Редакция Kp.ru ищет IP-адреса DDOS-еров

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.

Kp.ru распространило релиз:

Минувшей ночью сайт «Комсомольской правды» KP.RU стал недоступен. Утром и днем 5 сентября ресурс то работает, то «падает» вновь.

Как выяснилось, популярный портал стал мишенью хакеров.

— Это DOS-атака, - сообщил руководитель интернет-службы ИД «Комсомольская правда» Иван ФРОЛОВ. - Мы фиксируем десятки тысяч одновременных обращений,
в результате серверы не выдерживают нагрузку.

В настоящее время программисты KP.RU ведут работу по выявлению IP злоумышленников.

Комментарий Roem.ru: а зачем им айпишники компьютеров из ботнета?

Добавить 21 комментарий

  • Ответить

    ip адреса ддосеров они могут найти в логах веб-сервера или фаервола, а если им нужны заказчики ддоса, то накой им ip адреса их?

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    В принципе, если быстро-быстро выявить IP-ботов, а потом прийти к ним, то с участников ботнета можно будет вытащить адрес управляющего компьютера. Вряд ли он будет исполнителем и/или заказчиком атаки, поэтому действие придется повторить.

  • Ответить

    Честно говоря меня реально убивают вопли крупных сайтов/проектов/издательств когда они вместо того, чтобы потратить один раз штуку баксов и купить самый простой сервер для FW + заплатить немного тем, кто его вам правильно отстроит и забыть навсегда про любые DDOSы, начинают искать «IP адреса DDOSеров» :) По сути вопроса — обычно если ддосят «правильным» флудингом (читай неправильными пакетами с кривыми заголовками), то обычный веб-сервер просто не в состоянии понять какие реальные IP адреса шлют пакеты и сделать с этим ничего не может. В итоге даже 200−300 зомби машин может завалить вам любой по мощности сервер. Возможно они не умеют просто правильно настраивать FW и ищут IP адреса DDOSеров именно этих самых машин с которых идет флуд. Иначе я просто не понимаю что они имею ввиду :) IP адреса ботов с FW видно сразу же, IP адрес управляющего сервера — его может в принципе не быть (бывают P2P ботнеты), IP адрес заказчика? Ж) В общем «непонятно…" :) (Камеди Клаб) PS. А вообще мне например постоянно DDOSят разные проекты, если сайт не ложится, то атаку довольно быстро снимают. Если все настроено верно — то атаку замечаешь только в мртг спустя некоторое время. В общем страшного ничего нет с этим довольно легко можно бороться, если конечно позволяют каналы.

  • Ответить
    Влад Молин Сам по себе

    В настоящее время программисты KP.RU ведут работу по выявлению IP злоумышленников. Флаг им в руки, топор в спину, ветер в морду и паровоз навстречу. :-D Вроде не 1-е апреля. :-) Ну ладно бы там «мы работаем над исправлением проблемы» или «наши специалисты совместно с милицией пытаются выйти на организаторов». У истинного злоумышленника АйПи един — сто двадцать семь ноль ноль один. ;-)

  • Ответить

    to unimaximus: > Честно говоря меня реально убивают вопли крупных сайтов/проектов/издательс­тв когда они вместо того, > чтобы потратить один раз штуку баксов и купить самый простой сервер для FW + заплатить немного тем, > кто его вам правильно отстроит и забыть навсегда про любые DDOSы, начинают искать «IP адреса > DDOSеров» :) хороший, сочный DDOS а) довольно трудно отловить и б) еще труднее отфильтровать, так что бы под фильтр попал только он и не попал «нормальный» трафик. Если он (DDOS) уже дошел до сервера, то и то и другое сделать еще труднее, в разы. В любом случае фильтровать его прибором за $1000, что бы он собой не представлял — это сильная заявка на успех. Расскажите как Вы намерены фильтровать поток в 2−3 гигабита пакетами байт по 40−60 «сервером» (сервер — это что — вот прямо таки сервер о x86 апроцессоре с freebsd/linux в ём?)? Я не знаю деталей этого конкретного случая, зато хорошо знаю что у сайтовладельцев (каких бы то ни было, пусть даже мегакрупных) подходящих технических средств не бывает, никогда. Ну, разве что у самой-самой верхушки (яндекс-одноклассники-вконтакте-mail.ru). Это приборы в сотни тысяч не рублей, довольно специальные. Их общее количество установленных и работающих в России исчесляется в штуках (не в десятках даже).

  • Ответить

    eermakk, за каждое слово готов ответить :) Мои проекты отлично жили и под 3гигабитами ДДОСа, правда ГолденТелеком очень сильно ахреневал от такого. Сейчас мы даже оказываем услуги и защищаем клиентов своего датацентра от ДДОСов. Стоит это $100-$150 в сутки если не очень много трафика. Реально каждую неделю кого-то ддосят, это нормальная рабочая обстановка. По поводу мощности сервера — мощность погоды не играет никакой, вполне достаточно 4гига чтобы с запасом влезали все ИП в память и если запросов очень много, то апдейтится сетевуха на хороший Интел (~$200), после чего сервер легко работает с 10−25тыс коннектами. Вторым концом пихаете его в ваш сервер и любой средний ДДОС (до 1гигабита вам не страшен). OC — FreeBSD.

  • Ответить

    > Короче руки нужны правильные иначе никакая железка тебя не спасет Без правильных рук ничего не будет, но пока я не увижу своими глазами фильтрацию потока от 150−300 тысяч источником, пакетами сильно разного размера, протокола и типа, с полосой в первые гигабиты (2−3-4), описанной выше конструкцией, и так что продуктивный трафик не страдает — не поверю. Само собой, бывают и простые случаи. Но они редки. Ставить между сервером с каким-то ресурсом и сетью еще чей-то сервер — ресурсовладельцы не захотят из обоснованного чувства паранойи. Сервер может быть сильно не один. ну, и т д, тут много факторов. После этого вспомним, что у хостера — сотни ресурсов. Вы что, предлагаете каждому поставить вот по такому серверу? Вы снижаете емкость своего технологического помещения на треть или больше. > правда ГолденТелеком очень сильно ахреневал от такого Конечно, Он охреневал, но не от ловкости ваших рук, а от того незатейливого факта, что ему (Голдентелекому) приходилось доставлять весь этот стремительный поток мусора от своих границ до сервера-цели, тащив его через пол-сети. Вливается он на 90% из аплинков, от всяких американских, китайских и индийских dsl-ей. То есть, вот от точки входа до серверов надо доставить. Точка входа — в лучшем случае в Европе, а то и дальше. Само собой, у них есть желание этого не делать, а применить жестокий метод — зафильтровать все прямо на входе в их сеть. Охренеешь тут.

  • Ответить

    > Так вам надо антиDDOS хостинг предлагать Такие существуют. Есть среди хостеров сущности, которые это умеют делать крайне ловко. Во всех смыслах — и отделить флуд от продуктивного трафика, с сделать это на границе своей сети (а не тянуть все это от границы до сервера-цели атаки. Этот факт не стал решающим в процессе собирания крупных сайтов без своих ДЦ. Вообще никак не повлиял.

  • Ответить

    >Так вам надо антиDDOS хостинг предлагать. Крупные сайты без своих ДЦ сразу соберете У нас нет вообще проблем с клиентами, мало того крупные сайты (типа мейла, вконтакте, депозитфайлс, укоз и тд) частично размещены у нас. антиДДОСом пусть занимаются хостеры. Это их прямая задача. Я просто привел пример, что в текущих реалиях ДДОСят реально очень часто и даже малозначительные сайты, однако минимальные деньги решают их проблемы и ваше я написал только потому, что считаю, что КП просто таким способом привлекает к себе внимание. errmark, ты можешь мне верить, можешь не верить — все это личный опыт. Времени спорить нет :)