И что нам скажут сетевые гуру?

[taki_net]

Итак, жужжалка не принимает постинги, в которых встречаются слова ру_нбп, ру_политикс и дпни (написанные латиницей).

Как я понимаю, это означает одно из двух:

1. На стороне сервера (ЖЖ) стоит фильтр контента.

2. На стороне провайдера стоит фильтр контента.

Априори п. 2 кажется наиболее вероятным, но - увы. Глюки, кажется, происходят и у тех, чей провайдет находится вне зоны "суверенной демократии".

Ну и?

Comments

[pani-ganka.livejournal.com]

dpnі - только с украинской і... С латинской не постится.

[kitya.livejournal.com]

не слишком убедительно, но не потому, что вы думаете %) я просто опустил некие подробности чтобы показать общую идею - отерзать надо на как можно более низком уровне чтобы остановить DDoS отаку. Чем более большое количество процессорного времени потрачено чтобы дойти до уровня остановки, тем хуже, верно?

теперь подумайте как это все работает на самом деле. На самом деле пока до сервера дойдет проходит много этапов. Сначала посылаются TCP-IP пакеты, устанавливаются соединения. это уровень ядра ОС сервера. Потом от туда веб сервер получает строки. Потом вебсервер разбирает строки где какая часть запроса где заголовок, где адрес страницы и т.д., потом передает их программе живого журнала на сервере и та уже разбирает где какие параметры и т.д.

самое низкий уровень в данном случае ровно один - отрезать на уровне ядра. скомпилировать линукс на сервере так, что как только в тсп пакете получается искомое слово - бросать тсп соединение. еще до всякого участия сервера и т.д. согласитесь, что это неизмеримо быстрее чем ждать пока дойдет до разбора заголовков на веб сервере. а тут игра вся на скорость. чем медленее обработка - тем больше шанса что хакеры с дос аатакой успеют посылать быстрее.

[kitya.livejournal.com]

я не проверял сам, но это тоже вполне логично. семаджик не постит посты через веб форму на том же сервере что отдает. он соединиятеся по специальному протоколу с отдельным сервером только расчитанным на прием постов и т.д. так как этот отдельный сервер отдачей данных не занимается, то и атаковать его не надо, а раз его не атаковали, то и защиты на нем ставить не потребовалось.

[vitus_wagner]

Американская корпорация sixapart (как и любая американская корпорация) ничуть не лучше "суверенной демократии" AKA "Газпром". Первая поправка к конституции на деятельность корпорации не распространяется. Она только про правительство.

Соответственно, если корпорация видит, что ввести цензуру на определенные слова ей в разы дешевле чем поддерживать работоспособность сервиса (99% юзеров которого таких словей не знают) в отсутствие запрета, она введет цензуру. Вспомните, что говорил Маркс про 300% прибыли. А тут даже не о прибыли речь, а о выборе между "удержаться на рынке" и "гордо пойти ко дну, зная что мы до конца отстаивали (чужую) свободу слова".

[xgrbml.livejournal.com]

Ответ

[mike67.livejournal.com]

С некоторых серверов вообще без проблем

[kot-ivanovich.livejournal.com]

OK. Я не специалист в конфигурировании Linux, но подозреваю что для такого дела не надо ядро перекомпилировать – скорее всего, достаточно пару строк в какой-нибудь текстовой файл вставить. Но Вы мне сами дали эту фору: допустим я, программист Кот Иванович, сажусь писать такую функцию на чистом C, чтобы её потом вставить в TCP stack. С чего я начинаю? Прошу дать мне образцы пакетов, которыми бомбят сайт. Чем они выделяются? Наличием "ru_nbp" в определённом контексте. Моя задача – написать функцию которая работает быстро. Быстро – значит я должен сконцентрироваться на том, как мне выйти из этой функции как можно быстрее на типичном пакете, т.е. всё-таки пакете нормального пользователя, а не от DDoS манкурта. Скорее всего, ответ будет состоять в том, что я могу смотреть только на довольно узкий диапазон смещений от начала пакета, или что я могу прекращать поиск если встретил, скажем, строчку "HTML".

И потом, всё равно остается вопрос, почему просто не гасить пакеты с определённых IP. И что это за дебилы такие, которые этот DDoS организовали – их пакеты отрезают на уровне ядра уже две недели, а они всё не допрут вставить "%72%75%5F%6E%62%70" вместо "ru_nbp"?

Повторюсь, у меня нет ни малейшей идеи, что там на самом деле происходит. Но ответы 6Appart оставляют очень сильный привкус лапши на ушах.

[kitya.livejournal.com]

это более странно, но тоже не удивительно.

[kot-ivanovich.livejournal.com]

В каком смысле серверов? Сервером мы все тут пользуемся одним – тем, на котором уважаемый taki_net живёт... С некоторых подсетей?

[shcherbakoff.livejournal.com]

Нет, не пускает. Письмо отправляется, никаких сообщений об ошибках не
доходит, но комментарий не помещается :-(

[kitya.livejournal.com]

нет, потому что строчка HTML может быть вообще в другом пакете. запомнить что найдена строчка HTML и потом искать строчку ру_нбп это уже значительно больше действий чем тривиально убивать ру_нбп. и главное зачем извращаться? ру_нбп - это не "я" или "а" - такую строку нельзя написать случайно. если ее убить - никто не пострадает. чего же извращаться? сообщество то все равно засуспенжено, чего на него ссылки писать?

айпи они тоже гасят, не беспокойтесь. но если атака распределенная - то компов много. и возможно например они написали такой вирус как обычно, которые заражает обычные компы и они начинают бомбить тоже. так в теории число компов бомбящих постоянно увеличивается у хакеров (и поэтому гасить по айпи не эффективно), но допереть вставить %72%75%5F%6E%62%70 тоже уже не просто - вирус распростораняется как есть и хакерам не просто зайти постфактум на все зараженные компы и его поменять.

[vaysburd.livejournal.com]

переведите пожалуйста "дпни" и "семажик", с чем их едят?

[vaysburd.livejournal.com]

А нельзя ли вычислить, кто это делает и устроить ответную DDoS атаку?

[just-tom.livejournal.com]

Какой хороший разговор там получился. Как горох об стену.

[southwest]

чушь собачья: от ДДОС-атаки невозможно надежно защититься путем блокировки контента по маленькому списку ключевых слов

[repressii.livejournal.com]

В Калифорнии - распространяется и на корпорации,
если они предоставляют площадки, которые можно
использовать как публичный форум.

http://lj.rossia.org/users/tiphareth/723862.html

Такие дела
Миша

[kitya.livejournal.com]

можно, если блокируется на контент а пакеты. на самом низком уровне который возможно. что и происходит.

[kitya.livejournal.com]

в теории все можно. и это будет ответным преступлением. вам это надо %)

[top30b0t.livejournal.com]

Вы попали в top30 на яндексе самых обсуждаемых тем в блогосфере. Теперь копия вашего поста доступна в ленте по ссылке - link (http://topbot2.livejournal.com/1439191.html)
Почитать текст со всеми комментариями можно тут (http://deep-water.ru/?http://taki-net.livejournal.com/268236.html)
Это Ваш 3-й ТОПовый пост за последний год (http://deep-water.ru/top/). Посмотреть статистику автора можно тут (http://deep-water.ru/top/info.php?id=379)

[maroussia.livejournal.com]

ДПНИ - движение против нелегальной иммиграции.
Семаджик - программа-редактор для ЖЖ. Очень удобная.

Re: хрю хрю

[ninazino.livejournal.com]

Это не отменяет факта знания иностранных языков. Вежливый кот-полиглот :)

[polytheme.livejournal.com]

китя, ты гонишь. шаг конечного автомата занимает фиксированное количество тактов независимо от того, какой длины слово ты ищешь. поэтому вполне разумно было бы убедиться, что слово находится в header, слегка усложнив регулярное выражение. дополнительного процессорного времени это бы не отожрало.

[crux-.livejournal.com]

Можно.
Если они для защиты используют что-то опенсорсное - то это скорее всего mod_security.

[kitya.livejournal.com]

какое регулярное выражение??????? ни до каких регулярных выражений дело доходить не должно, не смешите мои тапочки

[danwinter.livejournal.com]

какой вы умный