V posledných dňoch ste pravdepodobne zaznamenali problémy s pripojením sa na server a to najme počas priebehu Dakarských etáp. Spočiatku boli problémy na našej strane, server nezvládal nápor, čo sme technicky poriešili.

Včera sme však počas etapy zaznamenali DDOS útok na server. Mohlo ísť o náhodu avšak dnes 20 min pred štartom špeciálu sa útok zopakoval. Náhoda to nebude.

S poľutovaním musím oznámiť že aj dnes 20 min pred štartom špeciálu sme zaznamenali ďalší útok na server, ešte masovejší ako včera. Je úplne zrejmé že útočník ma jediný cieľ a to prekaziť naše LIVE sledovanie dakarských etáp, kde sa venujem hlavne a hlavne našim borcom. Proti tomuto typu útokov, ktorý zahlcuje server z mnohých počítačov je extrémne náročne sa brániť, ale urobíme pre to maximum.

Počas útoku môže byť server pomalý, alebo dokonca úplne nedostupný. Ďakujem za pochopenie.

Deluxa sa pýtal:
inak by ma zaujimalo co za kar ten server zahlcuje je to dost neprijemne nejde ani stranka ani diskusia popripade cakam strasne dlho...ake su statistiky navstevnosti min. rok ked siel dakar a teraz na motoride.sk? Nie je to len tim ze strasne vela ludi si refresuje tu stranku v rovnakom case?

Aktuálne útok ustal. Bežne sterver spracováva naraz v jednom okamihu 20-30 požiadaviek, to je stav teraz. Keď je nával tak 50-80... to sa ešte dá.

Počas útoku je to 180 a viac, potom to proste už nestíha. Motoride beží na jednom prenajatom serveri s serverovni kdesi (tuším BA). Nieje za ním nejaká sieť počítačov.

Nejedná sa o bežnú návštevnosť alebo nával návštevníkov, požiadavky sú rôzne náhodne generované ako napríkla:

GET /MFYwVKADAgEAME0wSzBJMAkGBSsOAwIaBQAEFN%2BqEuMosQlBk%2BKfQo
GET /5/9/logo.png HTTP/1.1
GET /sha2-ha-server-g2.crl HTTP/1.1
GET /static/dragoncity/mobile/engine/version_1_1/assets/HD/0050
GET /lpconfig/cfg/c3.customerName=c3.CCTV&c3.platform=FL&c3.dve
GET /announce?info_hash=%B4%60%1F%B0%E0%7B%3F%2C%F3%F7nhQ%8F1%A
GET /dev.px.php?task=tc&siteid=62049&val=aHR0cDovL3guZ2Vhcmd0cy
GET /avatar/7aaf84171d5dbdb523d3dc0af97dd429?s=92 HTTP/1.1
GET /PublicSureServerSV.crl HTTP/1.1
GET /avatar/334c4a4c42fdb79d7ebc3e73b517e6f8?s=36&d=http%3A%2F%
GET /236x/9b/fb/d4/9bfbd4db9d972e5f7ce47885f449525b.jpg HTTP/1.

a podobne je ich samozrejme veľa, požiadavky prichádzajú z množstva počítačov (nedá sa zablokovať len jeden) a naraz.

najcastesie opakujuci sa zdroj / skupina zdrojov poziadavky ? ...

Rozdelil by som to na domace a zahranicne poziadavky, zombici budu skor mimo SK, v pripade poctu poziadaviek nad X (povedzme 80) by si obsluhoval len SK poziadavky a vsetkym mimo by si zobrazil len spravu ze kvoli DDoS musia pockat. Budu sice odpileni uzivatelia mimo SR (vratane mna), ale mal by si to poriesene. ak poziadavky klesnu zase pod Y (50), tak zase obsluhujes vsetky adresy.

Nie som odborník na túto tému, ale ak začneš riešiť reverse lookup pre jednotlivé requesty a zisťovať, či návštevník pochádza z SK, tak ti to zoberie viac potrebného času, ako jednoduchá odpoveď "stránka neexistuje". To je práve výhoda DDoS, že je viacmenej nemožné sa proti tomu chrániť, lebo nerozoznáš, či je request pravý alebo nie a keď to začneš riešiť, tak im v podstate hráš do kariet.

Napadlo ma jedine to, že tých zombíkov je zrejme neúrekom, ale možno by sa dalo spraviť to, že v prípade väčšieho loadu na server banovať na určitý čas tie IP, ktoré si vyžiadajú neplatný obsah. Akurát bude mať smolu ten, čo zle napíše názov podstránky (väčšina kliká a vyberá z history, tak je to v pohode) a otázne je, či podobné logovanie a kontrolovanie zas nepridá väčší load, ako klasické 404. Záleží asi na tom, aký počet falošných requestov ide z jednej IP.
Samozrejme neviem ani to, aké má admin možnosti, či má pre seba kompletný server a prístup k fw alebo len prenajatú službu.

Nechcem tu vypisovať čo a ako sa rieši, každopádne server je prenajatý a rieši to aj provider.

Zaves Dakar fyzicky na iny server ktory bude len streamovat-informovat a koniec.
Blbe requesty posles hned cez filter do hajan.

Upravené 1 krát. Naposledy upravil BKSL (13.01.2015 16:58)

Nemám v "kešeni" servrov koľko len chceš... Neboj poriešime, dnes od cca 13h kľud zbraní a šlape šecko krásne...

Pri otvorení motoride mi stále lezie nejaký ruský vírus.

mne každé ráno od 7 do 8 má snahu načítať stránku,no nejako sa mu nedarí.Lepšie povedané nevydržím pri tom sedieť a pozerať sa na to...A keď načíta,tak nie kompletnú...

jj s tym nacitanim rano mavam problem aj ja.

egres2 - mne doma ESET a ani v robote McAfee nic nechyta. Co mas za antivir ?

Takze to rano nerobi iba mne

Re: egres2: na MR určite žiadny ruský a ani iný vírus nie je Čo máte v PC to je vaša vec

V poslednom čase som dosť robil na optimalizácii DB, problém robili skúromné správy, to som menil. Po zmene to ide oveľa svižnejšie všetko...

Awia

Ranna "spicka" na linke poskytovatela W hostingu alebo housingu alebo cloudu...

Ja som do IT úplný laik , ale kankoXF asi trafil klinec po hlavičke a pre Awia len toľko , že ak si si v rámci zlacňovania prevádzky zvolil server , ktorý si robí poriadok na diskoch v , pre motoride najexponovanejšom čase (ľudia prídu do práce , pustia si internet , chcú si pozrieť čo je na motoride nového a odstávka je od 7,15 do cca 7,55 ) , tak môžeš čakať , že sa ti ľudia na tvoju stránku čoskoro úplne vyse.ú !
Aj tak je už polomŕtva .

Re: brazel: A to si prosím ťa kde vypártal také blbosti??? "odstávka je od 7,15 do cca 7,55" a podobné perly???

Medzi nami súkromné správy som optimalizoval v noci...

A čo nečítaš tie príspevky pred mojimi ? Píšu , že medzi 7,00 a 8,00 , tak ja tvrdím , že od 7,15 a dajú sa sa podľa toho nastavovať hodinky .

Tiež som si dlho myslel , že mám niečo so sčotom , keď sa to stávalo denne , tak mi nejako došlo , že porucha nie je v mojom prijímači .
Aj mimo tých ranných zážitkov je MR jedna z najpomalšie sa načítavajúch stránok , prečo , tak do toho sa ja nerozumiem .

awia:
Otvorím ráno desiatky stránok a nič. Ako náhle otvorím MR tak mi antivírus chytá nejakú infikovanú ruskú stránku.

Technicky IT problem moze byt skor so "šerovanou" konektivitou "k serveru".... Spicku moze mat poskytovatel housingu, XY dotazov v case od 7,00 do 8,00 a je problem s pingom na motoride.sk.

egres2: Mne robi problem MAC a Safari pri pisani tohoto prispevku aj pri SK klavesnici. Antivirus nic nechyta. Moze detekovat ciastocne skodlivy kod alebo nieco co sa nan podoba. Velmi prisne nastavena bezpecnostna politika.

awia: aka je zdielana konektivita pred serverom kde bezi motoride.sk?

egreš je to bigicq.ru....ssl......ale to presa nemôže byť pravda lebo to hovoríš práve ty.
Mimochodom egrešovi ju asi nechytá jedinému. Mne tiež, a len pri MR

Rano ked dlho nacitava forum. Stranku sice nacita ale vypise :
-------------------------------------------------------------
Ľutujem nenašiel som žiadne príspevky...


Ako keby nenacitalo databazu fora.

jojkoz-presne takýmto štýlom sa to prejavuje aj u mňa...

mne to rano tiez robi ale ked sa pripojim na nemecku vpn tak mi potom nacita stranku ihned.

asi je server v nemecku. Je tam totiz lacnejsia elektrina - ficovi to treba buchat o tu dutu hlavu.

ake nemecko?
www.tcpiputils.com/browse/ip-address/81.89.56.68

VNET v petrzalke mal stabilny connect. Neviem preco tam je Ivanka...

V dnesnej dobe v datovych centrach problem s pripojenim nebyva. Skor to bude tym utokom s velkym mnozstvom poziadavok na server.

egres: aky antivirus pouzivas?

Len ci to nie je presne opacne, ze zo zavirenych pocitacov lezu tie nezmyselne poziadavky

neobjednavajte si rusku viagru- spomaluje vam motoride!!!

janoval:
Eset Endpiont

eset endpoint sice nemam, ale skusil so si stiahnut smart security (trial) a zatial ziadna hlaska, ani v statistike nic nevidno.
Skusim este rano medzi 7 a 8, ked nejde nacitat stranku.

Dnes mi to nič nechytilo.

mozno to naslo len v nejakej reklame, ktore sa tu menia. Niektore sem hadze aj google "nahodne".

Ja neviem. Ja som počítačový analfabet.

to prazdne forum som si aj ja par krat rano vsimol, problem s DB?

Ja mam na safari tiez obcas prazdne forum, zriedka uplne nenacita MR

Neviem, či boli urobené nejaké zmeny, ale dnes beží MR u mňa ako blesk. Nepamätám, žeby v našom modelárskom vlákne plnom fotiek stránku niekedy načítalo tak rýchlo

No mne dnes rano okolo 7:30 zase hadzalo

-------------------------------------------------------------
Ľutujem nenašiel som žiadne príspevky...

Aj mne to vypisovalo. bol som na mobile...