И что нам скажут сетевые гуру?
Итак, жужжалка не принимает постинги, в которых встречаются слова ру_нбп, ру_политикс и дпни (написанные латиницей).
Как я понимаю, это означает одно из двух:
1. На стороне сервера (ЖЖ) стоит фильтр контента.
2. На стороне провайдера стоит фильтр контента.
Априори п. 2 кажется наиболее вероятным, но - увы. Глюки, кажется, происходят и у тех, чей провайдет находится вне зоны "суверенной демократии".
Ну и?
Как я понимаю, это означает одно из двух:
1. На стороне сервера (ЖЖ) стоит фильтр контента.
2. На стороне провайдера стоит фильтр контента.
Априори п. 2 кажется наиболее вероятным, но - увы. Глюки, кажется, происходят и у тех, чей провайдет находится вне зоны "суверенной демократии".
Ну и?
no subject
теперь подумайте как это все работает на самом деле. На самом деле пока до сервера дойдет проходит много этапов. Сначала посылаются TCP-IP пакеты, устанавливаются соединения. это уровень ядра ОС сервера. Потом от туда веб сервер получает строки. Потом вебсервер разбирает строки где какая часть запроса где заголовок, где адрес страницы и т.д., потом передает их программе живого журнала на сервере и та уже разбирает где какие параметры и т.д.
самое низкий уровень в данном случае ровно один - отрезать на уровне ядра. скомпилировать линукс на сервере так, что как только в тсп пакете получается искомое слово - бросать тсп соединение. еще до всякого участия сервера и т.д. согласитесь, что это неизмеримо быстрее чем ждать пока дойдет до разбора заголовков на веб сервере. а тут игра вся на скорость. чем медленее обработка - тем больше шанса что хакеры с дос аатакой успеют посылать быстрее.
no subject
И потом, всё равно остается вопрос, почему просто не гасить пакеты с определённых IP. И что это за дебилы такие, которые этот DDoS организовали – их пакеты уже две недели, а они всё не допрут вставить "%72%75%5F%6E%62%70" вместо "ru_nbp"?
Повторюсь, у меня нет ни малейшей идеи, что там на самом деле происходит. Но ответы 6Appart оставляют очень сильный привкус лапши на ушах.
no subject
айпи они тоже гасят, не беспокойтесь. но если атака распределенная - то компов много. и возможно например они написали такой вирус как обычно, которые заражает обычные компы и они начинают бомбить тоже. так в теории число компов бомбящих постоянно увеличивается у хакеров (и поэтому гасить по айпи не эффективно), но допереть вставить %72%75%5F%6E%62%70 тоже уже не просто - вирус распростораняется как есть и хакерам не просто зайти постфактум на все зараженные компы и его поменять.
no subject
no subject
no subject
no subject
no subject
no subject
no subject
no subject
как
GET http://community.livejournal.com/dpni/profile/index.html
так и
GET /profile/index.html
...
Server: http://dpni.livejournal.com/
при этом между GET и Server могут находиться еще строчки и в теории они могут прийти в разных пакетах даже (или не могут, тут не уверен?) и кроме того это надо будет отличить от пост параметра Server=xyz например.
в таком деле нет - разницы заменим 5 шагов автомата на 15 - ничего не изменится. да если бы это делалось на законных пользователей ничего бы не изменилось. но когда их бомбят запросами - каждое состояние автомата на счету %)
no subject
ладно, наверное это бесплодная дискуссия, наверняка они проблему решали в условиях цейтнота, и не задумывались о тонкостях.
no subject