Názory k článku
Tisíce tuzemských e-shopů mělo výpadky, může za to masivní DDoS útok

Přestože je útok stále veden s velkou intenzitou, od včerejšího rána se nám již daří veškeré útoky plně odrážet. Všechny eshopy běží bez problému.

Máme informace, že napadeny byly podobnými útoky i servery jiných společností.

kam na takove kachni clanky a diskuze chodite ...

Útoky byly již od neděle a postihlo to asi většinu poskytovatelů.
Na to že je pátek ráno, mi tento článek připadne jako dobře odvedené SEO pro pána z Bohumína a laciná omluva zákazníkům Profihostingu...

Na lupě bych očekával rozhodně více informací a nějakou investigaci. Ale to bych asi chtěl moc, že?

Třeba Active to postihlo asi taky hodně: http://www.active24.cz/aktuality/oficialni-vyjadreni-active-24-k-dos-utokum-na-serv/

+1 souhlasím

GeoIP v shopu vám v takové situaci nepomůže. Takové útoky v podání co se poslední hodiny dějí prostě neustíhá už ani síťovka serveru ani většina hw firewallů (os sw fw se již ani nezmiňuji) :) - proto se to musí řešit již jinak a daleko výš než na serveru nebo jeho fw.
Jednoduše řečeno se jedná se o přetížení konektivity daným směrem z velice mnoha směrů - další dotazy daným směrem již težko procházejí nebo vůbec.

Jsou to jednak emigranti a jejich potomci, jednak lide pracujici za hranicemi. K tomu si zapocitejte cizince, kteri cestinu znaji a pouzivaji, nejde jen o Slovaky ve svete, ale i statisice lidi, kteri v CR studovali nebo pracovali.
Je sice jasne, ze z nich vetsinu zajima jen obsah, nikoliv nakupy, ale presto pro obchodniky z urcitym sortimentem muze jit o zajimavou cilovou skupinu, kterou je skoda jen tak odstrihnout. Dale neni od veci pripomenout ze zahranicni IP nepouzivaji pouze navstevnici, ale treba i vyhledavace.

Jasně, jen podle IP je to strašně nespolehlivý. Ale když se sledujou i ostatní hlavičky požadavku (user agent, jazyk, cookies), dá se z toho už celkem udělat přehled o koho jde. A takovýho pak nějak limitovat. I když jak psal před Vámi někdo, tohle nemůže ten server stíhat vyhodnocovat, v takovém okamžiku už je pozdě.

Přesně tak, první, co mě na článku zaujalo, je naprosto nepřirozený "SEO odkaz" na Martina Jakeše.

Zato jsem včera celé odpoledne na serverech iinfo opakovaně viděl HTTP Error 500

Tohle jim dela uz asi 14 dni, v jednu chvili (minult tyden) jim vypadnul server a nesly jim zadne weby. Celkova situace kolem webu iinfa me dost irituje!

Z Vaseho prispevku je videt, ze nevite ani za mak, o cem mluvite. Ani celkem nechapu, v cem pomuze HA reseni - jako ze jeden polozeny server prebere IP a necha se take polozit ? Nebo se rozbalancuje provoz na vice stroju a polozi se jich vic (je fuk jestli stroju nebo sluzeb) ?

No, hlavne ze Vy do toho vidite. HA reseni muze byt staveno i na tzv. skalovatelnych sluzbach, respektive zatez je rozkladana na vice serveru v pozadi.

Problem neni postavit system na "skalovatelnych resenich". Problem je, ze cena za pouziti botnetu je o nekolik radu mensi nez cena reseni, ktere DDoS utoku toho botnetu odola.

Napriklad, kdyz postavite Vase reseni na nejake poradne CDN (treba Akamai), tak ta je sice utok vetsiny botnetu absorbovat, lec dostanete pomerne slusnou fakturku, ktera ucini DoS Vasemu elektronickemu podnikani (a to i pres to, ze panove z Akamai budou vstricni).

Jinymi slovy - v ceskem prostredi je nakladove efektivnejsi obetovat se skripejicimi zuby jeden, dva dny podnikani a vyresit to s ISPkem tim, ze blackholujete zahranici.

Rekneme ze vidim, protoze tato reseni delam. To co navrhujete je hezke, ale ustat slusny ddos par serverama, content sw, db atd nezvladnete.. To mi verte.

Ehm, hrušky, jablka a pneumatiky z traktoru na jedný hromadě? Jak souvisí Java s nginx a typem databáze? A když využiju cache, tak nějak výrazně záleží na tom, v čem běží původní aplikace? Třeba se pletu, ale na mě Váš příspěvek působí tak, že jste si kopl do javy a pochválil se, jaký ovládáte moderní technologie :-)

http://shootout.alioth.debian.org/u64q/benchmark.php?test=all&lang=all

V každým jazyku se dá udělat ta samá věc špatně a dobře. To, že je java pomalá na serveru podle mě rozhodně neplatí. Jasně že primitivní stránka co vytáhne pár řádek z DB bude rychlejší v PHP. Ale v okamžiku, kdy z toho vznikne velká a dospělá aplikace, s mrakama knihoven, cachováním, řadou vývojářů, bude se to všechno dělat líp v Javě. Podle mě je prostě problém v tom, že se porovnává jednoduchoučká stránka v PHP a obří systém v Javě a z toho se dělají závěry. A když se porovnávají odpovídající kusy kódu, tak se to shodí s tím, že to není reálný použití a je to nevypovídající.

Tak pokud dokazete bezpecne a rychle (tedy bez buffer-overflow chyb, neuvolnovani pameti, chyb s pointerovou aritmetikou) napsat a otestovat kod v C/C++ stejne jako v .NET/Jave, pak jste asi genialni :-)

Pokud ne, tak srovnavate nesrovnatelne. Je totiz naprosto jedno, jestli neco potrebuje 4 nebo 8 GB pameti. Neni uz ale vubec jedno, ze to 2x za mesic spadne nebo provede neco co nema. To se samozrejme tyka aplikaci "kde o neco skutecne jde", zpravidla o penize :-)

Zmatlat nejakou socialni sit v PHP, to asi dokaze kazdy. Kdyz to nejede, nic se ve skutecnosti nedeje ...

"Nehlede na to, ze nevidim zadnej rozdil mezi tim, jestli aplikace zbuchne na preteceni pameti nebo na neosetreny vyjimce"

Coz je typicky priklad nulove odpovednosti za vlastni praci :-) Pak to pochopite ...

To, že nevidíte rozdíl mezi pádem aplikace na přetečení paměti, nebo na neošetřené výjimce znamená, že akorát nemáte dost zkušeností abyste srovnal vývoj většího projektu v C++ vs .NET/JAVA

Ta druhá věc se totiž u dobře vedeného týmu stává výrazně méně často a když už se to stane, tak většinou okamžitě víte kde a proč je problém. Zatímco v případě přetečení paměti začíná dlouhé hledání, kde to vlastně utíká.

A jen pro zajimavost, napriklad web Dellu nebo Myspace je komplet .NET reseni:
http://weblogs.asp.net/scottgu/archive/2006/03/25/Handling-1.5-Billion-Page-Views-Per-Day-Using-ASP.NET-2.0.aspx

"dokonce se mě někdo snažil přesvědčit že JAVA je rychlejší než C. (možná i než assembler :-))"

Tak samozrejme ze enterprise aplikace pomoci .NETu ci Javy na tom bude vyrazne lepe. Ne vsak kvuli nejakemu primitivnimu srovnani vykonu kodu s for cyklem v jednom threadu, ale predevsim kvuli zazemi (knihovnam) ktere nabizi. Zkratka pokud mate farmu s desitkami serveru a potrebujete ulohu distribuovat, tak aby se tento hardware optimalne vyuzil, je vam "rychlost" kodu pracne napsana v assembleru nebo C na prd :-)

Nastesti se k aplikacim od kterych se ocekava skutecny vykon a spolehlivost s timto pristupem nedostanete. Znate prislovi "pro stromy nevidi les" ?

Já myslím, že by se ti břídilové od Vás ani zaměstnat nenechali. Podle Vašich znalostí a písemného projevu tipuji, že budete šéf tak akorát na zabití.

Zajímavé je, jak všichni řvou že je java pomalá a nenažraná a přesto běží v půlce chytrejch telefonů bez problémů. Přece jen, ještě donedávna byly chytrý telefony docela nevýkonný stroje a přesto to problém nebyl...

Z toho si nic nedělej – to jsou lidi, kteří si kdysi spustili nějakou desktopovou aplikaci v Javě, přišlo jim, že to pomalu startuje, a tak od té doby všude říkají, že Java je pomalá… To bych vůbec neřešil, je to jejich problém, já bych je v tom bludu klidně nechal :-)

BTW: nedávno jsem dělal s jednou aplikací v Perlu – těšil jsem se, že to bude „pár nenáročných skriptíků“ – ale ono to sežralo 300 MB (skutečně zabraná paměť) a ani odezva nebyla nijak zázračná.

Nic na tom není, RAM je levná, nemá cenu řešit nějakých tři sta mega – vypadá to že s rostoucím počtem uživatelů spotřeba moc neroste a je více méně fixní. A odezva sice není nějaká blesková, ale stále je to použitelné a funkce vyhovují, takže OK, budu to používat dál. Ale přijde mi úsměvné, když někdo kope do Javy, jak je nenažraná a pomalá, když jinde je to mnohdy ještě horší (znám podobně komplexní aplikace v Javě s daleko menší spotřebou a lepší odezvou).

Ony mobilni telefony pocitaji (napr) vyplaty desitkam tisic zamestnancu?

Srovnávejme srovnatelné. Výplaty desítkám tisíc zaměstnanců se nepočítají na 512MHz a 256M ramky. Kdyby byla java tak zoufale neefektivní, jak se traduje, neprosadila by se jako jazyk pro mobilní telefony. A účetní systémy se píšou i v javě, pokud vím.

jablka, hrušky, všechno jedno…

Java (i ten .NET) můžou být za nginxem (javovský AS obvykle bývá, nevím, jak .NET), můžou používat memcahe (nebo něco lepšího), můžou ukládat do libovolné databáze (relační, nosql, jakákoli).

Moc nechápu smysl tvého komentáře – asi sis jen potřeboval kopnout do nějakých neoblíbených technologií a zmínit nějaké módní termíny…

cloudflare.com, prolexic.com ci dalsi reverzni proxy jsou vykone a levne reseni, prosim neveset lidem buliky na nos.

pán je zřejmě "profesionál", opravdu fundované řešení, myslím že jste DDoS viděl tak max. z vlaku

To je asi jako kdybych jakozto IT support bral mesicne od SBS firem 200t Kc a drzel jim 24h support se 4h fix timem. Ano, bude to pro ne lepsi, ale platit mi to nebudou, protoze i v tom pripade je jednodussi a levnejsi drzet si tunu zaloznich pocitacu.
Proc bych treba jako majitel eshopu s desitkami objednavek denne mel resit, nota bene PLATIT HA reseni?

Bohužel bylo útočeno také na eshop kravaty.eu, který je hostován u nás a tyto útoky probíhají již asi dva týdny.

Nabízím ještě jedno možné vysvětlení, které se mi zdá nejvíce pravděpodobné - za útoky může stát také obyčejné vydírání. Před vánoci jsou e-shopy náchylnější podlehnout a zaplatit, když jim někdo napíše: "Zaplaťte tolik a tolik tam a tam, a my přestaneme útočit."

Osobně mi přijde pravděpobnější varianta necíleného útoku "rusukrainské" mafie (nebo nějaké jiné) než zaplacený útok konkurence.

Peníze za tím mohou být, ale ne vydírání. Útočník konkurenci odstíní a má kšeft, to naprosto stačí.

Jak bys to udělal s převodem peněz, aby nešel mafián vystopovat?

Jednalo se o cílený utok na modelarske eshopy, respektive shopy s modely RC. Zbytek shopu se svezl, protoze jely na stejnych strojich. Útočil snad cinsky exporter na zaklade nejake vazby do CZ.

http://www.dosarrest.com to resi. Mame s nim velmi dobre zkusenosti, zakazniky (hlavne ty zahranicni) vzdy zasadne odkazujeme na Dosarrest. Maji 10 minut emergency hotline

Nemohl by na Lupu už psát někdo, kdo umí česky?

Jen pis! A setri, az budes mit ...

Piss se píše z dvěma es.

Piss se píše z dvěma es.

Kdo nemá na drahé řešení, tomu postačí blokovat rozsáhlé c-bloky IP adres zemí, kde není nutné, aby eshop běžel. V podstatě se zachováte jako jedna z bank, která od jisté doby umožní platit na českém eshopu pouze u nás vydanou kartou. Ty doporučené bloky se dají dohledat na fórech zabývajících se dano problematikou.

Něco podobného jsem nedávno řešil. Server "pro ČR a SR" má povolené české rozsahy IP adres, zbytek blokovaný. Server "pro zbytek světa" má povolené vše, zda se uživatel připojí na server 1, nebo 2 závisí na DNS, kde běží geoip backend a odpovídá podle klíče Čech+Slovák, nebo cizinec. Kupodivu to funguje docela dobře. :-)

Chybička se vloudila, server 1 má samozřejmě povolené i Slováky... :-D

Také pondělí - středa jsme měli tyto útoky, ale až na jeden 7 minutový výpadek, se to podařilo v pohodě ustát.
Můj názor je, že za útky stojí konkurence z řad výrobců eshop řešení.

Jak ti co si to obednali, tak eshopari

Nekolik stovek mbit je v porovnani se situaci ve svete vysmech. 80Gbit/hod z 250k botnetu se da poridit za $50...

A to se pak smazi zidak v mikrovlnce.

Nejakej drop na tranzitu pak uz nema cenu protoze jednoduse zahlti komplet upstreamy ve vsech evropskych IXech tranzitniho AS - jedine reseni je poslat celou tu /24 do null (takze to pak nebezi ani v .cz).

Tzn kdo nema anycast jako by nebyl - osobne jsem preckal nekolik ~10Gbit ddosu pomoci cloudflare.com, je to gratis a nastavene behem dne.

Díky za pořádné informace. :-)

Dovolim si drobnou reakci - pokud Vas upstream je opravdovy tranzitni provider, tak ma mechanismy, jak se s podobnou veci dokaze vyrovnat.

existuje efektivni obrana proti 250k botnetu? Pochybuju.

Jinymi slovy, za 50 USD kdokoliv zlikviduje jakykoliv system? Hm, to je s podivem, ze ten Internet jeste funguje.

50$/hod vychazi cca 0.5$/den za vytizeni bota, coz je +- dno trzni ceny. We're all doomed! :) Ne.

Pane krsek, hral jste nekdy C&C? Funguje to podobne jako loic, jednou za cas a jedno misto. Tech botnetu zas tolik neni :)

Nikdo nema zajem odpalit pidi-AS stylu dialtelecom (kterejm nezbude nic jinyho nez beztak poslat zakaznika do null aby si zachranili vlastni prdel).

Jak uz tu nekdo vyse zminil, kapacity a technologie napr Telie, Clogentu, Sprintu, AT&T atd je jeste nekde uplne jinde (a v pohode odfiltruji stovky gigabit, kdyz si to zakos zaplati...).

Ale s nicenim internetu nezertujte, naposled to bylo v roce 2007. Tech root serveru na 10gbit connectu tenkrat zas tolik nebylo :)

Dobry den,
Ja nezertuji. Jen jsem poukazal na jistou nelogicnost tvrzeni.

Dial Telecom hraje jinou ligu nez Telia, nicmene i Dial ma sanci s temi interconnecty neco udelat.

Co se tyce utoku na root servery, tak hlavnim opatrenim, pokud si spravne pamatuju, byla iplementace anycastu. Jde o to, ze filtrovani provozu v pripade root nameserveru neni prilis stastne reseni :-)

Nasadím CloudFlare a až přijde DDoS, tak mi zavolají, ať vypadnu, nebo ne...?

původ je asi někde tady..

http://www.rcnoviny.cz/2011/12/ddos-tok-na-strnky-s-rc-modely/

kdyby si dala Lupa trochu práce tak by se optala hostingů jako je Active24, Wedos, Forpsi, C4, Profihosting atd. NA JAKÉ DOMÉNY BYL ÚTOK VEDEN, z toho se dá určitě vysledovat nějaká souvislost.. to by bylo "pod lupou" a né jen slepě papouškovat..