pe3yc: ¤ Какие ваши доказательства?

(Добавить комментарий)

	lolaley@lj 2011-04-10 10:22 (ссылка)
	смешно (Ответить)

	dil@lj 2011-04-10 10:24 (ссылка)
	а это вообще график чего? (Ответить) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 10:31 (ссылка)
	Это график изменения Traffic Rank от Alexa. Доступен, соответственно, на alexa.com (Ответить) (Уровень выше)

	sergeax@lj 2011-04-10 10:25 (ссылка)
	У какого процента ботов и школоты, генерящих паразитный трафик, установлена Alexa, по твоей оценке? (Ответить) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 10:33 (ссылка)
	Какая разница? Ты мне скажи, могло быть такое, чтобы Alexa не зарегистрировала вообще никакие пики трафика при реальном DDoSe? (Ответить) (Уровень выше) (Ветвь дискуссии)

sergeax@lj
2011-04-10 10:49 (ссылка)

Потому что DDOS делается не посредством броузера, а или через OLE-компонент MSHTTP, или, что скорее, вообще напрямую при помощи tcpip.sys собственной реализацией http-протокола (на базе кода wget, скажем).

Не, ну как ты себе это представляешь: у юзера сам собой открывается такой MSIE с табличкой поверх "извините, нам тут надо завалить ЖЖ, подождите 2 часа", и в нем начинают открываться страницы?

(Ответить) (Уровень выше) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 10:51 (ссылка)
	А что, панели Alexa работают только на уровне браузера, а не на уровне сокета? (Ответить) (Уровень выше) (Ветвь дискуссии)

	sergeax@lj 2011-04-10 10:54 (ссылка)
	Тулбар точно работает на уровне броузера. Даже у русского TNS мониторинг работает через локальный прокси, которым троян пользоваться вообще говоря не обязан. (Ответить) (Уровень выше) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 10:58 (ссылка)
	Понял, спасибо за разъяснения. Пост апдейтнул. (Ответить) (Уровень выше)

	pe3yc@lj 2011-04-10 10:42 (ссылка)
	И ты вообще неправильно формулируешь. Правильно спрашивать, на каком количестве машин установлен одновременно троян от Optima и тулбар от Alexa.. (Ответить) (Уровень выше)

	siberian_husky@lj 2011-04-10 10:28 (ссылка)
	кстати, давно хотел спросить у кого-нибудь-в-теме: а откуда alexa берет эту информацию? (Ответить) (Ветвь дискуссии)

	siberian_husky@lj 2011-04-10 10:28 (ссылка)
	как она может показывать трафик ддоса? (Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 10:39 (ссылка)

Она показывает весь трафик, а не трафик DDoSa. Полагаю, при реальном DDoSe она должна показывать резкий прирост трафика, isn't it?

Информацию не знаю откуда они берут. Может у них соглашения со всеми крупными провайдерами, а может мониторят точки обмена трафиком, я понятия не имею.

Но если верить каким-то мутным "экспертам лаборатории Касперского", то почему не верить Алексе?

(Ответить) (Уровень выше)

	pe3yc@lj 2011-04-10 11:07 (ссылка)
	Всё, мне уже объяснили, что они берут трафик со своих панелей, так что трафик ддоса они учитывать не могут. Вопрос снят, см. апдейт. (Ответить) (Уровень выше)

макак макакиевич предсказал
(Анонимно)
2011-04-10 10:42 (ссылка)

Ну, если макак макакиевич предсказал, то должно исполниться:

http://blue-olusha.livejournal.com/1424188.html

"В воскресенье, 10 апреля, в 14:09 по московскому времени, нами была зафиксирована очередная DDoS-атака на LiveJournal. В настоящее время нам удается с ней справляться, однако допускаем, что для небольшого количества дневников ЖЖ может грузиться медленнее, чем обычно", - отмечает Светлана Иванникова, руководитель LiveJournal Russia.

(Ответить) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 10:45 (ссылка)
	А почему анонимно? (Ответить) (Уровень выше)

ext_4234@lj
2011-04-10 10:43 (ссылка)

насколько я знаю, alexa собирает свою статистику при помощи alexa toolbar, который ставится на браузер и анализирует ваш браузинг

если DDoS был устроен так, что тысяча человек сидела и долбила в браузере кнопку refresh, причём на браузерах есть алеховская нашлёпка -- то мы увидим пики на графике :)

если же DDoS был организован так, как его всегда организовывали -- про помощи внедрения в комп трояна (то есть отдельной win32-программы) , которому даётся команда долбить какой-то сайт -- то эта статистика никак не может попасть в alexa toolbar, и, соответственно, отобразиться на графике.

искренне ваш,
капитан очевидность

(Ответить) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 10:47 (ссылка)
	Вот я и спрашиваю, сколько компьютеров в мире одновременно имеют и Alexa toolbar, и трояны от Optima? (Ответить) (Уровень выше) (Ветвь дискуссии)

ext_4234@lj
2011-04-10 10:50 (ссылка)

нет-нет, вы меня немножко не поняли.

тулбар встраивается в браузер, и анализирует ваши действия _в браузере_. как вы открыли в нём гугл, поискали что-то, сходили на анекдотру, и так далее.

если параллеьно на вашем компьютере стоит _отдельная win32-программа_, будь то торрент-клиент или троян от optima, который генерит шквал пакетов на livejournal.com -- эта информация не попадает в статистику алеховского тулбара вообще, потому что этот трафик не был инициирован браузером, а следовательно не посчитался.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 10:57 (ссылка)
	А что, про Alexa точно известно, что у них такая панель, которая умеет мониторить только на уровне браузера, а не на уровне сокета? (Ответить) (Уровень выше) (Ветвь дискуссии)

ext_4234@lj
2011-04-10 11:02 (ссылка)

нет, конечно, точно это можно сказать только расковыряв тулбар и проанализировав его код. я, кстати, не уверен что это реализуемо технически (встроить в тулбар мониторинг всего сетевого трафика), но наверное всё-таки реализуемо.

другое дело, что сама алеха в этом не очень заинтересована -- это сделает их статистику менее релевантной.

простейший пример -- у меня на компьютере 24/7 работает торрент-клиент, который регулярно ходит на tracker.thepiratebay.org. если алеха все обращения моего торрент-клиента будет считать валидным трафиком, у них получится что thepiratebay.org популярнее гугла и фейсбука.

это пример сходу придуман, но я думаю что таких примеров масса. так что алеха сама заинтересована в том, чтобы следить только за браузерным трафиком.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	pe3yc@lj 2011-04-10 11:05 (ссылка)
	Понял, спасибо, - апдейтнул пост. (Ответить) (Уровень выше)

no1u1w1w6c@lj
2011-04-17 21:23 (ссылка)

натюрлих. для монитора на уровне сокета надо или драйвер, или LSP добавлять. оба эти действия:
а) не добавляют системе стабильности;
б) требуют привилегий админа;
в) вводят антивирусы в ступор своей наглостью.

если бы алекса это делала, то проблем было бы много, профита мало.

ну и — я, конечно, никто и звать меня никак, — я следил за этой дуркой как-то. нужно было по работе. нет, драйверов не вешает, LSP не трогает, перехватом системных вызовов не занимается. собственно, более-менее приличные методы этим исчерпались.

в принципе, можешь быть на 99% уверен, что мониторят только брофзер. и то только тот, для которого тулбар поставлен.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	pe3yc@lj 2011-04-17 21:27 (ссылка)
	Ну, это выяснили уже. (Ответить) (Уровень выше) (Ветвь дискуссии)

	no1u1w1w6c@lj 2011-04-17 21:29 (ссылка)
	я знаю, я так, мимокрокодил и решил докинуть пятачок. (Ответить) (Уровень выше)

(Комментарий удалён)

pe3yc@lj
2011-04-10 12:09 (ссылка)
ПашолЪ НахуйЪ!
(Ответить) (Уровень выше)

mfdukn@lj
2011-04-10 11:35 (ссылка)
Вот даже интересно: кому нах сдался бы ЖЖ, чтоб его ддосить?
Клоуны.
(Ответить) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 12:10 (ссылка)
Особенно умиляет версия DDoSa в выходной день.
(Ответить) (Уровень выше)

lepestriny@lj
2011-04-10 11:41 (ссылка)
Ура! Они отключили лжетаймс и еще какие-то идиотские окошечки.
(Ответить) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 12:14 (ссылка)
Это ненадолго. Перенастроят фронтэнд, поднимут кэш и всё вернут обратно.
(Ответить) (Уровень выше) (Ветвь дискуссии)

lepestriny@lj
2011-04-10 12:25 (ссылка)
Пока наслаждаюсь быстротой отклика. Какие же они козлы, так упорно ломать такой толковый ресурс.
(Ответить) (Уровень выше)

rednyrg721@lj
2011-04-10 12:29 (ссылка)
а ещё поменяли имя div с рекламой на хитрое типа google_ads_div_abcd, где abcd - всякие цифры, и теперь custom css старый не работает (
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 12:39 (ссылка)
Да уж, теперь от рекламы ддосерам увиливать будет труднее..
(Ответить) (Уровень выше) (Ветвь дискуссии)

rednyrg721@lj
2011-04-10 12:41 (ссылка)
Это, похоже, какой-то глюк кэша был, щас переоткрыл ту запись (unab0mber.livejournal.com/1206606.html), уже рекламного блока не вижу.
(Ответить) (Уровень выше)

rednyrg721@lj
2011-04-10 12:46 (ссылка)
Понажимал рефреш, всё-таки, в большей части случаев блок есть, причем цифры abcd меняются после рефреша. Разумная трата ресурсов сервера! :)
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 12:53 (ссылка)
Монетизация - это святое. Уебаны должны хавать рекламу.
(Ответить) (Уровень выше)

lepestriny@lj
2011-04-10 13:32 (ссылка)
Странно, но я рекламу, наоборот, почти нигде не вижу.
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 13:48 (ссылка)
Это тоже временно.
(Ответить) (Уровень выше)

moshkow@lj
2011-04-10 11:54 (ссылка)
График ддос-атаки можно увидеть только на статистике входного маршрутизатора.
Выглядеть он будт примерно так:

Алекса же показывает графики посещаемости со стороны юзеров, причем - только валидного трафика. На ней максимум, что можно будет увидеть - провалы в посещаемости из-за того, что пользователи не могут попасть на сайт.
(Ответить) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 12:13 (ссылка)
Да, мне уже объяснили в комментах выше, см. апдейт.

Вот только я такой картинки по ЖЖ тоже нигде не вижу (работники Сцуппа™ не в счёт).
(Ответить) (Уровень выше) (Ветвь дискуссии)

moshkow@lj
2011-04-10 12:28 (ссылка)
Я тоже не вижу.
Но это не значит что ее нет в природе и их не дидосят.
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 12:38 (ссылка)
А вот в пользу этой версии кое-что есть.

Например, старожилы не припомнят ддосов в выходные дни в часы наименьшего трафика. И уж совсем странно выглядит ддос, при котором каналы очевидно не забиты, а сервера исправно и регулярно отвечают ошибками 500, 502, 503, причём то от имени varnish, то от имени nginx. Ну и до кучи сегодня IP в комментах реальные не отдавались, вместо них были адреса локальной прокси вида 172.21.х.х

Причём работы про фронтэнду заранее анонсировались Cцуппом™ - жаль только заранее не сообщили о ддосе, эх.

(Ответить) (Уровень выше) (Ветвь дискуссии)

moshkow@lj
2011-04-10 13:41 (ссылка)
Значит они на ходу прикручивают ускорители и защитные системы - отлаживаясь в рабочем порядке, да еще под досом. При работе "с колес" глюки неизбежны.

Ничего - еще пару недель поковыряются, и все наладится.
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 13:55 (ссылка)
Не вижу никаких ускорителей и защитных систем. Вижу пока только проблемы с фронтэндом, причём всё те же.

Верю, что всё в конце концов наладится. Откатиться и перенастроиться смогут, ну не совсем же они конченые дебилы.

Но вот в то, что версия DDoSа подтвердится независимым источником, не верю пока.

Независимым источником могли бы быть:

- оперативники управления "К", допущенные к мониторингу трафика;
- сотрудники профильных компаний, занимающихся безопасностью, допущенные к мониторингу трафика;
- сотрудники провайдера, который предоставляет трафик к серверам ЖЖ.

A cобственно сцупповцам, без такого независимого аудита, доверия нет никакого, слишком уж они себя скомпрометировали.
(Ответить) (Уровень выше)

кому он нахуй сдался, этот ЖЖ
poluzhivago@lj
2011-04-10 12:00 (ссылка)
"У нас тоже DDoS, как у взрослых!"
(Ответить)

rednyrg721@lj
2011-04-10 14:58 (ссылка)
Кстати, весёлая подробность:

"Опубликован полный список IP, DDoS'ящих ЖЖ. В количестве 1050 штук."
http://community.livejournal.com/securityblogru/90178.html
http://community.livejournal.com/lj_maintenance/129851.html

Ботнет такой ботнет из тысячи компов :)
(Ответить) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 15:11 (ссылка)
Там и в самом деле написано "all associated IP addresses", OMFG.
(Ответить) (Уровень выше)

pe3yc@lj
2011-04-10 15:32 (ссылка)
Но там же в комментах он уже пишет, что the list is only a small subset of the attacking systems (http://community.livejournal.com/lj_maintenance/129851.html?thread=12610875#t12610875)

А вот проанализировать адреса было бы интересно. Хорошо бы ещё к ним прилагались имена клиентов и структура пакетов..
(Ответить) (Уровень выше) (Ветвь дискуссии)

rednyrg721@lj
2011-04-10 15:48 (ссылка)
Мде, надо оф-посты составлять тщательнее.

Уже есть адреса из России по крайней мере, так что отмазки про не ту юрисдикцию уже не пройдут. Я пробил несколько адресов рядом с собой для интереса, обнаружился такой вот явно спамерский ип, например (в трех блэклистовых базах есть):
омск 217.8.238.152 http://www.ipvoid.com/scan/217.8.238.152
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 16:10 (ссылка)
Ну, это как раз логично: почему бы затрояненому компу не попасть в блэклисты?
(Ответить) (Уровень выше)

pe3yc@lj
2011-04-10 16:00 (ссылка)
Смотрю на адреса - и нахожу среди них мобильные.

Например, вот (http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=83.149.36.188&do_search=Search) вот (http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=109.253.55.184&do_search=Search).

Нет, в принципе это возможно, конечно, и я могу себе это представить - ддосящие трояны на писишках, подключенных через GPRS или 3G.

Но как-то довольно мутно такое выглядит..
(Ответить) (Уровень выше) (Ветвь дискуссии)

rednyrg721@lj
2011-04-10 16:09 (ссылка)
83.149.36.188 есть в 2 спам-блэклистах тоже http://www.ipvoid.com/scan/83.149.36.188
То есть, гипотеза насчет того, что ботнет промышляет и спамерством тоже, имеет ощутимые доказательства.
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 16:12 (ссылка)
А может быть, только спаммерством и промышляет, без ддоса? На этот вопрос мы с помощью блэклистов ответить не можем.

А вот ддос по жопорезу меня смущает..
(Ответить) (Уровень выше) (Ветвь дискуссии)

rednyrg721@lj
2011-04-10 16:22 (ссылка)
Ну вот да, если узел ботнета умеет спамить, то, наверное, выгоднее будет его этим и занять, тем более что если он умеет спамить в комменты жж, это будет похуже тупого ддоса.
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-10 16:34 (ссылка)
Такие ботнеты не умеют сортировать свои узлы по специальностям, это же не отдел кадров.

Есть подозрение, что в данном случае мы имеем дело только со спамботами, без ддоса. Но вот как это доказать/опровергнуть, не имея доступа к реальным данным..
(Ответить) (Уровень выше)

tot@lj
2011-04-10 17:47 (ссылка)
3G безлимитка ведь есть
так что без проблем
(Ответить) (Уровень выше)

RSS
(Анонимно)
2011-04-10 19:07 (ссылка)
Вот извините, что анонимно - нет аккаунта.
За время этих так называемых DDoS'ов ЖЖ через RSS прекрасно читался, без задержек. А сами статьи - нет. Судя по адресам RSS подписок - их обрабатывает тот же фронтэнд. Что было бы невозможно при перегрузке и серверов, и каналов связи
(Ответить)

ext_428596@lj
2011-04-11 07:44 (ссылка)
вот слова представителей Касперского о подтверждении ДДоС. Вполне конкретные, а не "проксирование спамеров"

"А.ГОСТЕВ: Всей полнотой информации мы, конечно же, не обладаем. Мы видим только небольшую часть, как сейчас выясняется, этой атаки. Те данные, которые есть у нас: в течение уже чуть больше трех недель в поле нашего зрения находился один из ботнетов. Мы были удивлены, увидев, что 24 марта через этот ботнет прошла команда на начало DDOS-атаки на блог Алексея Навального в Живом Журнале. А 25 марта пошли команды на атаку другого сайта Алексея, на сайт «Роспил.Инфо». потом наступила некоторая пауза, и 30 марта этот ботнет снова начал атаку на Живой Журнал, причем 4 апреля список целей атаки значительно расширился. Туда добавилось пара десятков весьма популярных российских блогеров, которые пишут на самые разные темы. Мы наблюдаем за картиной активности этого ботнета. Из той информации, которую предоставляла администрация Живого Журнала, сложить дважды два несложно и понять, что вот один из источников данной атаки. Но в целом надо признать, что ботнет участвует в атаке не один. Сколько их, сказать затрудняемся, но ясно, что тот ботнет, за которым наблюдали мы, во вчерашней атаке на Живой Журнал не участвовал, а атака была. Это говорит о том, что организаторы этой атаки обратились сразу к нескольким преступным группировкам, очевидно, англоязычным, и сделали им одновременный заказ. Зачем делать одновременный заказ нескольких ботнетов, в принципе, объяснимо. Тогда самая техническая реализация атаки выглядит по-другому, каждый из ботнетов использует разные боты, которые посылают разный вид запросов, и отсечь их гораздо сложнее."

(Ответить) (Ветвь дискуссии)

pe3yc@lj
2011-04-11 08:37 (ссылка)
Из этого ответа следует, что:

- сам Гостев в частности и ЛК в общем не обладают полнотой информации по этому инциденту;
- были команды из с&c, содержащия урл журнала Навального и другие урлы ЖЖ, а также роспил.инфо;
- по самой атаке Гостев ориентируются на информацию, представляемую самим ЖЖ;
- ботнет, за которым наблюдает ЛК, во вчерашней атаке не участвовал вообще.

Ничто из этого не позволяет делать вывод о том, что это именно DDoS. А гость передачи называет это DDoSом только потому, что к тому времени, когда он получил слово, этот термин уже был много раз произнесен другими участниками. Кроме того, он исходит из презумпции честности Сцуппа™, который называет это DDoSом.

(Ответить) (Уровень выше) (Ветвь дискуссии)

ext_428596@lj
2011-04-11 11:50 (ссылка)
Еще раз:

Гостев говорит, что что были команды ботнету на ДДоС. Написано это русским языком, двойного смысла в этом нет никакого.
"команда на начало DDOS-атаки на блог Алексея Навального в Живом Журнале"

Вы даже сами вроде бы смогли это прочитать (см. "были команды из с&c, содержащия урл журнала Навального и другие урлы ЖЖ, а также роспил.инфо;")

Это и есть подтверждение того, что DDoS был.

Гостев не будет называть что-то DDoSом потому что кто-то другой назвал это DDoSом. Он -специалист, в отличие от вас и понимает, что говорит.
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-11 12:06 (ссылка)
Ещё раз: Гостев говорит обтекаемо и двусмысленно, из его заявлений наличие ддоса не следует.

Команды из с&с могут содержать урлы, но из этого не следует ддос. Повторяю ещё раз, для тех, кто в танке - ботнеты используются для спама в ЖЖ уже давно. Спам и флуд идут из ботнетов и я об этом говорил и раньше. Но спам и флуд это ещё не ддос.

Этот специалист не привёл ни одного аргумента, доказывающего, что это ддос. А голословно заявлять могут как специалисты, так и неспециалисты, с одинаковым результатом.
(Ответить) (Уровень выше) (Ветвь дискуссии)

ext_428596@lj
2011-04-11 12:44 (ссылка)
Гостев говорил предельно конкретно, он не говорил, про "Команды из с&с могут содержать урлы", он говорил, про "команду начала DDoS". То же самое говорили в своих публикациях другие сотрудники Лаборатории.

Спорить с реальностью бесполезно, она всегда побеждает

http://www.youtube.com/watch?v=jj8VuuK1I0M

(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-11 13:06 (ссылка)
То, что вы называете реальностью, на самом деле является мифом.

Где доказательства ддоса? Сегодня жежешечка тоже работает криво, и вчера это было, и позавчера. Что, ддосят всё время?

Я не верю бездоказательным заявлениям. Предъявите доказательства ддоса - будем говорить.
(Ответить) (Уровень выше) (Ветвь дискуссии)

Слив защитан?
ext_428596@lj
2011-04-11 13:28 (ссылка)
В своем посте вы писали "не вижу ни одного независимого источника, подтверждающего сцупповую версию ддоса.". После того, как вам показали, что ЛК - источник, подтверждающий ДДоС, вы начали требовать каких-то "доказательств ДДоСа".
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-11 13:31 (ссылка)
Слив засчитывайте Касперскому.
(Ответить) (Уровень выше) (Ветвь дискуссии)

ext_428596@lj
2011-04-11 13:34 (ссылка)
Разве это он писал, "не вижу ни одного независимого источника, подтверждающего сцупповую версию ддоса"?
(Ответить) (Уровень выше) (Ветвь дискуссии)

pe3yc@lj
2011-04-11 14:07 (ссылка)
Простите, но если у вас есть проблемы с пониманием написанного, то это ваши проблемы. Я не буду больше вам повторять, третьего круга не будет.
(Ответить) (Уровень выше)