[Lumax]

Att tidningssiterna dog lär berott på att servrarna inte hade en chans att klara av anstormningen. Inget konstigt alls.
Däremot kan man ju alltid spekulera i varför andra kunder hos Basefarm drabbades, om 400Kpps normalt sett är fullt hanterbart.

[Nerox]

Citat:

Ursprungligen postat av Lumax

Att tidningssiterna dog lär berott på att servrarna inte hade en chans att klara av anstormningen. Inget konstigt alls.
Däremot kan man ju alltid spekulera i varför andra kunder hos Basefarm drabbades, om 400Kpps normalt sett är fullt hanterbart.

Troligtvis är deras inställningar av webbservern felaktiga så att den använder för mycket minne och låser sig. Kan även vara att deras "DDos filter" otillräckliga eller obefintliga. Att man har ett stort bolag behöver ju inte betyda att man har kunskap, kan ju bara betyda att man är bra på att sälja sin produkt som kan vara mycket sämmre än snittet. Ta comhem som exempel

[WoxAnYv]

Alla de därade siterna som de kör på mittmedia (dvs. polopoly via Adeprimo) ligger i samma serverkluster och sänker du en site så sänker du alla.

Polopoly har iaf i folkmun inte varit direkt resurssnålt och på så vis är jag inte förvånad ifall den skulle sänkas lätt då det finns ju en begränsad mängd serverresurser.

[KristianE]

Som tur var kom GP.se tillbaka igen så jag kunde läsa om
snubben med bombbälte på spårvagnen..

Det är såklart alltid tråkigt med DDoS-attacker och detta blir
bara vanligare och vanligare. Det finns ju en hel del ekonom-
iska faktorer bakom gårdagens angrepp. Annonsörsföreningen
(eller vad de hette) uppskattade annonsbortfallet under går-
dagen till miljonbelopp. Det är ju trots allt inga små siter som
gick ner och de som gick ner var ju oftast ganska lokala där
lokala företag når sin kundgrupp på ett effektivt sätt.

Polisen lär få en del att jobba med i denna attack, men tyvärr
tror jag inte de kommer kunna hitta den ansvarige.

[patrikweb]

Men Sverige är ett jävla u-land att klara av DDoS, det beror väl i regel på att Sverige inte fått så mycket DDoS som övriga länder.

Även om jag får en hel del DDoS varje månad, men den beror i regel att jag har en stor kundgrupp som gillar att dra på sig en hel del. Och jag låter kunderna vara kvar och bara skrattar över alla misslyckade DDoS. Bara kul att få lite fina Gbit grafer och lite Mpps.

Men då det i regel inte gör någon skada utan endast förbättringsmöjligheter så gör det inte så mycket.

Stora problemet är när man kan sänka så mycket på en sådan liten DDoS som 400Kpps, och tyvärr gäller det stora delen av Sverige.

Att kunna sänka stora nyhetssidor, myndighetssidor eller andra viktig saker är inte stabilt, inte att man kan få ner allt bara rakt av för att man har tråkigt en dag.

Att frontservrarna kanske inte klarade av 400Kpps är en sak, men skulle ändå inte vara ett problem.

400.000 /s får man anta att det är då SYN paket, man får då anta att det inte är 400.000 burkar i ett botnät som skickar 1 paket /s var utan några hundra eller några tusentals som skickar massa paket per sekund.

Sätt upp en microflow policy som begränsar antal pps per IP skulle löst mycket som först steg att minska skadan. Och skulle säkerligen löst det.

Detta skulle dock inte löst om det vara spoofade paket som skickar ifrån random IP varje paket. Detta är dock betydligt mindre troligt eftersom fåtal kan ha möjlighet till det.

Sedan viktigaste delen är att det tar CPU som fan att generera massa små IP paket med rätt checksum, ännu mer att generera random IP på varje med.

En Xeon server med en CPU brukar klara av generera 20.000-40.000 IP paket per sekund bara. Självklart går det optimera kod för att klara betydligt mer men då snackar vi ändå om ett ännu större steg.

Sedan nästa steg skulle vara att begränsa skadan, kolla vilka världsdelar trafiken kommer ifrån. I regel så lär all trafik kommit utanför norden, man kunde då börjat med att blockera all utlänsk trafik och tillåtit Sverige och grannländerna där ändå största vanliga målgruppen kommer ifrån.

Inte helt optimalt men betydligt bättre att 90% av besökarna når sidorna än 0%

Och som sagt 400Kpps är ingen DDoS att hänga i granen.

[Jawn]

Till en intressant fråga Patrik, blir det inte rejält dyrt när ditt företag får en DDOS attack?

Jag menar det är ju en hel del trafik

[patrikweb]

Citat:

Ursprungligen postat av Jawn

Till en intressant fråga Patrik, blir det inte rejält dyrt när ditt företag får en DDOS attack?

Jag menar det är ju en hel del trafik

Nja, även om det kan handla om flera Gbit så handlar det ändå om totala tiden. Antal DDoS timmar konstant är ju inte så högt, men om det skulle vara flera dygn totalt så skulle det självklart påverka.

Då får man ta det med kunden, vill kunden betala för trafiken eller ska jag droppa all hans trafik helt.

Såg precis att en kund är under DDoS nu och har snart varit det i 2h, om man ens ska kalla det DDoS.
5 minute output rate 76467000 bits/sec, 148680 packets/sec, bara 148Kpps och ingen har märkt det. Bara råkade få se en ökning på en graf av en slump.