А вот интересно

[pargentum]

Можно ли по тому, кого и как фильтрует ЖЖ, определить параметры происходящей DoS-атаки?
Фильтруют авторизованных пользователей - значит либо атака идет от имени авторизованных пользователей (краденые пароли?), либо перед авторизацией ЖЖ должен принять все тело POST-запроса (руки оторвать).
Фильтруют длинные комменты - значит атака идет длинными комментами.
Насчет российских адресов только ленивый не догадался.

Comments

[lxe]

Интересно, что меня вааааще никак не трогают.
Ни через одного провайдера. Даже через билайн-gprs.

[pargentum.livejournal.com]

Насколько я знаю, мои провайдеры (как розничные, так и магистральные) в Москве IP не продают. Так что отучаемся говорить за всю сеть.

А через GPRS пробовать жаба давит.

[lxe]

отучаемся говорить за всю сеть.

И не подразумевал никак (и думал, что ясно из контекста).

[pargentum.livejournal.com]

Тады сорри.

ЗЫ

[pargentum.livejournal.com]

От супа я отписан.

Я вижу процесс примерно так:

[schegloff.livejournal.com]

Есть скрипт, автоматом создающий на LJ новые аккаунты (на прошлой неделе таким скриптом была зафлужена запись у tapirr). Так что черный список аккаунтов не поможет.

Есть TOR или хороший список прокси. Прходили жалобы, что прокси-сервера постепенно "умирают" (т.е. начинают отключаться). Так что не просто российские IP, а те, с которых были атаки.

Начинаем атаку: создаем 1000 журналов, и сыплем запросами на чтение ру_политикс. ИМХО, этого уже достаточно для отказа в обслуживании. Флудить комментариями типа "ХХХ - известный чудак" необязательно.

Но тогда зачем запрещать ру_политикс в комментариях? Не понимаю.

Re: Я вижу процесс примерно так:

[pargentum.livejournal.com]

скрипт, автоматом создающий на LJ новые аккаунты
Пропала планета. А каптчу/e-mail vaildation воткнуть ислам не позволяет?

Re: Я вижу процесс примерно так:

[lxe]

По-моему, они уже воткнуты.
Т.е. либо скрипт умный, либо он эксплуатирует тысячу китайцев для распознавания образов.

Каптча есть, вопрос, когда появилась

[schegloff.livejournal.com]

Зафлуживание записи http://year1984.livejournal.com/112237.html наблюдалось то ли 29 мая, то ли 1 июня. Сегодня 4-е. Если каптчу воткнули вчера, то все ОК. Если она там уже месяц как, значит, скрипт научился ее обходить.

Re: Каптча есть, вопрос, когда появилась

[pargentum.livejournal.com]

Посмотрел ссылку, внушаить. Похоже, дело-то посерьезнее, чем просто DDoS-атака. И это может также объяснять массовые блокировки юзеров, а педофилия - это просто отмазка для широкой публики.
Юзеры (кого проверил) созданы 2007-05-26 06:09:57 с интервалом в секунды, причем за три дня до флуда.
Возникает впечатление, что враг уже внутри периметра (SQL/script injection?).

Re: Каптча есть, вопрос, когда появилась

[lxe]

Капча еще год назад была.

Тогда одно из двух

[schegloff.livejournal.com]

Либо "бригада" купила весь LJ с потрохами (а не только русскоязычный сегмент), либо и впрямь взлом на уровне LJ-сервера.

Re: Тогда одно из двух

[lxe]

Я уже предложил третий вариант.
Тысяча негров, вбивающая цифирки-буковки по одной в минуту. Студентам дали подработать.

Re: Тогда одно из двух

[pargentum.livejournal.com]

См. http://year1984.livejournal.com/112237.html , точнее подробную юзеринфу флудящих "юзеров" (поле "время создания). По моему, указанным способом сложно добиться синхронизации создания "юзеров" с точностью до нескольких секунд.

Re: Тогда одно из двух

[lxe]

1. А зачем добиваться синхронизации именно указанным способом?
2. Они просто не очень сильно отличаются - или отличаются с фиксированным периодом?

Я к тому, что подкруткой численности (точнее, производительности) студенческого коллектива можно достичь сколь угодно малой разницы во времени создания. Числом и только числом.

Re: Тогда одно из двух

[pargentum.livejournal.com]

Я потыкался в примерно десяток, такое впечатление, что они все были созданы в течении минуты или даже менее чем за минуту (минимум что я видел: 6:00:34, максимум - 6:01:00) за три дня до флуда.
То есть либо довольно быстрыий скрипт, обходящий каптчу, либо таймштампы поддельные - но это означает прямой доступ к базе.

Re: Тогда одно из двух

[lxe]

Таймштампы на посты ставятся, какие поставит пользователь. На порядок в лентах влияют реальные, но показываются - какие поставит.
М/б, с созданием похоже? Зовется Javascript...

Re: Тогда одно из двух

[pargentum.livejournal.com]

Я ж говорю - не на посты надо смотреть, а на расширенную юзеринфу, там есть время создания пользователя.
И постов у этих юзеров нет, только комменты.

Re: Тогда одно из двух

[lxe]

Я имел в виду - не проставляются ли (наблюдаемые) даты создания - по аналогии с датами постов - через задницу client side.

Надо попробовать создать пользователя, выставив локально 1997 год.

Re: Тогда одно из двух

[pargentum.livejournal.com]

было бы очень странно, если бы это была штатная функциональность.

Re: Тогда одно из двух

[pargentum.livejournal.com]

Юзеры, что характерно, все "улучшенные", с рекламой.

Re: Тогда одно из двух

[lxe]

Они сейчас по умолчанию такие делаюцца.

Re: Тогда одно из двух

[pargentum.livejournal.com]

Стоп, торможу. Интервал не менее 10 минут - первые, кого я увидел, были созданы в 06:09:57 и 06:10:00.
А кого смотрел сейчас - в первую минуту после 06:00.

Re: Тогда одно из двух

[lxe]

Глянул, кстати, что там у них за картинки.
FineReader возьмет с вероятностью 60..70%.

Re: Я вижу процесс примерно так:

[pargentum.livejournal.com]

Все-таки ваша версия
1. не объясняет, при чем тут комменты.
2. если бы чтение ру_политикс с 1000 журналов был для ЖЖ ощутимой DoS, мы бы с вами тут не беседовали.

А то, что они меняют прокси, заставляет предположить, что если это и ботнет, то очень оперативно управляемый ботнет.

Работает серьезная команда

[schegloff.livejournal.com]

Обладающая соответствующими софтом - для взломов ЖЖ, для генерации аккаунтов, для генерации тысяч комментариев и т.д.

Насколько я понял Ваш комментарий № 2, отдача контента на запрос по чтению требует на порядки меньше ресурсов, чем прием и размещение комментария? Тогда да, DOS атаку нужно проводить запросами на запись. Наверное, так даже правильнее - тормозится не весь ЖЖ, а конкретная площадка.

Ну а что у ботнета есть оператор, это даже не вопрос. Профи гнезда Павловского :)

Кстати, комментарий тормознули -

[schegloff.livejournal.com]

прошел с 3 раза (восстанавливал из буфера). Так что DOS атака, похоже, делается комментариями - например, циклом "создал-удалил".

Re: Работает серьезная команда

[pargentum.livejournal.com]

отдача контента на запрос по чтению требует на порядки меньше ресурсов, чем прием и размещение комментария?

Безусловно. Насчет порядков не уверен, хотя возможно (зависит от архитектуры), один порядок - точно.

Re: Работает серьезная команда

[pargentum.livejournal.com]

Ботнет - это интеллектуальный и профессиональный уровень пэтэушника. Серьезным специалистом для этого быть не надо, нужно быть специалистом в очень... э... специальной области. Софт для взломов жж возможен только в силу ошибок в коде жж.

[yba.livejournal.com]

как я понял они рубят на уровне айпи-пакетов (руки поотрывать админам), настройкой железяк
и вроде как атака идет через зараженную сеть