Атака на сайт Хартии’97 17

Вчера около 00.00 по минскому времени на сайт Хартии’97 была проведена распределенная атака....

Уважаемые коллеги!
Если не сложно, можете немного подробнее об атаке. Чисто с проф. точки зрения интересно. Особенно если это ДОС был, с какого пула адресов. Если адреса по всему свету раскинуты равномерно или большинство с определенной территории. Спасибо.

Москаль, 13:01, 26.03

Правду не задушишь, не убьёшь!

†‡D€A†H M€†AL‡†, 13:33, 26.03

да куда лукашенским жиртрестам до ДДОСА?))) Они наверн просто зашли на сайт всем белым домом и начали клацать F5))))) ы

unmk, 15:07, 26.03

Говорят, сегодня с утра из Москвы не были доступны charter97, lukshenko.net, bielarus.com. Признавайтесь, интернеччики, КТО ДАЛ ЛУКАШЕНКЕ КРЯКЕР ИНТЕРНЕТА?!!

PS У мню в РБ график загрузки канала с 9 вечера до 9 утра совершенно непонятный. 50% канала ровно как стол. +дропы.

N, 15:18, 26.03

В Москве доступ на сайт стал после 15-00,по-московскому.

strannik, 15:32, 26.03

Есть предложение,всем хакерам отправить сообщение чтобы взламывали все гос сайты,а информацыю туже вылаживали в интернете.Может так будет меньше жерт,а крыса усатая подёргается.

Richard, 16:04, 26.03

Dear Charter 97,

Thank you for providing "freedom of the press". The great meld for mankind.

Richard

Пробегающий), 16:51, 26.03

strannik
возможно в андерграунде и есть такие "быстрые" хакеры (ибо из-за отсталости белорусских хостов/возможностей почти ничего сделать нельзя из других стран), то их "услуги" будут стоить не дешевле снайпера)

Alex&Er, 18:13, 26.03

Админам сайта.

Ребята, Артём Киев, 12:17, 26.03 дело говорит. Действительно, против DDOS-а никакой прокси не поможет. Надо думать о зеркалах, причем, раскидывать из по всему свету.

Сегодня с утра попробовал имена www.charter97.net и www.charter97.com - ерунда. Там стоит же редирект на bielarus.com. А на этом сайте - ну нифига интересного нет. Позавчерашние новости..

Если лениво содержать и синхронизировать два-три зеркала, могу предложить альтернативу.
В случае атаки вам надо сделать следующее:
1. изменить IP сервера (перекочевать на другой сервак хостера)
2. внести в новую 1-дневную запись в DNS (например, vsesuda.charter97.net), указывающую на новый адрес
3. Сделать экстренную рассылку с новым именем сайта через вашу подписку на subscribe.ru.

Что это даст.
1. зомбяки будут атаковать пустое место (заранее нельзя сказать как они лупят - по адресу или по имени сайта, поэтому простое изменение основной DNS записи сайта может ничего и не дать).
2. Часть людей получат новую точку входа на сервер. Не все, конечно, но, по-крайней мере подписчики ваших новостей. А дальше свое дело сделает тетя Ася и корпоративные почтовики. И люди снова будут читать Хартию. А это - самое главное.

Кстати, еще одна мысль... При повторении такой атаки можно сделать так.... Кроме описанного выше, изменить DNS-запись www.charter97.org так, чтобы она указывала на сайт АГЛ. Может получиться довольно забавный эффект...

Александр, 21:24, 26.03

вот свободное http://www.charter97.ws/ недавно появилась эта зона расшифровываеться как web sait

Глада, 0:04, 27.03

Кстати, еще одна мысль... При повторении такой атаки можно сделать так.... Кроме описанного выше, изменить DNS-запись www.charter97.org так, чтобы она указывала на сайт АГЛ. Может получиться довольно забавный эффект...
==============================================

Гы, а это действительно интересная мысль!! Хартия все равно не доступна, так пусть тада поток на ППРБ сайт перегоняют. Вот тока не ясно, насколько это законно. Дело в том, что ДДОС штука почти анонимная, а перенаправление потока через ДНС легко щемится. Как бы в свою яму не влететь :-).

Да и если зомби находятся вне РБ, то не известно что быстрее упадет - линия или сервер, Правда я не знаю, какая ща линия из РБ, раньше дохлая была. В общем, если линия :-), то никто из РБ наружу не достанет. И еще одна проблема. Если ТТЛ на ДНС большой, то ничего не выйдет. Будут бомбить ИП хартии и после смены записи до исчерпания ТТЛ :-(.

Так что я бы остался у варианта зеркал.

unmk, 10:09, 27.03

У меня небольшая практика under attack, но по-моему все-таки есть некоторые меры защиты (отмазка: я сам могу придумать способ атаки чтобы снова убить канал, но все-же). Во-первых двусторонний шейпер на входе. Например, с sfq (более сложные алгоритмы прям тут вряд ли опишу). Sfq при перегрузке убивает подобные пакеты, чем подобней - тем больше прибивает. Также возможна более интеллектуальная настройка esfq, но я его не пробовал. Ну и стандартный hashlimit...

Alex&Er, 10:10, 27.03

>>>Глада, 0:04, 27.03
>>>Вот тока не ясно, насколько это законно. Дело в том, что
>>>ДДОС штука почти анонимная, а перенаправление потока
>>>через ДНС легко щемится

Так в том то и дело, что никакого перенаправления не будет. Сотни тысяч зомбированых компьютеров будут атаковать сайт, адрес которого они самостоятельно узнаЮт по имени через DNS. С точки зрения админов, это будет самая обычная DDOS атака.

Загрузка канала сайта Хартии при этом будет равна нулю. Так что нашим админам останется только раздать нормальным читателям альтернативную точку входа и ... вуа-ля...

unmk, 10:43, 27.03

>> через DNS

Это все очень здорово, но при условии, что атакуют по имени и резолвят его очень часто, а не по ip, а это совершенно искуственное допущение...

ioni, 18:58, 27.03

И давно уже говорю
FEEDBURNER

И будет не важно, как вас долят - если вы в настройках feedburner укажете, что вы по другому адреса - хоть с локального выделенного IP - и вы снова доступны.

RSS - лучший способ защиты от такой глупости

А по поводу трафика по DNS на сами-знаете-куда - ну, всегда можно сказать. что это хакеры - и даже в суд подать, пущай ищут поганца!