taki_net: (Default)
taki_net ([personal profile] taki_net) wrote2007-06-04 01:41 am
  • Add Memory
  • Share This Entry

И что нам скажут сетевые гуру?

Итак, жужжалка не принимает постинги, в которых встречаются слова ру_нбп, ру_политикс и дпни (написанные латиницей).

Как я понимаю, это означает одно из двух:

1. На стороне сервера (ЖЖ) стоит фильтр контента.

2. На стороне провайдера стоит фильтр контента.

Априори п. 2 кажется наиболее вероятным, но - увы. Глюки, кажется, происходят и у тех, чей провайдет находится вне зоны "суверенной демократии".

Ну и?
Flat | Top-Level Comments Only

[identity profile] kot-ivanovich.livejournal.com 2007-06-04 06:06 am (UTC)(link)
OK. Я не специалист в конфигурировании Linux, но подозреваю что для такого дела не надо ядро перекомпилировать – скорее всего, достаточно пару строк в какой-нибудь текстовой файл вставить. Но Вы мне сами дали эту фору: допустим я, программист Кот Иванович, сажусь писать такую функцию на чистом C, чтобы её потом вставить в TCP stack. С чего я начинаю? Прошу дать мне образцы пакетов, которыми бомбят сайт. Чем они выделяются? Наличием "ru_nbp" в определённом контексте. Моя задача – написать функцию которая работает быстро. Быстро – значит я должен сконцентрироваться на том, как мне выйти из этой функции как можно быстрее на типичном пакете, т.е. всё-таки пакете нормального пользователя, а не от DDoS манкурта. Скорее всего, ответ будет состоять в том, что я могу смотреть только на довольно узкий диапазон смещений от начала пакета, или что я могу прекращать поиск если встретил, скажем, строчку "HTML".

И потом, всё равно остается вопрос, почему просто не гасить пакеты с определённых IP. И что это за дебилы такие, которые этот DDoS организовали – их пакеты отрезают на уровне ядра уже две недели, а они всё не допрут вставить "%72%75%5F%6E%62%70" вместо "ru_nbp"?

Повторюсь, у меня нет ни малейшей идеи, что там на самом деле происходит. Но ответы 6Appart оставляют очень сильный привкус лапши на ушах.

[identity profile] kitya.livejournal.com 2007-06-04 06:32 am (UTC)(link)
нет, потому что строчка HTML может быть вообще в другом пакете. запомнить что найдена строчка HTML и потом искать строчку ру_нбп это уже значительно больше действий чем тривиально убивать ру_нбп. и главное зачем извращаться? ру_нбп - это не "я" или "а" - такую строку нельзя написать случайно. если ее убить - никто не пострадает. чего же извращаться? сообщество то все равно засуспенжено, чего на него ссылки писать?

айпи они тоже гасят, не беспокойтесь. но если атака распределенная - то компов много. и возможно например они написали такой вирус как обычно, которые заражает обычные компы и они начинают бомбить тоже. так в теории число компов бомбящих постоянно увеличивается у хакеров (и поэтому гасить по айпи не эффективно), но допереть вставить %72%75%5F%6E%62%70 тоже уже не просто - вирус распростораняется как есть и хакерам не просто зайти постфактум на все зараженные компы и его поменять.
Flat | Top-Level Comments Only