aptsvet: (Default)
aptsvet ([personal profile] aptsvet) wrote2009-08-07 07:52 pm
  • Add Memory
  • Share This Entry
Entry tags:

Страшная сказка становится еще страшнее

Все уже, надо полагать, знают, что существует блоггер, чей ник нельзя постить в жж. Не запрещено, а просто физически нельзя. Но проблема гораздо шире, чем может показаться любителям отдельного ника. Только что я попытался поместить здесь ссылку на заметку Евгения Морозова в блоге журнала FP об этом самом блоггере. Однако не вышло. Я пыхтел, пока не увидел, что в адресе ссылки упоминается неупоминабельный ник.
Что мы имеем в сухом остатке? Мы имеем целый пласт информации, которая запрещена для нашего общения. Мы можем открывать рот сколько угодно, но слова оттуда не вырвутся. С чем вас и поздравляю.
Я не очень разбираюсь во всех этих делах, но подозреваю, что технические проблемы здесь не играют роли. Facebook и Twitter спокойно пропускают имя, на которое наложено проклятие. Кто его в таком случае наложил (spoiler: у меня есть свои догадки)? И будем ли мы что-нибудь по этому поводу предпринимать? Жду предложений и соображений.
Flat | Top-Level Comments Only

[identity profile] meshko.livejournal.com 2009-08-08 01:04 pm (UTC)(link)
1) Учитывая, что атака положила весь сервис, нет никаких оснований вставлять в атакующие запросы слово "сухуми", с тем же успехом можно постить комментарии в случайные журналы и с случайным содержанием.

2) Отсекать запросы по слову -- это совсем не дальние подступы. Это примерно как проверять, не пронесли ли в самолет бомбу через 10 минут после взлета.

Но вообще я не спорю, это, скорее всего, не цензура, а техническая мера, просто кривая, как по мне.

[identity profile] birdwatcher.livejournal.com 2009-08-08 01:14 pm (UTC)(link)
В принципе, да, можно было с тем же успехом постить в случайные журналы (правда, как тогда продекларировать цель атаки?) Но предпринято было не это, а именно атака на журнал сухуми. Соответственно, не все ли равно, что еще другое можно было сделать с тем же успехом?

Нет, отсекать запросы по слову можно чуть ли не в раутере. Это очень далеко от http серверов, скриптов, баз данных и компьютеров, на которых они запущены, и чему не хватило мощности; правда, и нетривиальное фильтрование там реализовать невозможно.

[identity profile] meshko.livejournal.com 2009-08-08 01:24 pm (UTC)(link)
Соответственно, не все ли равно, что еще другое можно было сделать с тем же успехом?

Ну как бы не всё равно. Потому что если это их (ЖЖ) единственная защита от ДДоС, то следующая атака их положит на неделю.

Нет, отсекать запросы по слову можно чуть ли не в раутере.

Не раутерское это дело в запросах копаться. Я таких не встречал (это, конечно, ни о чем не говорит, я не специалист).

[identity profile] birdwatcher.livejournal.com 2009-08-08 01:29 pm (UTC)(link)
Не единственная: можно еще удесятирить пропускную способность сетей и вычислительную мощность машин, а также держать наготове резервные датацентры. Гугл, например, за всю атаку не лежал ни минуты. Вы желаете за все это платить?

Следующая аналогичная атака их не положит, потому что, надеюсь, они выявят и блокируют аналогичное ключевое слово еще быстрее.

[identity profile] dimrub.livejournal.com 2009-08-09 09:43 am (UTC)(link)
А я встречал.

[identity profile] meshko.livejournal.com 2009-08-09 05:14 pm (UTC)(link)
Deep packet inspection на раутере? На каком?

[identity profile] dimrub.livejournal.com 2009-08-09 07:27 pm (UTC)(link)
Да даже и не на раутере, а на L3, и даже L2 свиче. Только не deep packet inspection, а pattern matching. Например, продукты фирмы Radware, где мне довелось работать.

[identity profile] meshko.livejournal.com 2009-08-10 02:52 am (UTC)(link)
Ну это не мейнстрим вроде как? Вряд ли у ЖЖ такое есть? А стандартные Киски и Жуниперы так, вроде, не могут?

Давайте уж тогда, выскажите мнение специалиста: это кошерная защита от ДДоС или нет?

[identity profile] dimrub.livejournal.com 2009-08-10 04:42 am (UTC)(link)
Вполне себе мейнстрим. Про киску не знаю, там чего только нет в разных продуктах, уверен, что и это тоже. Возможно, это происходит даже не в ЖЖ, а у их провайдера. А защита вполне кошерная, поскольку работает, и доказательство тому тот очевидный факт, что мы с вами можем вести этот диалог.

[identity profile] andris.livejournal.com 2009-08-08 07:49 pm (UTC)(link)
Нисколько не кривая. Многомиллионный сервис не должен страдать из–одного аккаунта, будь он хоть трижды праведником. Хотя обсуждаемый персонаж является обычным провокатором.

[identity profile] meshko.livejournal.com 2009-08-08 09:01 pm (UTC)(link)
Конечно не должен. Я про то, что защита должна быть от DDoS атаки на поражение всего сервися, а не только от атаки против одного юзера.

И не надо вешать политические ярлыки в технической ветке, а то потом сиди и думай -- отвечать на такой комментарий или нет.

[identity profile] andris.livejournal.com 2009-08-08 09:07 pm (UTC)(link)
LJ не идеален и как и любой другой сервис, подвержен неполадкам, равно как и может быть нейтрализован атакующими. Весь вопрос в соотношении сил, в применяемых методах, в квалификации противоборствующих сторон и в наличии заранее заготовленных механизмов защиты от подобных атак.

Это не политический ярлык, а моё искреннее мнение и боюсь что факт.

[identity profile] meshko.livejournal.com 2009-08-08 09:17 pm (UTC)(link)
Мне кажется, что атака, в которой каждый запрос подписан именем адресата -- скорее исключение, чем правило. Вот я и ругаюсь, что после 10 лет у ЖЖ заранее заготовлены механизмы борьбы с клоунами, а настоящих защит, следовательно, и нет.
Смотрите, на самом же деле DDoS атака удалась: если цель убить конкретный аккаунт, вот, пожалуйста, его нет. Denial of Service, натурально.

[identity profile] andris.livejournal.com 2009-08-08 10:20 pm (UTC)(link)
По поводу отсутствия и (или) неэффективности защит в&LJ см. здесь (http://object.livejournal.com/1251806.html?thread=21626846#t21626846), как раз в тему нашего диалога.
Flat | Top-Level Comments Only