Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2007-06-03 17:00:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Assemblage 23 - CONTEMPT
Entry tags:fascism, lj, ljr, putin

соображения по технологиям ДОС-атак
[info]ru_nbp@lj закрыт Abuse, а равно и [info]ru_nazbol@lj.
Партийцы, уважаемые, перебрались к нам.

Можно заключать пари, когда LJR настанет пиздец, и
каким именно образом. К счастью, у нас уже есть запасной сервер,
совершенно убийственных достоинств. Но что-то делать надо.

Если у вас есть соображения по технологиям ДОС-атак,
которыми валят LJ, и как с ними бороться, расскажите
пожалуйста.

Привет


(Читать комментарии) - (Добавить комментарий)


[info]pzz
2007-06-04 01:42 (ссылка)
Во-первых, сейчас, говорят, роутеры не пропускают пакетов с липовых адресов (обратный роутинг должен показывать более-менее туда, откуда пакет пришел).

Во-вторых, от банального SYN-flood'а (когда просто посылают SYN'и и не дожидаются завершения handshake) теоретически должны помогать линуксячие SYN cookies.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]resv.livejournal.com
2007-06-04 02:05 (ссылка)
uRPF (unicast reverse path forwarding) checks, о котором Вы писали выше, очень мало у кого из провайдеров используется. Потому, что большому провайдеру он все ломает на раз-два. Так что никаких проверок обратного роутинга.

Банальным син-флудом, или вообще флудом чем-угодно, можно просто забить канал до сервера, и привет. Хоть обфильтруйся в своем ядре... ничего уже не поможет.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 03:41 (ссылка)
Банальным син-флудом, или вообще флудом чем-угодно, можно просто забить канал до сервера, и привет. Хоть обфильтруйся в своем ядре... ничего уже не поможет.


Скорее всего, у врагов пока хватает сил на то, чтобы уложить апач, а не канал. Я делаю такой вывод по тому, как LJ защищается - закрывает отдельную комьюнити, а не весь сервис. Чтобы закрыть комьюнити, надо хотя бы принять и распарсить первую строку HTTP header'а.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2007-06-04 04:07 (ссылка)
Из этого как раз видно, что ложат не апач,
а тот кластер мыскл-базы, где лежит ru-nbp.
Потому что Апач один на всех, а кластеров сотни.

Внутреннее устройство LJ:
http://danga.com/words/2005_oscon/oscon-2005.pdf

Такие дела
Миша

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]pzz
2007-06-04 04:21 (ссылка)
Я бы предположил, что у них есть коробочка, которая умеет парсить первую строку запроса (если не весь запрос), и дальше не пропускать. Очень может быть, что она же разбрасывает запросы уже по кластерам с апачами.

Вряд ли комьюнити отображаются на кластеры 1:1. Если бы ты был прав, кроме ru_nbp еще бы несколько (десятков?) комьюнитей бы померло.

Ты обрати еще внимание, в апаче запрос, который ждет ответа от базы, блокирует целый процесс. Сколько по-твоему таких издевательств может выдержать ихний апач, прежде чем сдохнет? Нет, им именно апача надо защищать, если они не хотят рухнуть всем сайтом.

(Ответить) (Уровень выше)

(Читать комментарии) -