|
Basefarm nere
Som många säker har märkt så har flera media inte varit nåbara på webben nu på morgonen. Enligt IDG så stod stora delar (läs hela) Basefarm still. Enligt Basefarm själva var problemet löst c:a 08:50 men fortfarande är de flesta tidningar inte nåbara.
Grattis, alla ägg i samma korg är aldrig bra. :) |
Jag kommer inte åt GP.se.. Men de ligger väl inte hos Basefarm?
|
En av basefarms kunder ska visst utsatts för attack, vilket dragit ner hela basefarm.
|
GP.se ligger hos basefarm väl?
|
Enligt IDG.se så ligger GP hos basefarm.
|
Nu väntar man nästan på att Patrikweb skall gnälla över deras infrastruktur... :D
|
Jepp, de fick en DDoS-attack mot sig.
|
Citat:
"Och det var inga små mängder som slog mot Adeprimos system. Varje sekund skickades 400 000 anrop. Den normala nivån ligger på 800 anrop per sekund." Enligt en annan så var det 400Mbit istället dom menade. I vilket fall så är det extremt löjligt liten DDoS attack, som sänkte så mycket hos dom. Även om det var 400Kpps eller 400Mbit så är det inget alls, kollade igenom mina grafer så har jag haft över 4 st DDoS som varit över den mängden utan det ens tappat några paket. Det endast senaste månaden, per år vill jag inte ens räkna. Och det är endast DDoS för folks jävla IRC bråk som dom dragit på sig hos mig. Så ja det är extremt jävla värdelöst och grovt vårdlöst att så viktiga siter dör pga så lite och så många. |
Med 400 000 anrop i sekunden fick jag uppfattningen att man syftade på antalet requests till proxyfrontarna.
|
Citat:
Jag brukar i regel inte få DDoS på under 400Kpps, dom brukar ligga på runt 1Mpps+ (Miljoner paket per sekund). |
Att tidningssiterna dog lär berott på att servrarna inte hade en chans att klara av anstormningen. Inget konstigt alls.
Däremot kan man ju alltid spekulera i varför andra kunder hos Basefarm drabbades, om 400Kpps normalt sett är fullt hanterbart. |
Citat:
Troligtvis är deras inställningar av webbservern felaktiga så att den använder för mycket minne och låser sig. Kan även vara att deras "DDos filter" otillräckliga eller obefintliga. Att man har ett stort bolag behöver ju inte betyda att man har kunskap, kan ju bara betyda att man är bra på att sälja sin produkt som kan vara mycket sämmre än snittet. Ta comhem som exempel |
Alla de därade siterna som de kör på mittmedia (dvs. polopoly via Adeprimo) ligger i samma serverkluster och sänker du en site så sänker du alla.
Polopoly har iaf i folkmun inte varit direkt resurssnålt och på så vis är jag inte förvånad ifall den skulle sänkas lätt då det finns ju en begränsad mängd serverresurser. |
Som tur var kom GP.se tillbaka igen så jag kunde läsa om
snubben med bombbälte på spårvagnen.. Det är såklart alltid tråkigt med DDoS-attacker och detta blir bara vanligare och vanligare. Det finns ju en hel del ekonom- iska faktorer bakom gårdagens angrepp. Annonsörsföreningen (eller vad de hette) uppskattade annonsbortfallet under går- dagen till miljonbelopp. Det är ju trots allt inga små siter som gick ner och de som gick ner var ju oftast ganska lokala där lokala företag når sin kundgrupp på ett effektivt sätt. Polisen lär få en del att jobba med i denna attack, men tyvärr tror jag inte de kommer kunna hitta den ansvarige. |
Men Sverige är ett jävla u-land att klara av DDoS, det beror väl i regel på att Sverige inte fått så mycket DDoS som övriga länder.
Även om jag får en hel del DDoS varje månad, men den beror i regel att jag har en stor kundgrupp som gillar att dra på sig en hel del. Och jag låter kunderna vara kvar och bara skrattar över alla misslyckade DDoS. Bara kul att få lite fina Gbit grafer och lite Mpps. Men då det i regel inte gör någon skada utan endast förbättringsmöjligheter så gör det inte så mycket. Stora problemet är när man kan sänka så mycket på en sådan liten DDoS som 400Kpps, och tyvärr gäller det stora delen av Sverige. Att kunna sänka stora nyhetssidor, myndighetssidor eller andra viktig saker är inte stabilt, inte att man kan få ner allt bara rakt av för att man har tråkigt en dag. Att frontservrarna kanske inte klarade av 400Kpps är en sak, men skulle ändå inte vara ett problem. 400.000 /s får man anta att det är då SYN paket, man får då anta att det inte är 400.000 burkar i ett botnät som skickar 1 paket /s var utan några hundra eller några tusentals som skickar massa paket per sekund. Sätt upp en microflow policy som begränsar antal pps per IP skulle löst mycket som först steg att minska skadan. Och skulle säkerligen löst det. Detta skulle dock inte löst om det vara spoofade paket som skickar ifrån random IP varje paket. Detta är dock betydligt mindre troligt eftersom fåtal kan ha möjlighet till det. Sedan viktigaste delen är att det tar CPU som fan att generera massa små IP paket med rätt checksum, ännu mer att generera random IP på varje med. En Xeon server med en CPU brukar klara av generera 20.000-40.000 IP paket per sekund bara. Självklart går det optimera kod för att klara betydligt mer men då snackar vi ändå om ett ännu större steg. Sedan nästa steg skulle vara att begränsa skadan, kolla vilka världsdelar trafiken kommer ifrån. I regel så lär all trafik kommit utanför norden, man kunde då börjat med att blockera all utlänsk trafik och tillåtit Sverige och grannländerna där ändå största vanliga målgruppen kommer ifrån. Inte helt optimalt men betydligt bättre att 90% av besökarna når sidorna än 0% Och som sagt 400Kpps är ingen DDoS att hänga i granen. |
Till en intressant fråga Patrik, blir det inte rejält dyrt när ditt företag får en DDOS attack?
Jag menar det är ju en hel del trafik :) |
Citat:
Då får man ta det med kunden, vill kunden betala för trafiken eller ska jag droppa all hans trafik helt. Såg precis att en kund är under DDoS nu och har snart varit det i 2h, om man ens ska kalla det DDoS. 5 minute output rate 76467000 bits/sec, 148680 packets/sec, bara 148Kpps och ingen har märkt det. Bara råkade få se en ökning på en graf av en slump. |
| Alla tider är GMT +2. Klockan är nu 16:50. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson