?

Log in

No account? Create an account
 
 
29 July 2011 @ 10:13 pm
 
В этот раз, господин Касперский решил высказаться сам.
http://www.gazeta.ru/news/blogs/2011/07/29/n_1945213.shtml

По результатам прошлых атак он посылал высказываться девочку. А результат - тот же. Полная бессмыслица.
Особенно интересно, почему господа из антивирусной лавки считают себя вправе комментировать деятельность другой коммерческой компании, обсуждать качество ее работы, технологии и так далее. Наш медийный холдинг ни разу не занимался обсуждением качества продукции Лаборатории Касперского, как и в целом - представлениями Касперских о безопасности, конспирологии. Хотя может быть стоит.

Причины такого последовательного поведения спикеров этой компании только одни - наших отказ от сотрудничества с ними во время прошлого цикла атак. В прошлый раз, как только начался DDOS на наши сервера, нам поступило предложение от КасперскийЛаб, которое мы, изучив, отвергли, по сумме совершенно простых причин. Теперь пошли заявления представителей компании, что атак "не было".

По существу глупостей, которые он наговорил, могу ответить одно. Если падение серверов СУПа вызвано некачественной работой наших админов, оно никак не может привести к падению инфраструктуры вокруг нас. Это очевидно. Датацентр в штате Монтана, в котором СУП один из многих клиентов, упал целиком, доступ к нему обеспечен двумя провайдерами, в том числе Веризоном, и этот доступ был отрублен, что подтверждается логами, которые мы ( и сам датацентр) передали в соответствующие органы, занимающиеся раскрытием преступлений в этой области. Провайдеры тоже провели свое расследование и оно подтверждает наши выводы. И только господин Касперский атак "не видит". Это говорит либо о его моральных качествах (если видит и молчит), либо о профессиональных (если не видит), впрочем возможно и сочетание причин.
 
 
 
Макакий Макакиевич Резус, эсквайрpe3yc on July 29th, 2011 07:22 pm (UTC)
Это я к тому, что без такого релиза версия о DDoS-е не стоит яйца. Дронову, сам понимаешь, не верит никто вообще, а все остальные факторы (даже без учёта Касперского) говорят против такой версии.

1. Характер отказов (ошибки 50*, ответы в стиле zero reply при POST).
2. Разные версии объяснений Сцуппа™ для русскоязычной и англоязычной аудиторий.
3. Совпадение по времени начала отказов с заявленным на утро понедельника апгрейдом.
4. Большая задержка объяснения про DDoS — на третий день от начала отказов.
5. Общая поцоватость админов Сцуппа™.
6. Общая склонность владельцев ресурса к монетизации в стиле monkey business.

И это, don't take it personally.
Демьян Кудрявцевdamian on July 29th, 2011 07:29 pm (UTC)
Я никогда тебя не беру персоналли:)

Но во-первых, в дни атаки было видно любому где останавливался tracert

Во-вторых, объясни мне каким образом монетизации чего-либо помогает сложившаяся ситуация?:))
Макакий Макакиевич Резус, эсквайрpe3yc on July 29th, 2011 07:35 pm (UTC)
Монетизации, по мнению некоторых, помогают рюшечки и кружавчики, которыми Сцупп™ обрастил жежешечку уже до невозможности, — и продолжает обращивать.

А tracert сейчас уже не проверишь, и неважно, какой был tracert тогда, если проблемы всё ещё сейчас. Да и остановленный в каком бы то ни было месте tracert никак сам по себе не доказывает DDoS.
Демьян Кудрявцевdamian on July 29th, 2011 07:39 pm (UTC)
Не доказывает. Но доказывает, что проблемы задолго ДО наших серверов. Причину действительно он не определяет, но определяет МЕСТО.

А сейчас, насколько я понимаю, особых проблем нет.

Ребята в датацентре чего-то там реконфигурируют, подключают третий канал и какие-то системы защиты, чтобы избежать повторения, это требует от нас тоже каких-то изменений, поэтому не все гладко, но в целом - все работает.
Макакий Макакиевич Резус, эсквайрpe3yc on July 29th, 2011 08:17 pm (UTC)
"В целом" оно уже полгода-год работает херово, с постоянными ошибками от nginx и varnish, — иногда редкими и некритичными, а иногда и полностью валится. И это медицинский факт, абстрагироваться от которого невозможно, да и не следовало бы.

Тот факт, что tracert в какой-то момент обрывался в каком-то месте задолго до ваших серверов, никак не объясняет постоянные, систематически 500-е ошибки, отвеченные именно вашими серверами, а также POST zero reply и прочую красоту, которой жежешечка кормит юзеров уже довольно давно, — не только сегодня, но и в последние месяцы.

И та нагрузка на сервера, которую в англоязычной версии ваш саппорт скромно называет "junk traffic", совсем не обязательно является DDoS-ом. А вполне вероятно, имеет своей причиной активность спамботов, которые сейчас обильно расплодились именно благодаря тому, что ваши маркетологи называют монетизацией.
Демьян Кудрявцевdamian on July 29th, 2011 08:29 pm (UTC)
Дим, у меня как ты понимаешь, нет цели тебя переубедить.

Если бы проблемы были связаны с нашей деятельностью, мы могли бы упасть, но у нас нет проблемы за несколько часов "откатить" ЖЖ на любую предыдущую фазу любой нашей деятельности, так что проблем многодневных, которые роняют сеть по всему сегменту мы создать не можем.

Никакой связи спамботов с монетизацией нет, ты ее можешь только придумать, но объяснить не сможешь. Кроме того спамботы ничего не в состоянии уронить, да и их объем с точки зрения нагрузки смешной. Они повсеместны и никак не связаны с монетизацией, это как раз параллельная монеетизация. ВКонтакте их больше в разы.
Макакий Макакиевич Резус, эсквайрpe3yc on July 29th, 2011 09:21 pm (UTC)
Да и у меня нет цели тебя переубедить. Сам понимаешь, мы тут не друг для друга беседуем, а для публики.

Многодневные проблемы создать вы можете вполне, и даже по факту создали. Ваши nginx и varnish вот уже несколько месяцев работают таким хитрым образом, что мешают друг другу и пользователям. И это, заметь, в отсутствие бОльшую часть этого времени дидосов, истинных или мнимых.

Я охотно поверю в то, что DDoS имел место (особенно если это подтвердят Qwest и Verizon), но и в этом случае очевидно, что этот DDoS только проявил недостатки вашей системы и усугубил проблемы, которые имеют место и без него.

Связь с монетизацией не прямая, а опосредованная. Когда и если все ресурсы направляются на [якобы] монетизационные рюшечки, а не на защиту и устойчивость, в головах наступает разруха. Когда из заявленных тридцати миллионов эккаунтов только считанные проценты являются живыми, а остальное - спам, мусор и боты, наступает разруха. Когда customer relation весь состоит из безграмотных и разнонаправленных заявлений, а пользователей называют уебанами — наступает разруха. Когда сервис лежит, а компания публикует идиотский гламурный релиз о торжественном открытии офиса в Киеве — разруха уже не в головах, а на клеточном уровне.

Я не прошу тебя признать эти факты, от их признания тобой не изменится ничего. Но вот принять по этим фактам решения и меры — вот это было бы б/п правильно и эффективно и я безо всякого пафоса буду благодарен тому, кто наконец такие меры примет.
(no subject) - superambo on July 29th, 2011 10:12 pm (UTC) (Expand)
(no subject) - oldmann on July 30th, 2011 04:07 am (UTC) (Expand)
(no subject) - tavitoom on July 30th, 2011 12:30 pm (UTC) (Expand)
(no subject) - brusilov_14 on July 29th, 2011 09:39 pm (UTC) (Expand)
(no subject) - damian on July 29th, 2011 10:20 pm (UTC) (Expand)
(no subject) - pe3yc on July 30th, 2011 08:21 am (UTC) (Expand)
(no subject) - yurvor on July 30th, 2011 10:58 am (UTC) (Expand)
(no subject) - pe3yc on July 30th, 2011 09:02 pm (UTC) (Expand)
You  never  can  tell  with beesdil on July 31st, 2011 07:20 pm (UTC)
26-27 июля в те моменты, когда LJ мне нормально отдавал всё на чтение, запостить в него стабильно не удавалось вообще ничего, включая тикет в техподдержку. Сервера под атакой так себя не ведут.
крокодил элитной конспирологииmotto on July 30th, 2011 09:04 pm (UTC)
видна любому - вопрос тот еще

вот у меня сегодня оно затыкается на 20.tengigabitethernet9-0.sa1.dca6.alter.net (152.63.42.13)
ни о чем, кроме странных отношений верайзона с ICMP и реальностью это не говорит

alter aka Verizon -- провайдер, хоть и второсортный, но большой
то же касается и квеста, но если бы там пострадали сервисы, кроме ЖЖ об этом было бы написано в новостях

а я вот смотрю в mtr и между 208.93.0.168 и 152.63.42.13 вижу только два хоста с запретом на icmp

А где именно трейс затыкался "в дни атаки"?
Морская рыбка, убивающая добычу взглядом1master on July 30th, 2011 10:26 pm (UTC)
Я лично несколько раз трейсил ЖЖ во время, когда он лежал. 80мс пинг, никаких остановок по дороге. Тонкость - трейс был с верайзона. Более того, ровно в то же время соединение до фронтенда открывалось мгновенно. Но дальше ничего не работало. При забитых каналах ДЦ такого просто не бывает.
Vareravarera on July 30th, 2011 09:22 am (UTC)
я, конечно, не веризон и не касперский. но могу подтвердить, что в то время, когда из швейцарии журнал не открывался, он отлично работал из англии, спасибо моему корпоративному впну за возможность проверить.

это говорит о том, что лежали аплинки, причем не все. капишь?
Макакий Макакиевич Резус, эсквайрpe3yc on July 30th, 2011 10:18 am (UTC)
Да может быть в какой-то момент и лежали. Но в основном проблемы с жежешечкой совсем другие: сервер доступен и отвечает, но отвечает он пятисотыми ошибками и POST Zero Reply, а это на DDoS как-то не похоже.
Vareravarera on July 30th, 2011 10:21 am (UTC)
отнюдь. если сервер перегружен из.за дидоса, запросто может выдавать и такие ошибки. зависит от того, насколько сильна атака. повторю, у меня 3 дня лежал апплинк. с британии он вроде бы работал, но там иногда вылезали упомянутые тобой ошибки.

не вижу противоречия в этой картине.
Макакий Макакиевич Резус, эсквайрpe3yc on July 30th, 2011 10:49 am (UTC)
Эти ошибки с разной интенсивностью вылезают вот уже полгода как. Что, полгода дидосят?

Главная же проблема с заявлениями про дидос состоит в том, что им никто не верит. Репутация у Сцуппа™ гавно, это означает, что о чём Сцупп™ не сообщал, скорее всего он врёт.

И репутацию такую Сцупп™ постоянно поддерживает, ЧБСХ.

Vareravarera on July 30th, 2011 12:59 pm (UTC)
ты смешиваешь факты и репутацию. про последнее мне нечего сказать.
(no subject) - pe3yc on July 30th, 2011 01:02 pm (UTC) (Expand)
(no subject) - varera on July 30th, 2011 01:03 pm (UTC) (Expand)
(no subject) - pe3yc on July 30th, 2011 01:45 pm (UTC) (Expand)