Názory k článku Tisíce tuzemských e-shopů mělo výpadky, může za to masivní DDoS útok

50$/hod vychazi cca 0.5$/den za vytizeni bota, coz je +- dno trzni ceny. We're all doomed! :) Ne.

Pane krsek, hral jste nekdy C&C? Funguje to podobne jako loic, jednou za cas a jedno misto. Tech botnetu zas tolik neni :)

Nikdo nema zajem odpalit pidi-AS stylu dialtelecom (kterejm nezbude nic jinyho nez beztak poslat zakaznika do null aby si zachranili vlastni prdel).

Jak uz tu nekdo vyse zminil, kapacity a technologie napr Telie, Clogentu, Sprintu, AT&T atd je jeste nekde uplne jinde (a v pohode odfiltruji stovky gigabit, kdyz si to zakos zaplati...).

Ale s nicenim internetu nezertujte, naposled to bylo v roce 2007. Tech root serveru na 10gbit connectu tenkrat zas tolik nebylo :)

Z Vaseho prispevku je videt, ze nevite ani za mak, o cem mluvite. Ani celkem nechapu, v cem pomuze HA reseni - jako ze jeden polozeny server prebere IP a necha se take polozit ? Nebo se rozbalancuje provoz na vice stroju a polozi se jich vic (je fuk jestli stroju nebo sluzeb) ?

pán je zřejmě "profesionál", opravdu fundované řešení, myslím že jste DDoS viděl tak max. z vlaku

Ehm, hrušky, jablka a pneumatiky z traktoru na jedný hromadě? Jak souvisí Java s nginx a typem databáze? A když využiju cache, tak nějak výrazně záleží na tom, v čem běží původní aplikace? Třeba se pletu, ale na mě Váš příspěvek působí tak, že jste si kopl do javy a pochválil se, jaký ovládáte moderní technologie :-)

Z toho si nic nedělej – to jsou lidi, kteří si kdysi spustili nějakou desktopovou aplikaci v Javě, přišlo jim, že to pomalu startuje, a tak od té doby všude říkají, že Java je pomalá… To bych vůbec neřešil, je to jejich problém, já bych je v tom bludu klidně nechal :-)

BTW: nedávno jsem dělal s jednou aplikací v Perlu – těšil jsem se, že to bude „pár nenáročných skriptíků“ – ale ono to sežralo 300 MB (skutečně zabraná paměť) a ani odezva nebyla nijak zázračná.

Nic na tom není, RAM je levná, nemá cenu řešit nějakých tři sta mega – vypadá to že s rostoucím počtem uživatelů spotřeba moc neroste a je více méně fixní. A odezva sice není nějaká blesková, ale stále je to použitelné a funkce vyhovují, takže OK, budu to používat dál. Ale přijde mi úsměvné, když někdo kope do Javy, jak je nenažraná a pomalá, když jinde je to mnohdy ještě horší (znám podobně komplexní aplikace v Javě s daleko menší spotřebou a lepší odezvou).

Tohle jim dela uz asi 14 dni, v jednu chvili (minult tyden) jim vypadnul server a nesly jim zadne weby. Celkova situace kolem webu iinfa me dost irituje!

Jak ti co si to obednali, tak eshopari

Nekolik stovek mbit je v porovnani se situaci ve svete vysmech. 80Gbit/hod z 250k botnetu se da poridit za $50...

A to se pak smazi zidak v mikrovlnce.

Nejakej drop na tranzitu pak uz nema cenu protoze jednoduse zahlti komplet upstreamy ve vsech evropskych IXech tranzitniho AS - jedine reseni je poslat celou tu /24 do null (takze to pak nebezi ani v .cz).

Tzn kdo nema anycast jako by nebyl - osobne jsem preckal nekolik ~10Gbit ddosu pomoci cloudflare.com, je to gratis a nastavene behem dne.

Zajímavé je, jak všichni řvou že je java pomalá a nenažraná a přesto běží v půlce chytrejch telefonů bez problémů. Přece jen, ještě donedávna byly chytrý telefony docela nevýkonný stroje a přesto to problém nebyl...

Nasadím CloudFlare a až přijde DDoS, tak mi zavolají, ať vypadnu, nebo ne...?

To je asi jako kdybych jakozto IT support bral mesicne od SBS firem 200t Kc a drzel jim 24h support se 4h fix timem. Ano, bude to pro ne lepsi, ale platit mi to nebudou, protoze i v tom pripade je jednodussi a levnejsi drzet si tunu zaloznich pocitacu.
Proc bych treba jako majitel eshopu s desitkami objednavek denne mel resit, nota bene PLATIT HA reseni?

Přestože je útok stále veden s velkou intenzitou, od včerejšího rána se nám již daří veškeré útoky plně odrážet. Všechny eshopy běží bez problému.

Máme informace, že napadeny byly podobnými útoky i servery jiných společností.

Bohužel bylo útočeno také na eshop kravaty.eu, který je hostován u nás a tyto útoky probíhají již asi dva týdny.

Nemohl by na Lupu už psát někdo, kdo umí česky?

Peníze za tím mohou být, ale ne vydírání. Útočník konkurenci odstíní a má kšeft, to naprosto stačí.

Také pondělí - středa jsme měli tyto útoky, ale až na jeden 7 minutový výpadek, se to podařilo v pohodě ustát.
Můj názor je, že za útky stojí konkurence z řad výrobců eshop řešení.

A jen pro zajimavost, napriklad web Dellu nebo Myspace je komplet .NET reseni:
http://weblogs.asp.net/scottgu/archive/2006/03/25/Handling-1.5-Billion-Page-Views-Per-Day-Using-ASP.NET-2.0.aspx

existuje efektivni obrana proti 250k botnetu? Pochybuju.

Jednalo se o cílený utok na modelarske eshopy, respektive shopy s modely RC. Zbytek shopu se svezl, protoze jely na stejnych strojich. Útočil snad cinsky exporter na zaklade nejake vazby do CZ.

Jen pis! A setri, az budes mit ...

Já myslím, že by se ti břídilové od Vás ani zaměstnat nenechali. Podle Vašich znalostí a písemného projevu tipuji, že budete šéf tak akorát na zabití.

No, hlavne ze Vy do toho vidite. HA reseni muze byt staveno i na tzv. skalovatelnych sluzbach, respektive zatez je rozkladana na vice serveru v pozadi.

cloudflare.com, prolexic.com ci dalsi reverzni proxy jsou vykone a levne reseni, prosim neveset lidem buliky na nos.

Ony mobilni telefony pocitaji (napr) vyplaty desitkam tisic zamestnancu?

Piss se píše z dvěma es.

V každým jazyku se dá udělat ta samá věc špatně a dobře. To, že je java pomalá na serveru podle mě rozhodně neplatí. Jasně že primitivní stránka co vytáhne pár řádek z DB bude rychlejší v PHP. Ale v okamžiku, kdy z toho vznikne velká a dospělá aplikace, s mrakama knihoven, cachováním, řadou vývojářů, bude se to všechno dělat líp v Javě. Podle mě je prostě problém v tom, že se porovnává jednoduchoučká stránka v PHP a obří systém v Javě a z toho se dělají závěry. A když se porovnávají odpovídající kusy kódu, tak se to shodí s tím, že to není reálný použití a je to nevypovídající.

Tak pokud dokazete bezpecne a rychle (tedy bez buffer-overflow chyb, neuvolnovani pameti, chyb s pointerovou aritmetikou) napsat a otestovat kod v C/C++ stejne jako v .NET/Jave, pak jste asi genialni :-)

Pokud ne, tak srovnavate nesrovnatelne. Je totiz naprosto jedno, jestli neco potrebuje 4 nebo 8 GB pameti. Neni uz ale vubec jedno, ze to 2x za mesic spadne nebo provede neco co nema. To se samozrejme tyka aplikaci "kde o neco skutecne jde", zpravidla o penize :-)

Zmatlat nejakou socialni sit v PHP, to asi dokaze kazdy. Kdyz to nejede, nic se ve skutecnosti nedeje ...

"dokonce se mě někdo snažil přesvědčit že JAVA je rychlejší než C. (možná i než assembler :-))"

Tak samozrejme ze enterprise aplikace pomoci .NETu ci Javy na tom bude vyrazne lepe. Ne vsak kvuli nejakemu primitivnimu srovnani vykonu kodu s for cyklem v jednom threadu, ale predevsim kvuli zazemi (knihovnam) ktere nabizi. Zkratka pokud mate farmu s desitkami serveru a potrebujete ulohu distribuovat, tak aby se tento hardware optimalne vyuzil, je vam "rychlost" kodu pracne napsana v assembleru nebo C na prd :-)

http://www.dosarrest.com to resi. Mame s nim velmi dobre zkusenosti, zakazniky (hlavne ty zahranicni) vzdy zasadne odkazujeme na Dosarrest. Maji 10 minut emergency hotline

Jsou to jednak emigranti a jejich potomci, jednak lide pracujici za hranicemi. K tomu si zapocitejte cizince, kteri cestinu znaji a pouzivaji, nejde jen o Slovaky ve svete, ale i statisice lidi, kteri v CR studovali nebo pracovali.
Je sice jasne, ze z nich vetsinu zajima jen obsah, nikoliv nakupy, ale presto pro obchodniky z urcitym sortimentem muze jit o zajimavou cilovou skupinu, kterou je skoda jen tak odstrihnout. Dale neni od veci pripomenout ze zahranicni IP nepouzivaji pouze navstevnici, ale treba i vyhledavace.

Rekneme ze vidim, protoze tato reseni delam. To co navrhujete je hezke, ale ustat slusny ddos par serverama, content sw, db atd nezvladnete.. To mi verte.

Jasně, jen podle IP je to strašně nespolehlivý. Ale když se sledujou i ostatní hlavičky požadavku (user agent, jazyk, cookies), dá se z toho už celkem udělat přehled o koho jde. A takovýho pak nějak limitovat. I když jak psal před Vámi někdo, tohle nemůže ten server stíhat vyhodnocovat, v takovém okamžiku už je pozdě.

"Nehlede na to, ze nevidim zadnej rozdil mezi tim, jestli aplikace zbuchne na preteceni pameti nebo na neosetreny vyjimce"

Coz je typicky priklad nulove odpovednosti za vlastni praci :-) Pak to pochopite ...

Nastesti se k aplikacim od kterych se ocekava skutecny vykon a spolehlivost s timto pristupem nedostanete. Znate prislovi "pro stromy nevidi les" ?

jablka, hrušky, všechno jedno…

Java (i ten .NET) můžou být za nginxem (javovský AS obvykle bývá, nevím, jak .NET), můžou používat memcahe (nebo něco lepšího), můžou ukládat do libovolné databáze (relační, nosql, jakákoli).

Moc nechápu smysl tvého komentáře – asi sis jen potřeboval kopnout do nějakých neoblíbených technologií a zmínit nějaké módní termíny…

To, že nevidíte rozdíl mezi pádem aplikace na přetečení paměti, nebo na neošetřené výjimce znamená, že akorát nemáte dost zkušeností abyste srovnal vývoj většího projektu v C++ vs .NET/JAVA

Ta druhá věc se totiž u dobře vedeného týmu stává výrazně méně často a když už se to stane, tak většinou okamžitě víte kde a proč je problém. Zatímco v případě přetečení paměti začíná dlouhé hledání, kde to vlastně utíká.

Piss se píše z dvěma es.

kam na takove kachni clanky a diskuze chodite ...

Ano také jsem jsem tu zprávičku u Active24 včera zaznamenal.
Jen se jakožto člověk trochu zběhlý v této věci ptám, proč ta skvělá řešení e-shopů nepoužívají GeoIP nebo jiné geolokační nástroje? Vycházím z toho, že u nich nakupují po Internetu v drtivé většině lidé v ČR a SR. Ty ostatní lze omezit např. na pár set současných přístupů z IP adres mimo region ČR/SR. Ano vím, že s adresami mimo ČR/SR budou i lidé chodící přes proxy či anonymizéry, ale jaké procento jich bude? Možná, že snad teď se tím začnou zabývat, ale to je trochu pozdě.

GeoIP v shopu vám v takové situaci nepomůže. Takové útoky v podání co se poslední hodiny dějí prostě neustíhá už ani síťovka serveru ani většina hw firewallů (os sw fw se již ani nezmiňuji) :) - proto se to musí řešit již jinak a daleko výš než na serveru nebo jeho fw.
Jednoduše řečeno se jedná se o přetížení konektivity daným směrem z velice mnoha směrů - další dotazy daným směrem již težko procházejí nebo vůbec.

Kdo nemá na drahé řešení, tomu postačí blokovat rozsáhlé c-bloky IP adres zemí, kde není nutné, aby eshop běžel. V podstatě se zachováte jako jedna z bank, která od jisté doby umožní platit na českém eshopu pouze u nás vydanou kartou. Ty doporučené bloky se dají dohledat na fórech zabývajících se dano problematikou.

Něco podobného jsem nedávno řešil. Server "pro ČR a SR" má povolené české rozsahy IP adres, zbytek blokovaný. Server "pro zbytek světa" má povolené vše, zda se uživatel připojí na server 1, nebo 2 závisí na DNS, kde běží geoip backend a odpovídá podle klíče Čech+Slovák, nebo cizinec. Kupodivu to funguje docela dobře. :-)

Chybička se vloudila, server 1 má samozřejmě povolené i Slováky... :-D

původ je asi někde tady..

http://www.rcnoviny.cz/2011/12/ddos-tok-na-strnky-s-rc-modely/

kdyby si dala Lupa trochu práce tak by se optala hostingů jako je Active24, Wedos, Forpsi, C4, Profihosting atd. NA JAKÉ DOMÉNY BYL ÚTOK VEDEN, z toho se dá určitě vysledovat nějaká souvislost.. to by bylo "pod lupou" a né jen slepě papouškovat..

Přesně tak, první, co mě na článku zaujalo, je naprosto nepřirozený "SEO odkaz" na Martina Jakeše.

Co chcete od hostingu za 40 korun/měs.?! Jestliže jsou e-shopáři takoví střelci, že Profihostingu svěří srdce byznysu, tak dobře jim tak.

Jak bys to udělal s převodem peněz, aby nešel mafián vystopovat?

Srovnávejme srovnatelné. Výplaty desítkám tisíc zaměstnanců se nepočítají na 512MHz a 256M ramky. Kdyby byla java tak zoufale neefektivní, jak se traduje, neprosadila by se jako jazyk pro mobilní telefony. A účetní systémy se píšou i v javě, pokud vím.

Vite o tom prdlajs, a jedno to rozhodne neni, ostatne viz napr zmena licencovani vmware. Nehlede na to, ze nevidim zadnej rozdil mezi tim, jestli aplikace zbuchne na preteceni pameti nebo na neosetreny vyjimce.

Pokud mate aplikaci, od ktere ocekavate vykon, tak je van .Net nebo java khovnu, protoze je to minimalne 10x pomalejsi nez nativni kod. A opravdu miluju "nic" nedelajici 10kB aplikaci, ktera ke spusteni potrebuje GB .Netu.

Nastesi bridili jako ste vy nezamestnavam, neb zakaznici kteri vykon pozaduji si bridily nemohou dovolit, natoz takove, kteri jim budou za miliony neco roky delat v .Netu, aby nakonec zjistili, ze neexistuje takovy HW, ktery by to byl schopny utahnout s pozadovanymi odezvami.

Takže amatéři si neumí nastavit high availability řešení a teď kolem sebe budou kopat rozdáváním trestních oznámení?

To mi přijde jako pořádný nesmysl!

Jak může někdo po ucpané zahraniční lince DDoSnout český server? Odbavit pár set megabitů nemůže být pro správně nastavené řešení žádný problém.

Chápu, že zákazníkům se špatně přiznává vlastní neschopnost, ale ohánět se na policii seznamem IP adres pár chudáků se zavirovaným počítačem je dost divné.

Měli by se místo toho chytit za nos a správně si své řešení nadimenzovat na těch 9000 naštvaných zákazníků.