что при желании можно и 1 к 100 получить.

          Попробуйте сами: dig ru. ANY и получите в ответ полтора килобайта.
          • +8
            Опередили. Ссылка на RFC2671. Это был ответ на вопрос откуда получаем плечо. Что касается поиска зоны для которой ответ может превышать 512байт, можно долго искать длинный ответ, но пацаны обычно рисуют TXT запись 4кбайт для фейкового домена.
            • 0
              а можно и без фейкового домена по известным и популярным доменам (которые невозможно заблокировать) бомбить.
              плечо 5..7 это тоже неплохо, и отсечь сложнее…
  • +33
    Очень неплохая реклама CloudFlare получилась.
    • 0
      На сколько я знаю, в течение последней недели у них было два простоя по пол часа, даты уже к сожалению точно не назову.
      • 0
        На фоне такой атаки — это не сильно существенно
  • +2
    Увлекательно написано, словно детектив.
    CyberAP прав — лучше рекламы не придумаешь, тем более когда не словом, а делом.
  • +31
    Причиной атаки стал конфликт между организацией Spamhaus, составляющей списки распространителей спама, и голландским «абузоустойчивым» провайдером Cyberbunker.

    «Чума на оба ваши дома» (с) В. Шекспир
  • –2
    Вот например, крупный украинский регистратор imena.ua:
    $dig ANY isc.org @ns3.imena.ua +edns=0
    Проходят запросы на всех трех нейм-серверах…
  • +1
    График выглядит, как стая акул, чинно подплывающих к жертве.
    Помню, когда-то на Яндекс обрушили 100 гигабит (была статья даже, чёрт возьми, это было 2 (!) года назад). Как долго будем ждать первой атаки в 1 ТБит?
    • –14
      А при чём тут яндекс? В статье по ссылке 0 букв про яндекс. Просто 100 гигабит и всё.
      • +6
        У атакуемого сайта владелец от безысходности менял А-записи, и ставил айпи Яндекса, DARPA и прочих, в результате последние тоже частично полегли на некоторое время.
      • +3
        Если не ошибаюсь, речь идёт об этом случае DDoS в 100 Гбит/с
        Когда-нибудь, кто-нибудь видел, как лежит yandex? rtcomm? ukrtel? darpa? evoswitch? webazilla? Сеть в мир небольшой европейской страны?
        • 0
          Да, именно об этом случае. Оригинальную статью на хабре автор почему-то быстро убрал.
  • 0
    Кстати, в прошлом году CloudFare уже атаковали, только атака была на Гбит/с, и тогда они вроде как не совсем справились.
    • +13
      Маркетологи хреново отработали) Теперь вот выбрали правильную цифру и внушительно и выдержали)
  • +1
    А собственно как правильно защищаться от DNS Amplification? Мне вот нравится иметь свои рекурсивные DNS. И используются они из разных мест и разных провайдеров, следовательно закрыться по IP не подходит. Правильно ли я понимаю, что единственный выход в данной ситуации — это ограничить допустимую частоту ANY запросов, например с помощью iptables? Или можно как-то еще? Использую PowerDNS Recursor и PowerDNS.

    • 0
      Только канальной мощностью.
      Там же валят объемом. Либо закрываться от европы/азии на аплинках.
      Но в российских реалиях бывает такое, что такая атака кладет намертво весь ДЦ, и уже аплинк снимает анонсы сетей в сторону которых идет флуд.
      Вообще flx специалист в этой области, спросите его лучше.
      • +2
        Вы меня не поняли. Я не жертва DDoS'а. Я потенциальный, хоть и подневольный ее участник, так как держу сервера на которых рекурсивные ДНС отвечают всему интернету. Вот хотелось бы понять как мне свои сервера настроить так, чтоб весь интернет по-прежнему мог ими пользоваться, но при этом не использовать для DNS Amplification.

        Пока что решение только такое, как описано, например тут (для NS запросов) или тут (для ANY). Но как-то это не универсально… :-\
        • +1
          Используйте RRL.
          • 0
            Спасибо, интересно. Как только оно появится в powerdns.
            • 0
              Там это делается через LUA.
              • 0
                Скажите, пожалуйста, Вы сами пробовали? Насколько я понимаю, хук prequery необходимый для реализации RRL на lua есть только в нестабильной svn версии powerdns recursor.
                • 0
                  Нет, не пробовал. Я вообще powerdns обхожу стороной, ибо они в угоду производительности не совсем точно следуют RFC.
      • +17
        всем привет.

        новостей будет несколько, конспектом.

        1. эта атака есть полной повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY.

        2. актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов. наша оценка 100-150 штук.

        3. группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты)

        4. в прошлую пятницу в 6 утра они пришли в гости к qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies.

        5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.

        6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи.

        7. BCP-38 ( tools.ietf.org/html/bcp38 ), query ratelimiting ( www.redbarn.org/dns/ratelimits )

        8. генератором второй ступени могут выступать и другие UDP services, например NTP.

        9. парням сломавшим интернет должно быть стыдно, так-же как и парням которые не соблюдают пункт 7.

        пардон, но на нормальную статью просто нет времени. да и материал не очень интересный. OFN.
        • 0
          6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи.
          От куда вы это взяли? Или вам просто хочется иметь возможность сказать «Вот мы, русские, чуть не завалили интернет!»?!
          • +2
            5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.

            «тестировали» на выносливость многие значимые приложения и компании рунета.
            учитывая время и характер тестов — они как миниум сидят в нашем часовом поясе и рунет им интереснее чем спамхаусы.
        • 0
          Наивный вопрос. А в чём проблема блокировать пакеты с левым source ip на уровне провайдеров? Т.е. почему аплинки Cyberbunker этого не делают? У меня на всех серверах это настроено много лет, и я наивно думал что у всех провайдеров это тоже давно настроено и проблемы спуфинга source ip в наши дни уже просто нет.
          • +2
            Повсемесное исполнение BCP-38 позволяет купировать целые классы ddos-атак, но не все топологии позволяют сделать это совсем уж безболезненно и требует это определенных усилий, поэтому подавляющее большинство предпочитают ЗАБИТЬ. А жаль.
        • 0
          o/ Fix

          Тему эскалировали и до меня, думаю ты понимаешь почему. Мы двигаемся. Ну просто, что-бы ты был в курсе, кавалерия на подходе =).
          • 0
            good news.
          • +1
            Видимо не спроста… ведь ~60 надуло. ;) Виновные будут наказаны?
  • +2
    Это конечно все интересно, НО, если встать на сторону жертв(не берем в пример тех что описаны в это статье),
    которых так или иначе валили этого рода атакой — то становится грустно,
    ибо серверов которые дают делать произвольные днс запросы хренова тьма и никто из их владельцев не чешется чтобы такого не было — и главное что ответственности за это тоже никакой нету.
    А бывают еще хостеры на букву Х, которые при такой атаке просто отрубают сервер жертвы(ведь ленивые админы через чьи сервера идет атака пишут телеги в сторону аплинка жертвы) потому что считают — что он наоборот атакующий, и надо после этого неделю доказывать что ты не верблюд.
    Накипело.
  • 0
    CloudFlare расписывает, какой у них хороший и полезный anycast и что они подключены к DEC-IX и AMS-IX. LINX не выдержал и припал, якобы из-за DDoS. DEC-IX и AMS-IX не заметили DDoS на графиках. Какой полезный anycast.
  • –8
    Мне вот что интересно: а вот этот Spamhaus как такую мощную атаку организовал? Случайно, не с помощью ботнета?
    • +4
      Вы как-будто статью не читали. Спамхаус не организовывал атаку, он от нее страдал.
      Организовывал атаку кибербункер. И да, не с помощью ботнета а с помощью уязвимости в ДНС.
      • 0
        и кибербункеру ничего за это не будет? типа это «легально»?
        • –2
          Их уже отключили, в этот раз легко не отделаются, надеюсь.
      • +1
        Честно говоря неочевидно из статьи, что Спамхаус страдал, потому что ощущение будто атаковали не его, а CloudFlare.
  • +11
    К (не)адекватности СпамХауса… Странные ребята всё-таки в своем стиле, узнать кто организовал атаку не так легко, а они сразу и сходу обвинили кибербункер не разобравшись толком, хотя этот спамхаус достал уже всех и атакавали бы его многие…
    Всё как обычно у них и в бан попадают целые подсети, без какого-либо разбора…
  • 0
    За DDoS же положено в тюрьму садить, не?
    • +1
      Виновники и так в цитадели)
  • 0
    Добавьте голосовалку, что ли — интересно, сколько народу за спамхаус, и сколько за бункер.
  • +1
    • +1
      А Лондонская Сохо-Нет просела, причем было заметно, хотя может другие проблемы были.
    • 0
      На моем домашнем интернете в эти дни скорость просела. Например, скорость скачки с ютуба. Хотя, возможно, всего лишь совпадение.
  • +3
    Хакеры в законе. Всем известно кто виноват но никто не знает что делать)
    • 0
      Ну 21 век же на дворе :)
  • +2
    очень похоже на пиар CloudFare, «смотрите ка, какой классный CDN, он выдержал XXX Гб/с»
  • +6
    Позволю себе процитировать прекрасный комментарий Игоря Ашманова из 2007-го года:
    Спамхаус не имеет отношения ни к закону, ни к здравому смыслу. Именно поэтому его судят и поделом ему.

    Прежде чем ему аплодировать или скидываться по рублю для «выживания бедной компании», хорошо бы ясно представлять, чем она занимается.

    Так вот, чёрные списки IP бывают двух основных видов:

    а) технические. Это когда хозяева списка ведут учёт рассылок: в чёрный список добавляются источники спама. Разослали с данного IP спам — включаем в список. Такие списки полезны, хотя тоже не без проблем — ибо сейчас есть ботнеты из сотен тысяч зомби-машин, хозяева которых не знают, что с них идёт спам.

    б) политические. Это когда хозяева списка отважно «борются со спамом» своим лазерным мечом. Тогда в чёрный список добавляются не только источники, но и те сайты, которые якобы рекламируются спамом, а также часто — те сайты, где высказываются одобрительно о спаме ИЛИ — внимание — неодобрительно о данных борцах со спамом.

    В результате создаётся широкое поле для подстав или просто нелепых блокировок целых регионов или больших провайдеров. Иногда спамеры для убедительности ссылаются на какую-нибудь новость в теле письма — и пожалуйста, чёрный список блокирует СМИ, на которое сослались.
    А вынуть свои IP из списка обычно крайне непросто. Хозяева списков часто просто одержимы своим мессианством и крайне надменны.

    Так вот Спамхаус — политический список, и от этого все его проблемы. Политика определяется розой втров в голове владельцев, и она в основном такая: «убивай всех, Бог разберётся, кто праведник, а кто грешник».

    Они неоднократно высказывались в том смысле, что заблеклистить чего лишнего — не страшно, ибо в любом случае привлекает внимание к проблеме спама и понижает толерантность к спаму. То есть ложные тревоги их не пугают.

    Это из-за Спамхауса, и из-за таких как он, в России теряется много легитимной почты, потому что неопытные, глупые или ленивые сисадмины подписывают свои почтовые сервера на этот политический чёрный список. А есть более разумные провайдеры чёрных списков и хорошие спам-фильтры со своими чёрными списками.

    Спамхаус регулярно блеклистит Россиию тысячами и десятками тысяч адресов. Бывали случаи, когда такие «политические» чёрные списки блокировали всю Россию целиком. А что — варварская страна, по-английски даже не говорит, ясно, что там одни спамеры.

    РТКОММ (Ростелеком) сидел в Спамхаусе годами, поскольку клиент клиента его клиента якобы что-то там разослал ИЛИ якобы был отрекламирован спамом. А РТКОММ, видите ли, не снёс сайт немедленно, без разбору, по свистку из Спамхауса, наплевав на договор и т.п. Бывало, что блокировали целыми блоками, по 65 тысяч адресов. Сейчас в РТКОММе вроде научились их уговаривать.

    Но точно такие же проблемы у кучи более мелких провайдеров. Просто за невежливое письмо могут никогда не вынуть из списка.
    Наша компания также постоянно попадает под раздачу. Нас спамеры нарочно подставляли несколько раз, рассылая спам от нашего имени, перед нашей антиспам-конференцией. Технический список в таких случаях никогда не добавит IP в базу, а спамхаусы — с дорогой душой.

    В общем, Спамхаус давно пора закрыть, а сисадминам перестать на него подписываться. Всем честным людям мира станет легче, поскольку Спамхаус не сильно лучше спама.

    Идут годы, ничего не меняется…
  • +2
    Борьба со спамом — это, конечно, замечательно и достойно восхищения, но своими мудацкими методами Спамхаус всех задолбал и хорошо, что кто-то наконец дал этим толстякам по шапке. IMHO.
    • +1
      А фанаты Спамхауса за неимением чего сказать, тихо гадят в карму…
  • 0
    Да про них хоть кино снимай: хакеры-злодеи удобно расположившись в бывшем военном бункере НАТО… Красавцы)
  • +1
    CloudFlare молодцы. Несмотря на то, что стартанули всего пару лет назад, а уже могут оказывать достойную конкуренцию таким гигантам, как Prolexic Technologies. Которые по заявлению могут выдерживать DDoS до 500 Гбит/с. Но почему-то в начале 2012 слабовато сдерживали волну мощностью в 70 Гбит/с. Ддосили тогда тоже с серверов при помощи itsoknoproblembro (как заключили эксперты Prolexic). В этот раз не знаю какой инструмент использовали, но что-то мне подсказывает, что это тот же самый… Вообще довольно мощная штука оказывается и жаль, что про нее очень мало инфы не только на хабре, но и вообще в интернете. Хотя нет, была 1 статья на хабре, а вот тут еще приметивнейший способ защиты описан. Остальная инфа это голимый копипаст. А самое интересное это то, что на pastebin.com еще с января 2012 года лежит исходник скрипта, который легко находится через поиск самого pastebin.
  • 0
    У нас CloudFlare падал под куда меньшей атакой… спас Qrator, но цены у них конечно приличные…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.