DDoS

Nov. 3rd, 2011 09:21 pm
[identity profile] ruspics.livejournal.com posting in [community profile] useless_faq
Способны ли боты Яндекса и Гугла обвалить серверы друг друга?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2011-11-04 06:20 pm (UTC)
From: [identity profile] nidere.livejournal.com
Яндексу ресурсов не хватит)

Date: 2011-11-04 06:56 pm (UTC)
From: [identity profile] funkvader.livejournal.com
друг друга вряд ли, один из них сдастся первым. Не будем показывать пальцами)

Date: 2011-11-04 07:38 pm (UTC)
From: [identity profile] andreyka123.livejournal.com
Странный вопрос.
Разве у гугла и яндекса есть свои ботнеты, которые могут организовать Ddos?

Date: 2011-11-04 07:46 pm (UTC)
From: [identity profile] forcomments76.livejournal.com
Ботнет есть :-) Если все боты по сканированию страниц направить на один ресурс, то вполне можно завалить многие ресурсы.

Date: 2011-11-04 07:49 pm (UTC)
From: [identity profile] krknpk.livejournal.com
нет, масштаб не тот и структура запросов

Date: 2011-11-04 08:29 pm (UTC)
From: [identity profile] wordsmsdnua.livejournal.com
ну у гугла в интсрукции написано что если сайту плохо от наших ботов понизьте скорость сканирования, да и были истории когда сайты от активности поисковых ботов ложились ли чувствовали себя очень и очень не ок.

Date: 2011-11-04 09:08 pm (UTC)
From: [identity profile] krknpk.livejournal.com
тут много зависит от канала, провайдера, и собственно хостинга. Реально поисковые системы - кластерного типа, т.е. поток запросов распределяется между различными серверами, канал большой. Плюс в описываемом случае это не будет классический ДДОС - это будут реальные запросы (в классическом ДДОСе каждое новое соединение не завершается, сервер ждет его окончания - у него тратятся ресурсы)

Date: 2011-11-04 10:27 pm (UTC)
From: [identity profile] wordsmsdnua.livejournal.com
ддосы разные бывают, можно валить тупо огромным количеством соединений - забивается канал, можно слать запросы и цедить ответы по байту - ложится сервер, поисковики валят сайты количеством запросов, те не успевают отбрыкиваться. Друг друга им будет завалит тяжело)

Date: 2011-11-05 07:14 am (UTC)
From: [identity profile] krknpk.livejournal.com
ддосы бывают разные, но суть у всех одна - некорректная обработка соединения, поскольку поисковые системы корректно обрабатывают соединения, то нагрузка будет одинаковой на обоих концах, и завалить они не смогут друг друга

Date: 2011-11-05 09:19 am (UTC)
From: [identity profile] wordsmsdnua.livejournal.com
а корректные соединения че сервер вообще не нагружают чтоли? странные у вас понятия.

Завалить сервак можно и корректными соединениями, шлем 100500 запросов с кучи ip, либо канал засрется и нормальные пользователи не получат доступ, либо у сервака крыша поедет.

насколько я себе представляю, досы появились когда нашли уязвимость что сервак определенные запросы обрабатывает некоретно, сделал запрос сервак повис или начал тупить, сейчас это все уже давно поправили, и сейчас в основном просто валят забивая канал липовыми запросами.

Date: 2011-11-05 10:21 am (UTC)
From: [identity profile] krknpk.livejournal.com
Еще раз объясняю медленно:
1. Обычное соединение одинаково "нагружает" обоих абонентов. Т.е. и гугл и яндекс будут одинаково нагружены при атаке с помощью обычных соединений. Но тут надо помнить, что это не обычные серверы в нашем представлении, а распределенные системы, в которых поток запросов перераспределяется между различными реальными машинами, при этом осуществляется мониторинг, позволяющий корректировать поток запросов. Т.е. они изначально направлены на работу в таком нагруженном режиме.
2.Теперь про ддос. Суть его классического варианта скажем для TCP\IP(остальные, на самом деле, являются его модификациями) использование незавершенного протокола рукопожатия, когда вследствие использования подмененного IP адреса атакуемый сервер не получает подтверждение завершения протокола - запрос стоит в очереди - тратятся ресурсы. Это по сути и является той самой загрузкой.
Таким образом, обычными запросами можно завалить сервер не рассчитанный на такую загрузку, которыми поисковыми серверы не являются

Date: 2011-11-05 11:06 am (UTC)
From: [identity profile] wordsmsdnua.livejournal.com
" Т.е. и гугл и яндекс будут одинаково нагружены при атаке с помощью обычных соединений"

откуда эта предпосылка??? На мой взгляд она неверна.

Сайты гугла и яндекса ничем не отличаются от других сайтов, железо мощнее и каналы толще, тот же жж с аналогичной архитектурой вполне успешно досят, просто загаживая канал.

Date: 2011-11-05 12:36 pm (UTC)
From: [identity profile] krknpk.livejournal.com
Для установления обычного соединения на обоих компьютерах должны быть выделены определенные ресурсы: порт, память, ресурсы ЦП. Рассмотрим протокол рукопожатия TCP с которого происходит установление соединения.
Host A sends a TCP SYNchronize packet to Host B

Host B receives A's SYN

Host B sends a SYNchronize-ACKnowledgement

Host A receives B's SYN-ACK

Host A sends ACKnowledge

Host B receives ACK.
TCP socket connection is ESTABLISHED.

Тут можно видеть, что идет пересылка пакетов в обе стороны. При этом при ожидании пакета с каждой стороны процесс ставится в очередь (это как раз и есть принципиальный момент, который и "загаживает" канал - в очереди скапливается очень много процессов ждущих обработки). В случае ДДОС - атакующим компьютером используется подменный адрес поэтому SYN-ACK сервера никуда не доходит и он начинает очень долго (до момента зашитого в системе) ждать своего ACK - это и вызывает разрастание очереди.

Теперь рассмотрим наш случай гугла и яндекса. Поскольку тут идут обычные соединения, то если предположить, что один начинает виснуть,то автоматически начнет виснуть и второй (ему не будут доходить соответствующие пакеты).

Реально такое не возможно поскольку каналы такого типа постоянно контролируются и проблема решается ручками (просто могут обрубить канал).

Вот как-то так если подробно

Date: 2011-11-05 12:43 pm (UTC)
From: [identity profile] wordsmsdnua.livejournal.com
" Поскольку тут идут обычные соединения, то если предположить, что один начинает виснуть,то автоматически начнет виснуть и второй (ему не будут доходить соответствующие пакеты)."

Я с вами во всем согласен кроме мелочей - врядли у них одинаковый софт и одинаковое железо, первым виснуть начнет тот у кого слабее железо, меньше памяти и хуже настроена система.

Обычными соединениями тоже можно заддосить, когда канал забивается трафиком под завязку получается та ситуация что вы описали, серваку долго-долго идут ответы и чувствует он себя все хуже.

Date: 2011-11-05 01:28 pm (UTC)
From: [identity profile] krknpk.livejournal.com
Ну, вроде договорились :)

Date: 2011-11-04 09:49 pm (UTC)
From: [identity profile] xen0n.livejournal.com
Речь о намеренной атаке или случайно, просто сканируя друг-друга?

Если про случайный вариант - то нет. При условии, что оба корректно соблюдают все стандарты (а так оно вроде и есть). Робот поисковика забирает с любого сайта файл robots.txt в котором описано, как он должен обрабатывать сайт, что индексировать, что не индексировать.

http://yandex.ru/robots.txt например

Так что для поисковых систем (которых в мире дохренищща), яндекс - это небольшой сайт с несколькими страничками всего-то.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only