Кто «валил» LiveJournal: при последней ДОС-атаке на «живой журнал», который был отрезан от мира более 5 часов, был побит рекорд – трафик составлял в среднем около 6 гигабит
"Folks, прошло достаточно времени для того, чтобы собрать необходимые данные и с уверенностью сделать из этого неутешительный вывод — к сожалению, это был и есть DDoS, причем такой мощности и характера, что до серверов LiveJournal он даже не дошел, т.е. магистральные провайдеры Qwest и Verizon, поставляющие услуги в дата-центр, где расположены наши сервера, не выдержали нагрузки, и весь дата-центр, т.е. не только LiveJournal, были отрезаны от мира как минимум на 5 часов. Не работала даже резервная консоль, которая позволила бы нам хоть как-то понять, что происходит с сетевым оборудованием (при этом данные пользователей по-прежнему надежно защищены ввиду архитектуры LiveJournal, за это можете не переживать), поэтому единственным источником информации для нас были вышеупомянутые провайдеры, отвечающие на наши вопросы, и не только наши, но и остальных клиентов, в стиле «we are experiencing network routing issues». Позднее был настроен и запущен DDoS Mitigation Protocol, по результатам которого стало видно, что трафик в нашу сторону составлял в среднем около 6 гигабит при пиках в 8 гигабит (напомню, в прошлые разы он составлял около 2-х гигабит в пике), что, по всей видимости является потолком для Qwest и Verizon на данной площадке. При этом, как и в прошлый раз, никаких преференций с точки зрения атакуемых выбрано не было и «валят» весь LiveJournal.
На данный момент этот протокол все еще в работе и площадку все еще атакуют, и именно работой этой системы и вызвана вся та нестабильность, которая сейчас проявляется при работе с LiveJournal. Но тут либо нестабильность, либо полный blackout (и опять же — не только для нас, но и для всей площадки), так что из двух зол мы выбрали меньшее.
Из того, что в отдельных случаях может не работать (например, на работе работает, а дома — нет): отправка записей; отправка комментариев; изменение настроек; новая авторизация; регистрация; добавление/удаление друзей; и прочие операции, осуществляемые методом POST с более-менее весомым телом.
Из того, что мы делаем/сделали — c апреля мы увеличили пропускную способность текущих каналов почти в два раза и даже успели прокопать третий, который в данный момент подключают. Производительность оборудования также была увеличена в разы, и мы в процессе еще большего расширения. Mitigation протоколы настроены и включены.
В очередной раз надеюсь на понимание, терпение и непереключение.
Оригинал материала: igrick.livejournal.com
avmalgin.livejournal, 27.07.11. «Чего хотят добиться организаторы атаки на ЖЖ»?
Вот есть такой депутат Константин Рыков, член партии жуликов и воров. Негласно отвечает у них за интернет. Ему принадлежит «деловая газета» «Взгляд». Она, конечно, такая же деловая, как и, например, искусствоведческая. Но свою роль исполняет исправно: борцов с режимом не щадит.
Во время прошлой атаки на Живой Журнал в газете этой был опубликован примечательный материал – статья, в которой открытым текстом указывалось, что должна сделать администрация Живого Журнала, чтобы кибератаки не повторялись и «миллионы пользователей» от них не страдали. Требование было такое: изгнать из ЖЖ оппозиционные блоги – от национал-большевиков до Алексея Навального. Особенно Навального. Это и будет решение проблемы, считала «деловая газета». Атаки прекратятся, «люди вздохнут спокойно».
Статья «Жадные дети СУПа» прошла в общем-то незамеченной, однако сегодня, в разгар очередной атаки на ЖЖ, редакция вывесила ссылку на нее на заглавной странице сайта. И это неслучайно.
«Взгляд», 06.04.11, «Жадные дети «супа»
Алексей Андреев, главный редактор портала «Вебпланета»
За последнюю неделю «Живой Журнал» дважды падал под мощными DDoS-атаками, вокруг которых построено уже множество конспирологических теорий. При этом заметно, что большинство авторов этих теорий слишком сильно зашорены своей местечковой «борьбой за свободу» и попросту отказываются видеть глобальную картинку.
Но что еще хуже, от этих атак страдает множество ни в чем не повинных ЖЖ-блогеров, которые стали «живым щитом» в этой войне. И самое неприятное – администрация ЖЖ активно поддерживает эту ситуацию, оставляя своих пользователей в заложниках. Причем дело совсем не в технологиях защиты от DDoS. А в элементарных навыках community-building, которыми владеет любой бармен, но увы, не владеют нынешние менеджеры «Супа».
Кого покрывает «Суп»
После атаки 30 марта руководитель LiveJournal в России Светлана Иванникова заявила, что «не может назвать адресата атаки». Другой сотрудник «Супа» Рустем Адагамов (drugoi) сообщил в своем Твиттере, что «ддосили» не Навального, а кого именно – он не скажет. Это прозвучало несколько странно с учетом того, что во многих прошлых историях мы знали: валят конкретный блог – то ли лимоновцев, то ли «грузинского профессора». А теперь прямо заговор молчания.
Чуть больше информации выдал директор по развитию продуктов компании SUP Илья Дронов – хотя он тоже не сказал, кого валили, но разразился очень подробным описанием атаки. В частности, привел карту источников. Ни одного источника из России, совсем чуть-чуть из Европы. А основные – из Азии: Саудовская Аравия, Пакистан, Индия, Таиланд, Индонезия, Южная Корея, Япония.
Вы не видите ничего общего? Ладно, идем дальше. По крайней мере, после такой карты довольно глупо выглядят гневные проповеди Антона Носика, который в лучших традициях желтой британской прессы свалил в одну кучу и атаки на эстонские сайты 2007 года, и атаки на грузинские сайты 2008 года, и нынешний завал ЖЖ, – все эти истории Носик списал на «Наших». Мне, право, стыдно за Антона. Стыдно, что умный человек так демонизирует и боготворит Суркова и Якеменко. Просто валяется у них в ногах и бьет поклоны, будучи не в состоянии выбраться из советского черно-белого телевизора.
Между тем телевизор давно стал цветным – верите вы или нет, но в Интернете существуют гораздо более мощные силы, чем селигерские палаточники. Достаточно вспомнить международное движение Anonymous, которое осенью валило сайты платежной системы Visa, зимой атаковало правительственные сайты Туниса и Египта, а с прошлой недели «ддосит» сайты компании Sony. За что? Если вы следите за IT-новостями, вы знаете ответ. Но я сильно сомневаюсь, что в движении «Наши» есть люди, которые способны с ходу показать хотя бы один государственный сайт Туниса. Или ответить, за что Sony чморит того паренька, сбежавшего в Бразилию.
Теперь собственно про Азию, из которой атаковали ЖЖ. И про цветной телевизор, в котором есть другие цвета, помимо «цвета навального». Есть, например, среднеазиатские республики, которые время от времени блокируют весь «Живой Журнал» из-за одного оппозиционного блога (Казахстан-2008, Узбекистан-2009). Раньше они делали это на уровне местных провайдеров, но было бы неудивительно, если бы за прошедшие годы они научились «более эффективным» технологиям.
Но это еще не та Азия, ребята. Азия покруче – это когда вы обзываете весь мусульманский мир «свиньями». Именно это и произошло 28 марта в вашей жежешечке: Егор Жгун выложил ролик, в котором лидеры Туниса, Египта и Ливии были представлены как три «большие свиньи» из игры Angry Birds. А демократичные птички под командой американского орлика их уничтожали. В следующие два дня желтая британская пресса (привет Антону Борисовичу) донесла эти картинки до всего мира. Отбомбился и The Telegraph, и The Sun. Ах да, франкоговорящих мусульман тоже не забыли – их порадовало AFP.
#{best_opinions}Конечно, может быть случайным совпадением, что именно в день публикации этих новостей, 30 марта, случилась мощная атака на ЖЖ. Я не настаиваю на мусульманской версии. Я лишь говорю о том, что изначальные цели таких атак – почти всегда конкретные, точечные и политические. Вот и «Лаборатория Касперского» сегодня сообщает, что один из ботнетов 30 марта вел прицельную атаку:
«Впервые о DDoS-атаке представители LiveJournal заявили 30 марта. В этот день мы фиксировали атаку посредством ботнета Optima только на navalny.livejournal.com».
Значит, все-таки был конкретный адресат хотя бы у одного ботнета. Значит, соврал Адагамов.
А вчера случилась вторая атака (точнее, второе крупное падение ЖЖ – атак может быть несколько одновременно, не все они обязательно приводят к падениям). На этот раз начал юлить уже Илья Дронов. Он заявил, что адресат атаки «не имеет ровным счетом никакого значения, так как уже закончились те романтические периоды», когда атаковали отдельные блоги. Потому что «вчерашняя атака была направлена на первые десятки топовых блогеров и сообществ», то есть против сервиса в целом.
При этом Дронов так и не сказал, на кого была направлена первая атака. А ведь если вторая – продолжение первой, то вопрос существенный. Да, атакующие решили завалить весь сервис в целом. Но может быть, именно потому, что сервис не отреагировал на отдельную проблему, которую показала первая атака?
Думаю, многие еще помнят историю про датские «карикатуры на пророка», которые принесли Дании миллиардные убытки: вслед за одним журналом под атаку попала вся страна. В случае с ЖЖ, мне кажется, история еще хуже. Потому что у датских карикатур все-таки был конкретный автор и издание, так что именно они и отвечали в конечном счете за свою свободу слова. А вот «Суп», если послушать Дронова, призывает своих пользователей «объединиться», не называя даже предмет объединения.
Означает ли это, что миллионы пользователей ЖЖ, не играющих в политические игры: все эти молодые мамаши с совместными закупками, путешественники-фотографы с пейзажами, книголюбы с обсуждениями фантастики – все они должны по умолчанию принять сторону одного-двух скандальных блогеров, которые приносят хороший трафик «Супу»?
Либо бар, либо ринг
Тут, по идее, можно затянуть долгое размышление о принципах модерации интернет-сообществ, с примерами, хорошими и разными. Однако я не хочу изображать, будто главные технологии построения сообществ можно вот так запросто описать в нескольких абзацах. Это отдельная профессия вообще.
И все же есть один принцип, который гораздо древнее Интернета, так что о нем стоит упомянуть. Его применяют даже в детских садах. Но специально для наших читателей я приведу пример из американской демократии. Сам я не раз сталкивался с этим демократическим принципом в американских барах и кафе. Когда там начинается потасовка клиентов, опытные бармены выгоняют на улицу обе стороны конфликта. Безо всяких там дискуссий на тему «он первый начал». Бармен хранит нейтралитет, поскольку его бизнес – не драки. Это дело полиции, которая обычно и встречает бойцов на выходе из бара.
Как это может быть реализовано в ЖЖ – не моя забота. Кстати, это вовсе не означает «совсем закрыть» атакованный журнал: есть куча вариантов, от временной заморозки до отключения комментариев (возможно, это снизит нагрузку на всю остальную базу); или вот у нас в комментах предлагают выносить политические топ-блоги на некий standalone-хостинг, но под брендом того же «Живого Журнала». В любом случае, очевидно, что какая-то форма «диверсификации клиентов» должна иметь место. Потому что когда кучка провокаторов портит сервис для миллионов, а администрация не реагирует, миллионы действительно могут задуматься о «другом баре».
Кстати, очень показательная история на эту тему случилась несколько лет назад. И фигурировал в ней любимец публики Алексей Навальный. Он выступал модератором в проекте «Политдебаты», где представители разных политических движений, собравшись в кафешке, обменивались провокационными заявлениями и лезли бить друг другу морды. Однако у модератора был явный перекос в сторону оппозиции. Скажем, он не изгонял пошлого Илью Яшина, который отпускал шуточки про беременную жену Холмогорова. А вот когда пошлости задели самого Навального, тут он сразу показал обидчикам, что кулак и пистолет являются более действенным оружием демократии, чем кулак без пистолета. Но в итоге все равно сработал «принцип бармена» – после стрельбы Навального из кафе выгнали всех, и на этом проект «Политдебаты» закончился. А кафе вроде работает.
Интересно, что в том же 2007 году владельцы ЖЖ (тогда еще американцы) аналогичным образом реагировали и на DDoS-атаки. Вот смотрите, атака 24 мая 2007 года: компания SixApart сразу сообщила, что атакуют лимоновское сообщество ru_nbp, и в очередной раз заморозила это сообщество. То есть поступили именно по «методу бармена». Свободу слова лимоновцам, конечно, ограничили, но зато сервис для всех остальных спасли.
Нынешняя же администрация «Живого Журнала», как мне кажется, идет по другому пути. Вероятно, тамошние маркетологи уже подсчитали, что несколько политических скандалистов приносят сервису гораздо больше прибыли, чем миллион всяких там мамашек, путешественников и книголюбов. И некоторые наблюдатели уже наблюдают движения в этом направлении:
«Что делали новостные сайты во времена рекордных нагрузок? Они отключали всё лишнее: дизайн, рекламу, счетчики и заставки, – оставляя главное – новости в текстовом виде. Что сделал «Суп», когда у них случился обвал? Правильно, предложил пользователям писать поменьше и урезал размер поста».
Если так пойдет и дальше, уютная жежешечка может превратиться в эдакое сетевое «Эхо Москвы 2.0». Но тогда, извините, с остальными пользователями произойдет именно то самое «размазывание по другим социальным сетям и стендэлонам», о котором пишет Дронов. Однако произойдет это не потому, что такова была «цель атаки». А просто потому, что сидеть на двух стульях у вас не получится, жадные дети «Супа». В ресторане не дерутся, а на ринге не едят.