?

Log in

No account? Create an account
 
 
29 July 2011 @ 10:13 pm
 
В этот раз, господин Касперский решил высказаться сам.
http://www.gazeta.ru/news/blogs/2011/07/29/n_1945213.shtml

По результатам прошлых атак он посылал высказываться девочку. А результат - тот же. Полная бессмыслица.
Особенно интересно, почему господа из антивирусной лавки считают себя вправе комментировать деятельность другой коммерческой компании, обсуждать качество ее работы, технологии и так далее. Наш медийный холдинг ни разу не занимался обсуждением качества продукции Лаборатории Касперского, как и в целом - представлениями Касперских о безопасности, конспирологии. Хотя может быть стоит.

Причины такого последовательного поведения спикеров этой компании только одни - наших отказ от сотрудничества с ними во время прошлого цикла атак. В прошлый раз, как только начался DDOS на наши сервера, нам поступило предложение от КасперскийЛаб, которое мы, изучив, отвергли, по сумме совершенно простых причин. Теперь пошли заявления представителей компании, что атак "не было".

По существу глупостей, которые он наговорил, могу ответить одно. Если падение серверов СУПа вызвано некачественной работой наших админов, оно никак не может привести к падению инфраструктуры вокруг нас. Это очевидно. Датацентр в штате Монтана, в котором СУП один из многих клиентов, упал целиком, доступ к нему обеспечен двумя провайдерами, в том числе Веризоном, и этот доступ был отрублен, что подтверждается логами, которые мы ( и сам датацентр) передали в соответствующие органы, занимающиеся раскрытием преступлений в этой области. Провайдеры тоже провели свое расследование и оно подтверждает наши выводы. И только господин Касперский атак "не видит". Это говорит либо о его моральных качествах (если видит и молчит), либо о профессиональных (если не видит), впрочем возможно и сочетание причин.
 
 
 
Демьян Кудрявцевdamian on July 29th, 2011 07:29 pm (UTC)
Я никогда тебя не беру персоналли:)

Но во-первых, в дни атаки было видно любому где останавливался tracert

Во-вторых, объясни мне каким образом монетизации чего-либо помогает сложившаяся ситуация?:))
Макакий Макакиевич Резус, эсквайрpe3yc on July 29th, 2011 07:35 pm (UTC)
Монетизации, по мнению некоторых, помогают рюшечки и кружавчики, которыми Сцупп™ обрастил жежешечку уже до невозможности, — и продолжает обращивать.

А tracert сейчас уже не проверишь, и неважно, какой был tracert тогда, если проблемы всё ещё сейчас. Да и остановленный в каком бы то ни было месте tracert никак сам по себе не доказывает DDoS.
Демьян Кудрявцевdamian on July 29th, 2011 07:39 pm (UTC)
Не доказывает. Но доказывает, что проблемы задолго ДО наших серверов. Причину действительно он не определяет, но определяет МЕСТО.

А сейчас, насколько я понимаю, особых проблем нет.

Ребята в датацентре чего-то там реконфигурируют, подключают третий канал и какие-то системы защиты, чтобы избежать повторения, это требует от нас тоже каких-то изменений, поэтому не все гладко, но в целом - все работает.
Макакий Макакиевич Резус, эсквайрpe3yc on July 29th, 2011 08:17 pm (UTC)
"В целом" оно уже полгода-год работает херово, с постоянными ошибками от nginx и varnish, — иногда редкими и некритичными, а иногда и полностью валится. И это медицинский факт, абстрагироваться от которого невозможно, да и не следовало бы.

Тот факт, что tracert в какой-то момент обрывался в каком-то месте задолго до ваших серверов, никак не объясняет постоянные, систематически 500-е ошибки, отвеченные именно вашими серверами, а также POST zero reply и прочую красоту, которой жежешечка кормит юзеров уже довольно давно, — не только сегодня, но и в последние месяцы.

И та нагрузка на сервера, которую в англоязычной версии ваш саппорт скромно называет "junk traffic", совсем не обязательно является DDoS-ом. А вполне вероятно, имеет своей причиной активность спамботов, которые сейчас обильно расплодились именно благодаря тому, что ваши маркетологи называют монетизацией.
Демьян Кудрявцевdamian on July 29th, 2011 08:29 pm (UTC)
Дим, у меня как ты понимаешь, нет цели тебя переубедить.

Если бы проблемы были связаны с нашей деятельностью, мы могли бы упасть, но у нас нет проблемы за несколько часов "откатить" ЖЖ на любую предыдущую фазу любой нашей деятельности, так что проблем многодневных, которые роняют сеть по всему сегменту мы создать не можем.

Никакой связи спамботов с монетизацией нет, ты ее можешь только придумать, но объяснить не сможешь. Кроме того спамботы ничего не в состоянии уронить, да и их объем с точки зрения нагрузки смешной. Они повсеместны и никак не связаны с монетизацией, это как раз параллельная монеетизация. ВКонтакте их больше в разы.
Макакий Макакиевич Резус, эсквайрpe3yc on July 29th, 2011 09:21 pm (UTC)
Да и у меня нет цели тебя переубедить. Сам понимаешь, мы тут не друг для друга беседуем, а для публики.

Многодневные проблемы создать вы можете вполне, и даже по факту создали. Ваши nginx и varnish вот уже несколько месяцев работают таким хитрым образом, что мешают друг другу и пользователям. И это, заметь, в отсутствие бОльшую часть этого времени дидосов, истинных или мнимых.

Я охотно поверю в то, что DDoS имел место (особенно если это подтвердят Qwest и Verizon), но и в этом случае очевидно, что этот DDoS только проявил недостатки вашей системы и усугубил проблемы, которые имеют место и без него.

Связь с монетизацией не прямая, а опосредованная. Когда и если все ресурсы направляются на [якобы] монетизационные рюшечки, а не на защиту и устойчивость, в головах наступает разруха. Когда из заявленных тридцати миллионов эккаунтов только считанные проценты являются живыми, а остальное - спам, мусор и боты, наступает разруха. Когда customer relation весь состоит из безграмотных и разнонаправленных заявлений, а пользователей называют уебанами — наступает разруха. Когда сервис лежит, а компания публикует идиотский гламурный релиз о торжественном открытии офиса в Киеве — разруха уже не в головах, а на клеточном уровне.

Я не прошу тебя признать эти факты, от их признания тобой не изменится ничего. Но вот принять по этим фактам решения и меры — вот это было бы б/п правильно и эффективно и я безо всякого пафоса буду благодарен тому, кто наконец такие меры примет.
Не забудем, не простимsuperambo on July 29th, 2011 10:12 pm (UTC)
отличный пост.. :)
каперский тож похоже тут как минимум руки хотел погреть...
вообщем страдают похоже только пользователи..
Злой валшебник Хухурoldmann on July 30th, 2011 04:07 am (UTC)
поддерживаю по всем пунктам.

есть старая шутка:
<dsully> please describe web 2.0 to me in 2 sentences or less.
<jwb> you make all the content. they keep all the revenue.

проблема в том, что Сцупп искренне считает, что основные источники контента это т.н. топ-блоггеры. даже я уже задумываюсь о валитьвалить. тем более что дневничок веду сугубо для себя.
Ленаtavitoom on July 30th, 2011 12:30 pm (UTC)
Вот по каждому пункту все так.
Только боюсь эффективные менеджеры уже не в состоянии остановиться и начать работать на пользователя а не на свой идиотизм и желание обогащения.
brusilov_14brusilov_14 on July 29th, 2011 09:39 pm (UTC)
///Кроме того спамботы ничего не в состоянии уронить, да и их объем с точки зрения нагрузки смешной. Они повсеместны и никак не связаны с монетизацией, это как раз параллельная монеетизация. ВКонтакте их больше в разы.


Ну что вы мне сказки рассказываете?
Я как смотритель дюжины сообществ авторитетно заявляю, что из 10 подающих заявку на вступление, 9 - откровеннейшие боты.

Пришлось чуть ли не намертво огородить сообщества, устроить там ночь инквизиции и ввести тотальную премодерацию, чтобы хоть как-то защитить их от тысяч ботов, ломящихся как голодные коты на запах сардины.
Демьян Кудрявцевdamian on July 29th, 2011 10:20 pm (UTC)
Читайте внимательно.
Я сказал, что их много.
Я сказал, что их много везде.
Я сказал, что от них нет угрозы нестабильности системы такого масштаба.
Я сказал, что с точки зрения нагрузки - их деятельность мизерна.

И понятно почему. Потому задача бота - выполнить обычное, задокументированное действие, добиться рекламного результата. Падение системы не выгодно боту:) и его хозяину. И методы борьбы с ботами несовершенны, но понятны. Вы же ими и пользуетесь.
Макакий Макакиевич Резус, эсквайрpe3yc on July 30th, 2011 08:21 am (UTC)
Нагрузка от ботов мизерна, пока ботов мало. А вот когда ботоводство поставлено на поток и сугубо автоматизировано, тогда нагрузка возрастает критически.

Сейчас ботоводством в ЖЖ заняты не только мелкие блогунисты, но и серьёзные, взрослые ботнеты, мощности которых достаточно для организации такой DDoS-атаки, которую описывает Дронов. Ты и сам в своё время мог видеть атаку комментов у Навального, когда комментарии валились со скоростью нескольких тысяч в минуту, причём у каждого был уникальный IP. Такое возможно только при проксировании через "взрослый" ботнет.

Целью каждого ботнета в этом случае может быть вполне обычное задокументированное действие, направленное на распространение спама, но поскольку таких ботнетов много, а объём генерируемого ими спама растёт по экспоненте, да и работают эти ботнеты не всегда корректно, зато всегда интенсивно — то результатом вполне может оказаться перегрузка джанковым трафиком фронтенда и даже канала. Но в первую очередь, разумеется, фронтенда, поскольку он у вас весьма тухлый и криво настроен.

И тогда получается, что ботва, которую успешно развели монетизаторы Сцуппа™, заливает мусорным трафиком фронтенд, а твои мудаки в ужасе называет это дидосом и пафосно ссут в уши пользователям.

Это не обязательно единственная причина проблем, но наверняка одна из.
(no subject) - yurvor on July 30th, 2011 10:58 am (UTC) (Expand)
(no subject) - pe3yc on July 30th, 2011 09:02 pm (UTC) (Expand)
You  never  can  tell  with beesdil on July 31st, 2011 07:20 pm (UTC)
26-27 июля в те моменты, когда LJ мне нормально отдавал всё на чтение, запостить в него стабильно не удавалось вообще ничего, включая тикет в техподдержку. Сервера под атакой так себя не ведут.
крокодил элитной конспирологииmotto on July 30th, 2011 09:04 pm (UTC)
видна любому - вопрос тот еще

вот у меня сегодня оно затыкается на 20.tengigabitethernet9-0.sa1.dca6.alter.net (152.63.42.13)
ни о чем, кроме странных отношений верайзона с ICMP и реальностью это не говорит

alter aka Verizon -- провайдер, хоть и второсортный, но большой
то же касается и квеста, но если бы там пострадали сервисы, кроме ЖЖ об этом было бы написано в новостях

а я вот смотрю в mtr и между 208.93.0.168 и 152.63.42.13 вижу только два хоста с запретом на icmp

А где именно трейс затыкался "в дни атаки"?
Морская рыбка, убивающая добычу взглядом1master on July 30th, 2011 10:26 pm (UTC)
Я лично несколько раз трейсил ЖЖ во время, когда он лежал. 80мс пинг, никаких остановок по дороге. Тонкость - трейс был с верайзона. Более того, ровно в то же время соединение до фронтенда открывалось мгновенно. Но дальше ничего не работало. При забитых каналах ДЦ такого просто не бывает.