login:        password:      
Combats Scrolls
Rambler's Top100
Гость БК
ru
updated 06.08.09 19:32
06-08-09 @ 18:33

adminion Open info : Повелитель Земли Open user info Open user photogallery
Хроники DDoS

Для тех кто понимает...

Был syn flood на веб сервера, также на завал обоих ДНС серверов UDP flood, дальше попытка завала фаерволл-кластера за счет истощения активных коннектов (т.е. открывает соединение и подвешивает его). Но благо машинки фаерволл ноды мощные! Но первую волну syn flood мы пропустили, неожиданно мощной оказалась.

График за сутки на ближайшем к нам свиче у провайдера (он не отображает полной картины):



Обычно когда идет атака, начинающие ддосеры используют параметры статические, а здесь была динамика - изменение параметров на лету каждые 5 минут (один блок ставишь, а он через 5 минут перестает работать). Потом стали отлавливать по сегментам откуда трафик идет, много очень было из Гонконга и Вьетнама, мы роутинг до них обрубили после того как те не ответили на 4 наших запроса. Ддос после этого упал резко. Выиграли время чтобы написать пару скриптов для авто-детекта новой волны атаки. Когда пошла следующая на 700 мегабит, там был просто syn flood на уязвимое место в скриптах, потому никто не мог авторизоваться в игру (что указывает на дополнительную подготовку к проведению атаки).
Поставили rate-limiter так называемый - фиксировали количество пакетов за единицу времени, тем самым все что вылетало за рамки в блок сразу летело в мусор. И тут возникли проблемы с тем, что ИПов было сотни тысяч, таблица блока переполнилась. В результате мы пересобрали ядро на фаерволле и привинтили внешние листы для блокировок, чтобы сама таблица не была полной. Теперь до 2 миллионов уникальных IP можем держать.
Также в детекции помог провайдер TeliaSonera, они дали полные данные по типам атаки достаточно быстро. Но вот с блокировкой они тормознули, не хотели сначала ничего делать. Пришлось поднимать регионального менеджера...в результате они блокировку также и у себя выставили.
На данный момент он тихо отмирает, боты быстро не умирают сами ...

Для сравнительного анализа привожу данные графики:
график понедельный (на нем Вы можете видеть слабенькую атаку, про которую мы даже не сообщали)



P.S. Выражаем благодарность провайдерам, хостерам и всем, кто принимал участие в устранении атак, а также ддосерам (которые прекратили атаки).

Я думаю, что это: Scrolls.multiLike:)

view mode: linear threads
Smiles disabled in this post.
Total disscussion threads: 30 Pages: 2
«« « 1 2 » »»

Disscuss opened for regisered users only.
Одмин Open user info Open user photogallery
06-08-09 @ 19:00
Re: Хроники Ddos
copy link to clipboard
roother Open user info Open user photogallery
07-08-09 @ 01:32
Re: Re: Хроники Ddos
copy link to clipboard
ты походу живешь в скроллах? и кто из нас бот?))
Одмин Open user info Open user photogallery
07-08-09 @ 16:49
Re: Re: Re: Хроники Ddos
copy link to clipboard
ты бот)
Голая правда Open user info
06-08-09 @ 19:01
Re: Хроники Ddos
copy link to clipboard
Выражаю лагодарность администрации, !
KILL-SWITCH Open user info Open user photogallery
06-08-09 @ 19:08
Re: Хроники DDoS
copy link to clipboard
3-тий
KILL-SWITCH Open user info Open user photogallery
06-08-09 @ 19:10
Re: Хроники DDoS
copy link to clipboard
Хорошо что отделались от этих ддосеров )) Только вопрос зачем им это надо было ? Что бы отбить у людей желание играть ? Так по моему наоборот все получилось игроки еще больше сплотились вокруг своей игры ))
Одмин Open user info Open user photogallery
06-08-09 @ 19:13
Re: Re: Хроники DDoS
copy link to clipboard
убить игру конкурента хотели)
Tyoma Man Open user info Open user photogallery
06-08-09 @ 19:46
Re: Хроники DDoS
copy link to clipboard
Спасибо большое)
Consistaim Open user info Open user photogallery
06-08-09 @ 20:27
Хроники DDoS
copy link to clipboard
Очень познавательно, честно как то рассказывали что данному место есть везде, но никогда в жизни я не читал подобное, да и вообще первый раз слышу такие термины как syn flood.;)
Kroatis Open user info Open user photogallery
06-08-09 @ 20:51
Re: Хроники DDoS
copy link to clipboard
Молодцы ребята из администрации.
Kartelan Open user info Open user photogallery
06-08-09 @ 21:01
Re: Хроники DDoS
copy link to clipboard
да по другому и быть не могло
Саня Васильев Open user info Open user photogallery
06-08-09 @ 21:24
Re: Хроники DDoS
copy link to clipboard
Ничего не понял)
Но наладили очень быстро, за что благодарен:)
Злой Лиман Open user info
06-08-09 @ 21:34
Re: Хроники DDoS
copy link to clipboard
Вот админия описали свои действия как отбиться от атаки...а эти хакеры допустим читают это сейчас, и в след.раз будут знать, что могут сделать Админы Игры при Атаке...и не допустят такого поворота)))
Повелитель Металла Open user info Open user photogallery
06-08-09 @ 22:49
Re: Re: Хроники DDoS
copy link to clipboard
Мы тоже не лаптем щи хлебаем, отобьем.
Trean Open user info Open user photogallery
06-08-09 @ 22:37
Re: Хроники DDoS
copy link to clipboard
Подход первый. Отбились и хорошо, будем надеяться, что больше не повториться.
Подход второй. Надо что-то думать и организовывать. Лично мне это как-то ближе.

Пересмешник говорил, что об атаке было известно еще вчера, почему тогда все действия происходили в пожарном порядке?
(В результате мы пересобрали ядро на фаерволле и привинтили внешние листы для блокировок, чтобы сама таблица не была полной. Теперь до 2 миллионов уникальных IP можем держать. (с))
Почему к этому не подготовились заранее?

Далее. 2 млн хватило сегодня, хорошо. Ради справедливости скажу, что для 99,9% атак этого и хватит, но... Пересмешник тот же сказал, что заказчик денег не жалел.. Вуаля - Конфикер, червь, который создал себе ботнет на 15+ млн машин. Сталкивался с ним по работе, штука очень гадкая и очень сложно излечимая. Хорошо, что этот ботнет еще не использовался, а если будет? А если не пожалеют денег на него?.. Тогда 2 млн не поможет и я не уверен, что сходу так на 15 млн можно будет переделать, что тогда?

В целом конечно молодцы, справились быстро, вдвойне молодцы, что тут это все выложили, но главный вопрос поста: почему пока гром не грянет... ?

Есть готовые решение против ДДОСа, есть специалисты в этой сфере, почему не воспользоваться их услугами заранее для предотвращения, а не по факту для устранения?

Пересмешник говорил, что ДДОСили двар и бк. Так вот, в двар я не играю, то ради интереса прошелся там по сайту, еще поковырялся немного.. все работало.. у БК висел даже форум и сайты модер структур, почему же так?
Почему они оказались готовы, а БК нет? Это при том, что бюджет БК наверняка в разы превосходит бюджет двара.

Если не ответите, то пойму, но все таки очень хотел бы услышать аргумментированный ответ.
Пересмешник Open user info Open user photogallery
06-08-09 @ 23:07
Re: Re: Хроники DDoS
copy link to clipboard
Не говорил я такого ) возможные цели и действие - немного разные вещи.

По поводу Грома - атака была достаточно мощной и подготовленной, я понимаю, что хотелось чтобы это длилось минуту )) но в реальности так не получается. )

Видимо мы еще не на том уровне, что бы остаться без синяков )
Trean Open user info Open user photogallery
06-08-09 @ 23:42
Re: Re: Re: Хроники DDoS
copy link to clipboard
Значит я не правильно понял (про Двар), в таком случае прошу прощения.
А на счет синяков, то главное, что б они на пользу пошли, опыт пригодиться это 100%, атака же не первая и не последняя, к сожалению.
Повелитель Металла Open user info Open user photogallery
06-08-09 @ 23:16
Re: Re: Хроники DDoS
copy link to clipboard
>Почему к этому не подготовились заранее?
Потому что была замена фаерволл-кластера недавно с увеличением доп. мощностей, элементарно не все успели сделать (работы хватает с серверами, и когда у игроков что-то лагает на это бросаются человекоресурсы в первую очередь).

>Тогда 2 млн не поможет и я не уверен, что сходу так на 15 млн можно будет переделать, что тогда?
Балансировка каналов, слышали о таком? Кроме того, защищаться можно бесконечно от потенциальных атак, которые могут и не придти, и здесь уже стоит вопрос рентабельности - 10 гигабит стоят недешево, а на месяц их никто не дает. Но если оно пойдет - решим и эту проблему.

>но главный вопрос поста: почему пока гром не грянет... ?
Потому что 1 сутки это всего лишь 24 часа. Стараемся как раз быть проактивными, чтобы заранее. Разницу думаю и так видите, хотя бы по количеству тех. работ которые делаются и по оперативности как они производятся.

>Есть готовые решение против ДДОСа, есть специалисты в этой сфере, почему не воспользоваться их услугами заранее для предотвращения, а не по факту для устранения?
Потому что все эти решения - дорогостоящие, особенно если ддос 1 раз в год а то и реже, но мощный. Плюс ко всему если затраты сравнить на подобный договор и тормозящее открытие сайтов на 2 часа - стоимость эдак раз в 500 выше, к тому же справились и справляемся прекрасно своими средствами.

>Пересмешник говорил, что ДДОСили двар и бк.
На двар ддоса не было, все просто. А заддосить их можно даже 1/4 той мощности которая шла сегодня. Но надо ли оно? :)


Пересмешник Open user info Open user photogallery
06-08-09 @ 23:33
Re: Re: Re: Хроники DDoS
copy link to clipboard
Не надо ) если двар не ддосили и не будут, оно и к лучшему, такого никому не пожелаешь.
Trean Open user info Open user photogallery
06-08-09 @ 23:54
Re: Re: Re: Хроники DDoS
copy link to clipboard
>Кроме того, защищаться можно бесконечно от потенциальных атак, которые могут и не придти.
Немного не согласен с формуллировкой, имхо нужно просто правильно выставлять приоритеты, стоит ли защита от атаки того, что бы тратить на нее n денег.

>Разницу думаю и так видите, хотя бы по количеству тех. работ которые делаются и по оперативности как они производятся.
Ну тут палка о двух концах. С одной стороны: работы часто, делают - супер. С другой: да что ж там за сервера/админы такие, что "насяльника, все упаля" каждую неделю происходит. Несколько утрировано, но не поспорить с тем, что каждый думает по своему.

Ну а теперь к главному:
>Потому что все эти решения - дорогостоящие, особенно если ддос 1 раз в год а то и реже, но мощный.
Могу быть не прав, но насколько я знаю, комплексная защита стоит до 80-100 тыс, сюда входит все, включая людей и железо (Циска за примерно 10 тыс. предлагает хардваре). Бюждет БК за миллионы (десятки миллионов?) переваливает.

>тормозящее открытие сайтов на 2 часа
C одной стороны потерпят и никуда не уйдут - бесспорно. Но неприятный осадок от "горевших" сундуков, эмов, да и просто элей останеться, тут уже аспект уважения игроков свое играет.

И самое главное:
>к тому же справились и справляемся прекрасно своими средствами.
Как? Отрезали Гонконг и Вьетнам?.. А если ботнет будет на территории РФ, Украины и Азербайджана, а не в далекой Азии?..
И если атака не остановиться? Боюсь, что таким способом ничего не сделаете.. Либо сидеть в ДДОСе, либо отрезать 95% игроков на n времени, что уж точно потянет на больше чем 80к убытков.
Повелитель Металла Open user info Open user photogallery
07-08-09 @ 00:06
Re: Re: Re: Re: Хроники DDoS
copy link to clipboard
>Немного не согласен с формуллировкой, имхо нужно просто правильно выставлять приоритеты, стоит ли защита от атаки того, что бы тратить на нее n денег.
Согласен, это и имелось в виду.

Насчет работ - когда сервера ставились требовались машины с 8 процессорами АМД. На тот день был только 1 производитель (сейчас два), который мог дать сервера с теми спецификациями, которые требовались. А вот в том, что железо летит, админы не виноваты, это претензии к компании Tyan. И падает как раз не все - проблемы стабильности работы серверов случаются только когда неполадки с железом, в 99,99999% случаев.

>Могу быть не прав, но насколько я знаю, комплексная защита стоит до 80-100 тыс
Ошибаетесь, комплексная защита стоит примерно 720к евро. Если мы говорим о действительно классной комплексной защите, с несколькими каналами, кластерами Arbor в связке с Juniper (Циска кстати отдыхает, прошлый век, сегодня Циска не поможет при бомбежке мелкими пакетами). Но дело не просто в единоразовой закупке, а в текущих расходах на подобное решение, мощные каналы и именно они очччень кусачие, даже при любых бюджетах. А если заруливать трафик сначала через стороннюю компанию, то что имеем? Верно, тормоза, причем недетские, это уже проходили.

>Как? Отрезали Гонконг и Вьетнам?.. А если ботнет будет на территории РФ, Украины и Азербайджана, а не в далекой Азии?..
Для этого есть другие методы, ноухау открывать здесь не буду дабы не плодить плюсы конкурентам проекта ;)
Не волнуйтесь, решим проблемы. На всякое ЕСЛИ найдется ТО. Главное понимать что есть что, а с этим у нас порядок.
Отрезание сегментов по странам не панацея, есть и другие более тонкие методы.

Насчет осадка - это не ко мне, я игровым процессом не занимаюсь ;)
Trean Open user info Open user photogallery
07-08-09 @ 00:27
Re: Re: Re: Re: Re: Хроники DDoS
copy link to clipboard
Я и обращался как к человеку ответственному за техническую часть, игровые ангелы меня игнорят :)

На счет защиты значит таки был не прав, я этим интересовался года 2-3 назад, сейчас другим занимаюсь, в таком случае спасибо за инфу, а то что каналы это вечная беда, так это уж точно :'(

Про методы знаю более или мение хорошо, я всего лишь комментировал то, что вы тут написали :)

Ну и дело даже не в этом.

Тут ниже девушка написала:
До того, как вы в начале написали на форуме, думала никто ничего объяснять не будет, напишите новость одной строкой на евентсе, типа сбой был и всё. Спасибо, что рассказали нам об этом, что не умолчали, а открыто написали пользователям. .
Приятно, чёрт побери:) (с)

И таки да. Действительно приятно, что на твои адекватные комментарии и вопросы отвечают, что идет диалог и обсуждение.
Жаль, что по игровым аспектам такого очень мало, хотя последнее время Пересмешник и появляеться на публике довольно часто, надо отдать ему должное.

В любом случае спасибо за беседу, будем верить, что все под контроллем, по итогам сегодняшнего дня и вечера лично у меня такой веры прибавилось значительно, чего и всем желаю.

Удачной борьбы, широких каналов, хороших админов, плохих хакеров и еще раз спасибо :)
La Matadora Open user info Open user photogallery
31-01-10 @ 09:29
Re: Re: Re: Re: Re: Хроники DDoS
copy link to clipboard
kompleksnaya zaschita stoit 720000 evro ??? o.O
Орофин Злобный Open user info Open user photogallery
06-08-09 @ 22:46
Re: Хроники DDoS
copy link to clipboard
Цитата:
P.S. Выражаем благодарность... ддосерам (которые прекратили атаки).
А админы-то с юмором.
vagonhic Open user info Open user photogallery
06-08-09 @ 23:24
Re: Хроники DDoS
copy link to clipboard
а если правду....
Злой Лиман Open user info
06-08-09 @ 23:43
Re: Хроники DDoS
copy link to clipboard
Хехе...играю в Двар, и вроде всё было спокойно...и никто не кипишовал:)
Пересмешник Open user info Open user photogallery
07-08-09 @ 00:27
Re: Re: Хроники DDoS
copy link to clipboard
Есть такое понятие - разведка, тот, кто заказывал ддос-атаку называл две цели, нас и двар и срок на который хочет заказать ее - три недели. Возможно, он продолжит свои попытки у других исполнителей Ddos-атак.
Читайте внимательно.
Рома фраер Open user info Open user photogallery
07-08-09 @ 08:04
Re: Re: Re: Хроники DDoS
copy link to clipboard
а не проще вам свернуть сервак на сутки.. и напросто перерезать занова..?
Шейла Open user info Open user photogallery
06-08-09 @ 23:52
Re: Хроники DDoS
copy link to clipboard
До того, как вы в начале написали на форуме, думала никто ничего объяснять не будет, напишите новость одной строкой на евентсе, типа сбой был и всё. Спасибо, что рассказали нам об этом, что не умолчали, а открыто написали пользователям. .
Приятно, чёрт побери:)
Vini_pooh Open user info
07-08-09 @ 00:50
Re: Хроники DDoS
copy link to clipboard
Не знаю куда писать, но друг - wraiz не может зайти - нету доступа к серверам БК вообще.
Black Discipl Open user info Open user photogallery
07-08-09 @ 01:18
Re: Хроники DDoS
copy link to clipboard
Ничё не понял, но читать было интересно)
Йешуа Open user info
07-08-09 @ 01:39
Re: Хроники DDoS
copy link to clipboard
ДДос придумал Эскимос
TheEminem Open user info Open user photogallery
07-08-09 @ 03:07
Re: Хроники DDoS
copy link to clipboard
Почему бы почаще не писать такие новости и не держать пользователей в курсе?
polkovnik-ltn Open user info Open user photogallery
07-08-09 @ 07:29
Re: Хроники DDoS
copy link to clipboard
значить админиния не спит молодцы ребята....вам благодарность....

Disscuss opened for regisered users only.

Total disscussion threads: 30 Pages: 2
«« « 1 2 » »»


 
 © 2007–2024 «combats.com»
  18+  
feedback