О вчерашней атаке на LiveJournal

103, 31 марта 2011 в 12 ч. 36 мин.

Вчера LiveJournal подвергся DDoS-атаке. Директор по развитию продуктов SUP Илья igrick Дронов рассказал, как все было.

igrick Как вчера атаковали ЖЖ
Итак, как вы, наверное, вчера заметили, ЖЖ был почти недоступен. Я говорю «почти», потому что пробиться-таки можно было, попытки с 10-й, например, и я даже получил за это время несколько комментариев к своим последним записям. Но сейчас не об этом, а о том, что это была за атака.
DDoS начался приблизительно в 16:00 по Москве (около 12:00 UTC), восстановить приемлемую работоспособность, т.е. справиться с проблемой, мы смогли примерно через 7 часов, а сама атака завершилась значительно позже, уже глубокой ночью по Москве;
Load Balancer (система, отвечающая за распределение входящей нагрузки) испытывала около 1.2 миллиона одновременных соединений при нашей средневзвешенной норме в 50 000;
ЖЖ отдавал 2 Гбита трафика в секунду при средневзвешенной норме в 400 Мбит;
ЖЖ обслуживал в десятки раз больше HTTP запросов чем обычно;
ЖЖ смог обслужить около 30% трафика, включающего и нормальный, и вредоносный, в пике, т.е. все остальное пришлось отбрасывать;
Атака не привела ни к отказу оборудования, ни к нарушению целостности системы, ни к потере какого-либо уже опубликованного контента.

За то время, пока мы боролись с атакой, нам удалось ее систематизировать, выделить вредоносный трафик из нормального, что в итоге дало нам возможность его частично отсечь и восстановить работоспособность системы. При этом, к сожалению, нам пришлось также временно отсечь индексацию ЖЖ различными поисковыми системами, что на данный момент приводит к задержкам в появлении свежих записей в результатах поиска, но данную проблему мы устраним в течение дня.

Также для интересующихся и разбирающихся выкладываю график нагрузки на один из Load Balancer'ов, из которого видно, что через 5 часов после борьбы с проблемой, нам пришлось сдать этот рубеж и бороться уже на втором уровне системы, что в конечном счете дало приемлемые результаты:

Еще из интересного — примерная география распределения атакующих, содержащая около 1 000 случайно выбранных атакующих систем, наложенная на Google Maps:

Карта

Скорее всего, подобные ситуации будут повторяться в будущем, но мы к ним теперь гораздо более подготовлены, и можно сказать, что система, которую я описывал в предыдущей записи, вчера прошла боевое крещение, и благодаря ей нам в конечном счете удалось устоять.

Спасибо за ваше терпение, поддержку и понимание.Дискуссия в журнале

Руководитель LiveJournal в России Светлана Иванникова: "Мы подтверждаем, что примерно в течение четырех часов LiveJournal работает некорректно, это связано с тем, что журналы нескольких пользователей ЖЖ подвергаются сильнейшей DDoS-атаке. Можем определенно сказать, что эта атака имеет несколько иную природу в отличие от тех, что были в Живом Журнале ранее – атака подобной мощности случается первый раз за историю ЖЖ. Мы не называем юзернеймы пользователей, подвергшихся атаке, но и не рекомендуем делать поспешные выводы о том, что это известные персоны. Администраторы LiveJournal работают над устранением проблемы".

Оригинальный пост <a href="http://www.livejournal.ru/themes/id/26625">http://www.livejournal.ru/themes/id/26625</a>Вчера LiveJournal подвергся DDoS-атаке. Директор по развитию продуктов SUP Илья <lj user="igrick" /> Дронов рассказал, как все было. 
 <div class="quote-post"><lj user="igrick" /> Как вчера атаковали ЖЖ
 Итак, как вы, наверное, вчера заметили, ЖЖ был почти недоступен. Я говорю «почти», потому что пробиться-таки можно было, попытки с 10-й, например, и я даже получил за это время несколько комментариев к своим последним записям. Но сейчас не об этом, а о том, что это была за атака.
 DDoS начался приблизительно в 16:00 по Москве (около 12:00 UTC), восстановить приемлемую работоспособность, т.е. справиться с проблемой, мы смогли примерно через 7 часов, а сама атака завершилась значительно позже, уже глубокой ночью по Москве;
 Load Balancer (система, отвечающая за распределение входящей нагрузки) испытывала около 1.2 миллиона одновременных соединений при нашей средневзвешенной норме в 50 000;
 ЖЖ отдавал 2 Гбита трафика в секунду при средневзвешенной норме в 400 Мбит;
 ЖЖ обслуживал в десятки раз больше HTTP запросов чем обычно;
 ЖЖ смог обслужить около 30% трафика, включающего и нормальный, и вредоносный, в пике, т.е. все остальное пришлось отбрасывать;
 Атака не привела ни к отказу оборудования, ни к нарушению целостности системы, ни к потере какого-либо уже опубликованного контента.
 
 За то время, пока мы боролись с атакой, нам удалось ее систематизировать, выделить вредоносный трафик из нормального, что в итоге дало нам возможность его частично отсечь и восстановить работоспособность системы. При этом, к сожалению, нам пришлось также временно отсечь индексацию ЖЖ различными поисковыми системами, что на данный момент приводит к задержкам в появлении свежих записей в результатах поиска, но данную проблему мы устраним в течение дня.
 
 Также для интересующихся и разбирающихся выкладываю график нагрузки на один из Load Balancer'ов, из которого видно, что через 5 часов после борьбы с проблемой, нам пришлось сдать этот рубеж и бороться уже на втором уровне системы, что в конечном счете дало приемлемые результаты:
 
 <a href="http://www.livejournal.ru/static/files/themes/26625_jj1.png" onclick="return zoomImage(this)"><img src="http://www.livejournal.ru/static/files/themes/quote/26625_jj1.png" alt="" /></a>
 
 Еще из интересного — примерная география распределения атакующих, содержащая около 1 000 случайно выбранных атакующих систем, наложенная на Google Maps:
 
 <a href="http://igrick.livejournal.com/500718.html" target="_blank">Карта</a>
 
 Скорее всего, подобные ситуации будут повторяться в будущем, но мы к ним теперь гораздо более подготовлены, и можно сказать, что система, которую я описывал в <a href="http://igrick.livejournal.com/499837.html" target="_blank">предыдущей записи</a>, вчера прошла боевое крещение, и благодаря ей нам в конечном счете удалось устоять.
 
 Спасибо за ваше терпение, поддержку и понимание.<a href="http://igrick.livejournal.com/500718.html" class="quote-link">Дискуссия в журнале</a></div>
 
 Руководитель LiveJournal в России Светлана Иванникова: "Мы подтверждаем, что примерно в течение четырех часов LiveJournal работает некорректно, это связано с тем, что журналы нескольких пользователей ЖЖ подвергаются сильнейшей DDoS-атаке. Можем определенно сказать, что эта атака имеет несколько иную природу в отличие от тех, что были в Живом Журнале ранее – атака подобной мощности случается первый раз за историю ЖЖ. Мы не называем юзернеймы пользователей, подвергшихся атаке, но и не рекомендуем делать поспешные выводы о том, что это известные персоны. Администраторы LiveJournal работают над устранением проблемы".

Комментарии (103)

31 марта 2011

Stars365: Сценический костюм Ники Минаж 22, в 23 ч. 39 мин.
В Петербурге задержали Немцова и Яшина 72, в 22 ч. 57 мин.
Провинциальная молодежь выбирает Сталина 345, в 22 ч. 30 мин.
Заметили НЛО, размер которого превышает Бельгию 93, в 22 ч. 00 мин.
Женский Живой Журнал в 21 ч. 01 мин.
Еда на LiveJournal.ru в 19 ч. 05 мин.
Россиянам разрешили летать в Египет 25, в 18 ч. 37 мин.
Диссидент Буковский потребовал арестовать Горбачева 77, в 18 ч. 20 мин.
10 советов, как украсить интерьер зеленым цветом 2, в 18 ч. 04 мин.
Энистон притворилась чужой женой 12, в 17 ч. 30 мин.
Gamer: Игрушечные джедаи из Star Wars III 1, в 17 ч. 03 мин.
Михаил Горбачев отпраздновал юбилей в Лондоне 92, в 16 ч. 29 мин.
Тина Канделаки: "Таких, как Гурченко, больше нет..." 31, в 15 ч. 29 мин.
Самоцензура в свободных СМИ 13, в 14 ч. 45 мин.
Как прожить без воды 36, в 14 ч. 19 мин.
Известные блоггеры вспоминают Людмилу Гурченко 6, в 14 ч. 04 мин.
Бабушка умерла от стыда, украв сырок 87, в 13 ч. 49 мин.
Обама приказал устранить Каддафи 54, в 13 ч. 27 мин.
Водителю на заметку: "Вредные" авто запретят в 2050 году 1, в 13 ч. 00 мин.
О вчерашней атаке на LiveJournal 103, в 12 ч. 36 мин.
Стареть как Колин Ферт 4, в 12 ч. 22 мин.
Никита Михалков о смерти Людмилы Гурченко 14, в 12 ч. 00 мин.
Технологии и ЖЖизнь: Сколково в Кремниевой долине 7, в 11 ч. 55 мин.
О мечте героини Людмилы Гурченко 10, в 11 ч. 33 мин.
Кем вдохновляются знаменитые дизайнеры? 4, в 08 ч. 11 мин.

LiveJournal.Ru

О вчерашней атаке на LiveJournal

Комментарии (103)

31 марта 2011

Интересные блоги

Проекты SUP Media:

пн	вт	ср	чт	пт	сб	вс
28	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31	1	2	3