Атака на ЖЖ началась с блога Навального

отметили
77
человек
в архиве
Атака на ЖЖ началась с блога Навального
Это уже вторая массовая DDoS-атака на ЖЖ за последние несколько дней, и в средствах массовой информации Рунета муссируется масса слухов о целях и причинах атаки.

Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.

Один из таких Optima-ботнетов уже некоторое время находится под нашим наблюдением.

Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: navalny.livejournal.com. 26 марта боты получили команду старта атаки на еще один ресурс известного борца с коррупцией — rospil.info, а 1 апреля атаке подвергся сайт www.rutoplivo.ru.

В следующей таблице представлены ссылки, получаемые ботами для старта DDoS-атак, в период с 24 марта по 1 апреля:
Добавил Vlad2000Plus Vlad2000Plus 5 Апреля 2011
проблема (2)
Когда и чем закончатся атаки на ЖЖ?
Gone похер (27)
progressor_b не похер. организаторов должны найти. (12)
d41d8cd98f00b2 когда админ откроет man iptables (6)
Комментарии участников:
Gone
+2
Gone, 5 Апреля 2011 , url
Смущает вот какой момент: зачем так палиться, направляя DDoS-атаку именно на эти ресурсы?
Поясните кто-нить в чем коварство?
Vlad2000Plus
+4
Vlad2000Plus, 5 Апреля 2011 , url
Точный ответ на вопрос знают только хозяева бот-сети:), Я, а точнее Лаборатория Касперского только констатировала факты. Видимо есть резон. Может, просто банально вывести ресурсы из строя, вполне возможно.
Gone
+2
Gone, 5 Апреля 2011 , url
я коряво вопрос поставил. Я про ЖЖ Навального больше. Один хер всё ЖЖ уронили. Могли бы Васю Пупкина ддосить ровно с тем же результатом.
Vlad2000Plus
+7
Vlad2000Plus, 5 Апреля 2011 , url
Может быть и такой вариант — показать хозяевам ЖЖ, что если они не уберут блог Навального и еще кое-кого (по ссылке), то ресурс будет периодически лежать. По-моему вполне логичная цель.

Gone
+8
Gone, 5 Апреля 2011 , url
А чё, слать письма с отрубленными пальцами и вырезанными из журнала буквами, сложенными в вежливые просьбы, уже не модно? :)

Хотя, 21 век. Тут обосраться без предварительной саморекламы уже не модно.
Может вы и правы.

d41d8cd98f00b2
+1
d41d8cd98f00b2, 6 Апреля 2011 , url
Наверное рассчитывали на наличие у livejournal кластера с балансировщиком нагрузки. Других причин в голову не лезет.
Fduch
+1
Fduch, 6 Апреля 2011 , url
Думаю, дело в клатеризации серверов.
Журналы могут быть разнесены по разным серверам кластера для выравнивания нагрузки. В таком случе, может получиться, что журнал Навального и Васи Пупкина находятся на разных серверах и атака не удастся.
Mangol
+3
Mangol, 5 Апреля 2011 , url
чтобы вы подумали, что цель — это именно эти ресурсы. Хотя может быть ещё такой изощрённый вид пиара…
Gone
+1
Gone, 5 Апреля 2011 , url
чтобы вы подумали, что цель — это именно эти ресурсы.
вот и я о том же.
precedent
+1
precedent, 5 Апреля 2011 , url
Я объясню. Представьте себе. что Вы — воротила. Сделали много лярдов. Ваши людти раставлены в прокуратуре, в судах, в ФСБ. Это — реалии. Такие же как Вы Вам не помеха в ратном деле борьбы за безхозный народный общак. Пиреская корпорация? Ей хватает и так.
И вот. появляется НЕКТО, кто просто начинает мешать. Вы даете команду: решить проблему цивилизованно. Но у Вас исполнители по — большей части такие же блатники и с похожим воспитанием, с переоценкой собственной «гениальной хитрости» (рожденной массовостью явления насаждения идеологии наживы любым путем) Словом, не напрягался особо никто.
Дал бонза команду — выполнили. Не профессионально. грубо, примитивно, но как — то.
Теперь хозяева Жжешечки будут иметь разговор с заказчиком.
«Наш бизнес пострадал»
Mangol
0
Mangol, 5 Апреля 2011 , url
Привет, как суд прошел?
Mangol
0
Mangol, 5 Апреля 2011 , url
Поздравляю! Неужели всё? Зло повержено?
progressor_b
0
progressor_b, 6 Апреля 2011 , url
очень даже возможно
NoMagisterium
+1
NoMagisterium, 5 Апреля 2011 , url
Имеется альтернативная точка зрения www.politonline.ru/comments/8181.html
Mangol
0
Mangol, 5 Апреля 2011 , url
в двух словах можно?
Vlad2000Plus
+7
Vlad2000Plus, 5 Апреля 2011 , url
Вкратце там написано, что хозяева ЖЖ-криворукие, поэтому у них всё падает. Правда пишет это владелец Liveinternet.ru :)
Nik_vr
+4
Nik_vr, 5 Апреля 2011 , url
Вот будут его DDoS'ить, тогда и посмотрим, кто криворукий. Хотя кому он нужен, этот Li с его кривыми счётчиками?
andreyyyy.blogspot.com
+2
andreyyyy.blogspot.com, 6 Апреля 2011 , url
Чья бы корова мычала… Не скажу про блоги.
Но вот статистика liveinternet при входе в админку в последний месяц тормозит безбожно.

1) К примеру, кликаю в разделе «по поисковым фразам» на фразу, чтоб посмотреть из каких поисковиков были переходы (и сколько) — пишет «идёт обработка данных», долго ждет, потом вроде показывает.
2) При повторной попытке пишет «Service Unavailable. The server is temporarily busy. Try again later.»
akry.livejournal.com
+4
akry.livejournal.com, 6 Апреля 2011 , url
Ливинтернет, это веско. Многие его пользователи до сих пор думают, что их дневник называется «Service Unavailable: The server is temporarily busy. Try again later»
NoMagisterium
+1
NoMagisterium, 5 Апреля 2011 , url
В статье — Герман Клименко (владелец сервиса Liveinternet.ru) рассказывает, о том, что неработоспособность ЖЖ. Могла быть вызвана некорректным обновлением сервиса. В каком-то компоненте могли не учесть фактора DDoS — который ведется на ЖЖ постоянно, и нагрузка на сервера экспоненциально возросла как от огромного DDoS невесть откуда свалившегося.
aleaksandr
0
aleaksandr, 6 Апреля 2011 , url
+1 Странное совпадение, ведение кеширования и дос атаки
Vlad2000Plus
+4
Vlad2000Plus, 5 Апреля 2011 , url
Politonline.ru расспросил владельца блогсервиса Liveinternet.ru
Не удивлён его точкой зрения, он не упустил случая пнуть конкурента
Я все-таки больше доверяю мнению профессионалов из «Лаборатории Касперского»
progressor_b
+2
progressor_b, 6 Апреля 2011 , url
этот г-н клименко, если помните, выступал на russia.ru (которое прокремлёвское) против навального (ничего по сути больше обстебательства), а затем всякие путиноиды это видео распространяли. т.е. опять же — нашли кого спрашивать…
progressor_b
+1
progressor_b, 6 Апреля 2011 , url
политонлайн — это же пропагандистская охранительная помойка!
их подготовленные мнения ни гроша не стоят. нашли на кого сослаться))
NoMagisterium
0
NoMagisterium, 6 Апреля 2011 , url
Если официальные причины (якобы официальные)- выглядят странными (корявыми) и вызывают сомнения, альтернативная точка зрения может содержать какой-то процент дополняющий материал. И я могу сослаться на свою соседку, если услышу в ее речах разумное, а что отфильтровать — люди сами для себя поймут.
progressor_b
0
progressor_b, 6 Апреля 2011 , url
на политонлайне всё сплошь одно враньё. он никак не может восприниматься как «альтернатива официальной точке зрения» — только как «по мнению Центрального Штаба Молодой Гвардии Единой России». инфа 100%. ^^
d41d8cd98f00b2
+2
d41d8cd98f00b2, 6 Апреля 2011 , url
Это едро тратит наши с вами налоги на оплату работы этих ботнетов. Сейчас цена услуг небольшого отечественного ботнета от 500$/день за обработку одного сайта (пруф). Список сайтов по новости внушительный, длительность ошутимая, а ботнеты задействованы просто огромные.
Лиман
+1
Лиман, 6 Апреля 2011 , url
Коментарий из его ЖЖ
Не удивлюсь если начнут раздаваться реплики из «зомбоящика» про то как Навальный сам же и закал DDoS-атаку своего ЖЖ.
progressor_b
0
progressor_b, 6 Апреля 2011 , url
ага, так и скажут: навальный и жж пиарятся.
X86
-4
X86, 6 Апреля 2011 , url
Про Навального бред. Ну ляжет надолго ЖЖ, что ему мешает публиковаться в других сетях? Liveinternet тот же самый и куча других.
d41d8cd98f00b2
0
d41d8cd98f00b2, 6 Апреля 2011 , url
Аудитория инертна и будет ждать публикаций по старому адресу. В идеале контент должен быть децентрализован, но это уже утопия.
agaranin
0
agaranin, 6 Апреля 2011 , url
непонятно почему rospil.info не ддосят постоянно. Он же на 1ом сервере наверно крутится, заддосить его можно с самого малого ботнета.
X86
+5
X86, 6 Апреля 2011 , url
забанить ботнеты согласно известным спискам ip.
О, это что-то новенькое :)
d41d8cd98f00b2
+5
d41d8cd98f00b2, 6 Апреля 2011 , url
Ну во-первых asiablock, ибо решение универсально: ботнеты располагаются в нескольких давно известных недостранах (карта). Ну а если нужна выборочная блокировка, то берем списки спам-ботов за основу, добавляю попутно iptables -m recent и анализатор логов, который особо назойливых будет засовывать в блеклист. Для этого тоже кстати есть готовые утилиты. А если контора крупная, то она покупает хардварный файрвол juniper, который прямо в проводах на 10-gbit/s анализирует трафик и режет атаки.
agaranin
0
agaranin, 6 Апреля 2011 , url
имхо большие ботнеты — это обычные зараженные компы. Которые могут быть и в РФ и в США. И делают запросы они ничем не отличимые от реальных людей (все стили и картинки тоже грузят). Так что имхо никаких железки-фильтры не справятся с этим.
d41d8cd98f00b2
0
d41d8cd98f00b2, 6 Апреля 2011 , url
Которые могут быть и в РФ и в США
Там по ссылке карта ботнетов дана. Полностью ботнеты не забанить, да. Но можно срезать 90% траффика, перекрыв десяток стран.
Кстати в США и других развитых странах провайдеры обладают умственными ресурсами для срезания подозрительного исходящего трафика от клиентов. DoS-траффик хорошо выделяется в канале.
Так что имхо никаких железки-фильтры не справятся с этим.
Джуниперы прямо сейчас справляются. Да и просто шлюзы в виде серверов x86.
hitaisin
-4
hitaisin, 10 Мая 2011 , url
советую посмотреть:

Стариков Н. — Какова роль Навального?
www.youtube.com/watch?v=Grb1uS0v2xk&feature=feedu&html5=True


Войдите или станьте участником, чтобы комментировать