“Врагу нє сдайоцца наш гордий Варяг”
Андрій Хаврюченко // 3 квітня 2008
Знову атакують
З вівторка, 1 квітня, більшість відвідувачів не могли потрапити на “Інфопорн” та його дзеркало “Інфокорн“. Ця неприємна ситуація була спричинена черговою ддос-атакою на сервер ресурсу. Однак найбільших неприємностей зазнав сайт “ОРД”, який нещодавно, після масованого ддосування, переїхав на спільний з “Інфопорном” сервер. Ось що каже з цього приводу akhavr, у якого хостяться “Інфопорн” та “ОРД” (заздалегідь попереджаємо - у дописі багато інформації, доступної лише спеціалістам):
“З понеділка сайт почали виносити потоком вже в ~100Mbits, в тому числі і icmp-і udp-flood і для фільтрації цього потоку вже перестало вистачати серверу Dual Core Opteron 2.4GHz
Станом на вечір середи (по Гринвічу) потік вдалось загнати в рамки і потихеньку фільтрувати те, що можна перетравити і відкидати інше. В результаті сайт ord-ua.com на першу годину ночі по Гринвічу (третя ночі в Україні) почав відкриватись і у звичайних користувачів. Потік сміття при цьому був біля 10Mbps.
Сьогодні (четвер) вранці виявилось, що ім’я ord-ua.com вже не вказує на сервера, воно, власне, нікуди не вказує:
$ dig ord-ua.com
; <<>> DiG 9.3.4 <<>> ord-ua.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6252
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ord-ua.com. IN A
;; Query time: 404 msec
;; SERVER: 10.0.80.11#53(10.0.80.11)
;; WHEN: Thu Apr 3 03:20:57 2008
;; MSG SIZE rcvd: 28
Щойно прийшов лист:
Subject: [#SHF-132952]: Your Hostdime.com Hosting Account ord-ua.com has
been suspended because of CGI/PHP Overload
****
We have now deleted your account from the server and canceled your account.
Як виявляється атака продовжувалась і по старому хостингу теж
Дзеркало сайту піднято за адресою http://ord.infocorn.org.ua
Отже, усі, хто читає “ОРД” - шукайте його за адресою дзеркала. Перепостіть цю інфу в своїх ЖЖ та на своїх сайтах! Солідарність з жертвати Ддос-атак повинна бути, інакще всі “незручні” для влади сайти просто загинуть!
ЗІ. Пояснення дла “чайників”: CGI/PHP - це технологія динамічних сайтів. Виходячи з величезного завантаження, що йшло на сайт, вони відмовились його підтримувати. Але те, що вони це зробили без попередження - некошерно.”
akhavr
малюнок звідси
Обговорити статтю на Форумі »»
(3 голосів, середня оцінка: 5 з 5)
Loading ...
Точно! Виліз на ОРД! Во дають дзєркалісти! Спасібочкі!
3 квітня, 2008 о 13:10Akhavr, звідки походить attack source?
Пробували домовитись з вашим SP НЕ анонсувати ваші IP нікуди окрім України (тобто, в блекхол йдуть ваші IP лише для peers from outside Ukraine, якщо ви хоститесь в Україні)?
Знаю, що це трохи менінгітно для SP (якщо він взагалі має таку фічу імплементовану), але запитати можна… За запитання в морду ніхто, думаю, не дасть :).
Ну і тримайтеся.
3 квітня, 2008 о 15:08“З понеділка сайт почали виносити потоком вже в ~100Mbits”
ну это цветочки) у нас больше 1 гигабита в сек было
3 квітня, 2008 о 15:19так что готовьтесь сразу к такому..
Роман Шрайк:
Це - зафільтрований потік. Якщо зняти фільтри то це був би гігабіт або більше.
3 квітня, 2008 о 15:49Oleh:
Тобі всі 33391 зафільтрованих адреси?
З України ми переїхали ще в лютому, після першої атаки на Інфопорн.
Як виявилось в Україні, заліза, здатного фільтрувати ддос немає взагалі (в публічному доступі щонайменш). Тому нашим провайдером простіше null route адресу, на яку іде атака, ніж сплачувати 5-10-100Mbps зовнішніх каналів під це.
3 квітня, 2008 о 15:55Материалы ОРД вроде как на прокуратуре висят. Или то зеркало? - http://www.prokuratura.org.ua
3 квітня, 2008 о 22:39Матеріали ОРД чудово собі висять на ОРД
3 квітня, 2008 о 23:18