ibash.org.ru - Новый цитатник Рунета

Форум: Признавайтесь, кто ддосит iBash.im (или mva.name)? 1 2 > [RSS]

Форум: Вход Регистрация Участники Поиск RSS

mva
03.07.2010 - 12:51

Со вчерашнего вечера продолжается DDoS атака, началось всё с того, что апач сожрал всю оперативку и увёл впску в циклический Kernel Oops, сразу при включении на него обрушивались порядка 300 коннектов, при некотором ожидании — к-во поднималось до 2000. Ночью поставили nginx, mydoom поковырял его и раз в несколько часов я смотрел за статистикой. Ночью оно где-то в районе 2000-2300 и держалось, но к текущему моменту активность — порядка 200-250-3000 коннектов. Апач я от греха положил, пусть нжинкс один ловит, но мне всё же интересно, кому ibash.im перешёл дорогу. Признавайтесь!

Кто-то
#1 - 03.07.2010 - 15:00

Это мстят фаны ранеток из темы http://ibash.org.ru/forum/index.php?t=2064

mva
#2 - 03.07.2010 - 15:47

s/3000/300/ ;)

AnDoR
#3 - 03.07.2010 - 17:06

200-300 коннектов за какой период времени?

mva
#4 - 03.07.2010 - 17:37

разово.
до этого тоже разово около 2кило коннектов было и держалось до 2 часов ночи, где-то. ТАм уже до 700 спало. Под утро уже около 300 и держится до сих порю
И да, http://juick.com/793754

mva
#5 - 03.07.2010 - 17:40

И да, "разово" — значит, что вот я несколько раз подряд делаю netstat -natp|grep 80|grep -E '([0-9]{1,3}\.){3}[0-9]{1,3}' -o|wc -l и вижу числа в районе 300 и так на протяжении всего сегодняшнего дня. Вчера после того, как mydoom наковырял нжинкс — видел числа в промежутке 2000-2500

Zenitur
#6 - 03.07.2010 - 20:26

Представьте себе каких-нибудь "Ранеток" на отборочных испытаниях Евровидения. Девочки всего СНГ доведут их до первого места с огромным отрывом!
Мне кажется, у тебя slashdot-эффект.

42
#7 - 04.07.2010 - 04:36

use nginx, luke

42
#8 - 04.07.2010 - 04:36

Ой, я неумею читать.

Кто-то
#9 - 04.07.2010 - 09:36

И писать.
Не с глаголами пишется раздельно.

42
#10 - 04.07.2010 - 11:48

#9

Русский язык я учу третий год, так что не пинайся =]

Кто-то
#11 - 04.07.2010 - 15:27

А до этого какой учил?

Аногномус
#12 - 05.07.2010 - 11:45

2mva: Ну дык - вот они и ибашат.

42
#13 - 06.07.2010 - 00:41

#11 Мой родной язык - латышский ;3

Кто-то
#14 - 06.07.2010 - 08:32

Почему-то у меня было подозрение, что это прибалтика...

42
#15 - 06.07.2010 - 10:48

#14 из-за чрезмерного употребления смайликов :> и :3?

:>

Кто-то
#16 - 06.07.2010 - 11:34

Скорее информация о скорости "интернетов"

42
#17 - 07.07.2010 - 03:39

#16 Internets are $5 per box here, wants some?

AnDoR
#18 - 07.07.2010 - 12:00

Ским, сколько коннектов в секунду-то?

mva
#19 - 08.07.2010 - 19:01

уже нисколько, они заебали и пока набеги не прекратятся в айпи-столах лежит правило с дропом коннектов на 80 порт. А так, на сегодняшний день уже в районе 40-60 за некоторое время набигают. В секунду — ниебу и не хочу считать.

AnDoR
#20 - 09.07.2010 - 01:16

Твои формулировки бессмысленны. Бывает кол-во коннектов в секунду.

Shock
#21 - 09.07.2010 - 05:56

постараюсь перевести. я так понимаю, что он говорит про то, сколько было открыто подключений каждый раз , когда он проверял. но вообще Андор прав. такие формулировки безсмысленны. Количество коннектов за неопределенное кол-во времени - это херня. А 50 коннектов в секунду - это ничто на самом деле)

Shock
#22 - 09.07.2010 - 05:57

Хотя, я так понимаю, что это не в секунду, а за гараздо большее время

Shock
#23 - 09.07.2010 - 05:57

и да, что ibash.im что mva.name - висят

AnDoR
#24 - 09.07.2010 - 16:18

при большом кол-ве одновременных подключений можно в nginx выпилить кол-во времени отдачи, чтобы не висели подолгу

42
#25 - 11.07.2010 - 16:34

Поставь таймаут keep-alive на 0 и радуйся жизни

etc

mva
#26 - 17.07.2010 - 08:11

»Поставь таймаут keep-alive на 0 и радуйся жизни
Стоит. Не очень помогало. И резет таймедаут коннекшн тоже не очень.
И да, они висят уже с TIME_WAIT. Т.е., как я понял уже ПОСЛЕ обработки нжинксом. Ну и не принадлежат никакому процессу.

42
#27 - 21.07.2010 - 08:18

Смени серверную OS на что-то нормальное, например Windows Server 2008 R2.

mva
#28 - 21.07.2010 - 11:26

#27, tooo faaaat

42
#29 - 21.07.2010 - 20:06

#28, я серьёзно. Мой домашний ПК (старый АМД с двумя гигами РАМа) раздавал апдейты AlterIWNet'a (~800 MB) ~4000 клиентам одновременно, за сутки переслав около 1.8 TiB данных.

AnDoR
#30 - 21.07.2010 - 23:04

Да просто Скимушка наш, по какой-то причине считает, что 1000 коннектов одновременно - это много.

mva
#31 - 22.07.2010 - 14:46

Нет, не так.
1000 коннектов, которых никто не звал.

42
#32 - 22.07.2010 - 20:10

#31 если твой линупс неможет выдержать 1к коннектов, в топку его. Get FreeBSD or Windows Server 2008 R2.

ZL[]RD
#33 - 23.07.2010 - 03:36

#27 как "счастливый админ" этой вот системы никому не советую юзать. жаль, не могу отказаться, слишком специфичный виндовый серверный софт на ней крутится. аналогов нет и походу никогда не будет((

42
#34 - 23.07.2010 - 06:00

#33 лолтымудак, выпрями руки.

unikoid
#35 - 23.07.2010 - 18:28

Windows Server 2008 R2? Оно что, может не только игры и aero-перделки крутить?

mva
#36 - 23.07.2010 - 19:15

42, линукс прекрасно выдерживает и 10000 коннектов одновременно, просто они мне не нужны в выводе netstat ;) Ну и сам факт наличия левых коннектов напрягает :) Ничего более.

И да, Win 2008 Going to Yukh.

AnDoR
#37 - 23.07.2010 - 22:27

Т.е. ты напрягся из-за строчек в выхлопе netstat? ойлол.

42
#38 - 24.07.2010 - 05:42

unikoid, да, на сервере с Core i7, 8 GB оперативки и с коннектом в 10 гигабит оно может отдавать примерно 500 терабайт в месяц. IRL story, bro.

unikoid
#39 - 24.07.2010 - 09:45

Да, это несомненно крутой показатель. У вас в венде считается достижением просто отдавать файлы со скоростью 1/5 скорости канала? Или отдавало жабовское приложение, которое использует оракловскую базу и оперирует гигабайтами данных при каждой отдаче? Или это все же была обычная файлопомойка?

42
#40 - 25.07.2010 - 03:51

#39 это был сервер обновлений чего-то_очень_серьёзного_что_нельзя_называть. С 9 до 12 утра канал был забит почти под завязку.

AnDoR
#41 - 25.07.2010 - 13:01

10гбит коннект? Для какого-то сервера обновлений? Ой не шутите вы меня.

mva
#42 - 25.07.2010 - 15:39

#37, ну, первоначально я напрягся из-за того, что эти over9000 коннектов заставили апач сожрать всю оперативку и увести xen'овую виртуалку в бесконечные kernrloops'ы, а потом, после установки нжинкса, да, из-за выхлопа нетстата :)

42
#43 - 26.07.2010 - 01:32

#41 средний размер одного обновления - ~800 МБ, обновления поступают 2~3 раза в месяц, среднее количество обновляющихся клиентов - ~12000, в первый час после поступления обновления - ~3500.

AgNO3
#44 - 26.07.2010 - 10:04

kernel.org

AnDoR
#45 - 26.07.2010 - 10:54

Тухлые понты скучны. А теперь придумай, что это за говнософт, у коготорого раз в 2 месяца обновлений на 800мб?

42
#46 - 26.07.2010 - 10:57

#45 AlterIWNet.

gdulhr
#47 - 26.07.2010 - 15:40

#45 Ubuntu :)

Alemaz
#48 - 26.07.2010 - 17:37

#46 - это что и зачем?

Iwan
#49 - 26.07.2010 - 23:07

>>42

1000 коннектов держит говоришь? :) Ну-ну... Тыщща это конечно много... А полуоткрытых сколько сможет держать? :) А под DDOS-атакой сколько секунд простоит, прежде чем служба server уйдет в глухой даун до ребута? :))))

>>AnDoR

А чему ты удивляешься? Каким то жалким 800мб... Net-Worm.Win32.Kido и его модификации еще и не столько своим ботнетам отдадут...

зайчишко
#50 - 26.07.2010 - 23:10

товарищи, а может быть, это я сайт атакую?
К списку вопросовСтраницы: 1 2 >

Быстрый ответ
Имя:      Пароль:    
Текст сообщения:

«ibash.org.ru — Новый цитатник Рунета» Почта вебмастера: imail@ibash.org.ru