Цензура в российском интернете, или “Империя наносит ответный удар”. Открываем DDoS тайну.
«Замечательный вы человек, Евгений Валентинович! В смысле - всё замечаете!»
Спасибо всем, кто участвовал в опросе о DDoS-атаках на LiveJournal 25-28 июля и поделился информацией. Как это обычно бывает, история непростая и полна противоречий, но всё же попробуем сложить все пазлы в единую картину.
Знакомясь с материалами этой истории и пытаясь докопаться до истины, специалисты, владеющие информацией, в основном склоняются к одной из двух версий:
1. Директор по развитию продуктов ЗАО «СУП Фабрик» Илья Дронов igrick считает, что DDoS-атаки на LiveJournal 25-28 июля действительно были. В подтверждение своих слов он приводит данные мониторинга и заявление в МВД для проведения расследования. И нет повода ему в этом не верить.
2. Генеральный директор ЗАО «Лаборатория Касперского» Евгений Касперский e_kaspersky считает версию DDoS-атаки несостоятельной, ссылаясь на данные своего мониторинга:
«ЖЖ действительно досили. Атака велась с четверга 21-го июля, команда на стоп атаки была зафиксирована в 6 утра в понедельник 25-го июля (т.е. еще до того, как ЖЖ окончательно ушел в оффлайн). Атака велась двумя известными ботнетами, причём не сказать, что они уж очень «злые». Других заметных DDoS-атак на ресурсы livejournal нами зафиксировано не было. Посему, когда пресс-служба ЖЖ заявляет о новых атаках на ресурс - это, очень мягко выражаясь, просто лукавство»
«Я в данном случае намного больше верю в теорию кривых рук и непрофессионального руководства»
Как показал проведённый опрос, большинство пользователей ЖЖ поддерживают вторую версию, доверяя авторитету Касперского. На основании собранных фактов и мнений сегодня мы можем сделать первые выводы в этой загадочной истории.
Финальная разгадка DDoS-атак на ЖЖ в двух частях.
Часть первая - Несколько слов об "Империи" и немного конспирологии.
Основной вопрос любого расследования, ведущий к разгадке, - кому это было выгодно?
Почему версия о DDoS-атаках на ЖЖ так непопулярна у блогеров? Потому, что никто не может ответить на главный вопрос и назвать достаточно вескую причину для столь масштабной атаки на ЖЖ.
Каким бы странным это не показалось, но базовую идею, ведущую к построению непротиворечивой версии о DDoS-атаке на ЖЖ, высказал основной её противник - Евгений Касперский:
«Возможно, что мы видим не всё. Вернее - мы действительно не видим всё (да и не можем). Возможно, что атака была многослойная, мега-профессиональная. Всё возможно - но я в это НЕ верю. Я НЕ верю в то, что кому-то ЖЖ ненавистен настолько, что этот "кто-то" готов тратить значительные средства на разработку и реализацию "развесистой" и невидимой атаки. Ну не является ЖЖ такой силой (политической, оппозиционной, да какой еще). НЕ ВЕРЮ»
Я тоже не верю в то, что блокировка какого-либо поста или всего ЖЖ с помощью DDoS-атаки может иметь запланированный эффект. Тот же пост Ройзмана про Сагру (который некоторые блогеры называют одной из возможных причин), несмотря на то, что сразу после его публикации ЖЖ «упал», был растиражирован в Рунете и доступен на других ресурсах и в кэше поисковых систем. Поэтому, с точки зрения цензуры, дорогостоящая DDoS-атака на LiveJournal для пресечения доступа к какой-либо информации совершенно бессмысленна. Это в том случае, если целью является блокировка ресурса ЖЖ. А если цель была совсем другая?
В предыдущих своих постах ( здесь и здесь) я обратил ваше внимание на странную реакцию топовых блогеров на события в ЖЖ. Как только LiveJournal чуть-чуть «задышал», все они почти одновременно разместили в блогах ЖЖ свои координаты в других социальных сетях, где заранее завели себе аккаунты. Рекомендации по переходу, например в Google+, появились в блоге Антона Носика и в твиттере Алексея Навального ещё задолго до падения ЖЖ. В этом контексте событий DDoS-атаку на LiveJournal можно рассматривать лишь как повод для массового бегства блогеров из ЖЖ, но не как причину этого события. Благоприятная почва для перехода была подготовлена заранее… а падение ЖЖ было своеобразным «волшебным пенделем» для блогеров.
Небольшое отступление. Я тоже пробовал примериться к Google+, но мой мобильный телефон не прошел «фейс-контроль» при входе на сайт этой славной компании.
Сначала мне предложили «сменить одежду»
Затем предложили приехать «на другой машине»
А в конце - не смогли «поставить на учёт» и послали нахер
Поскольку я достаточно часто читаю ЖЖ с мобильного телефона, на этом мои эксперименты с Google+ закончились.
Но если цель DDoS-атак была не «завалить» LiveJournal, а спровоцировать переход наиболее активной части блогерского сообщества на только что организованный ресурс Google+, то кто мог организовать и, главное, технически реализовать подобную операцию?
Компания, способная реализовать столь масштабную и «невидимую» DDoS-атаку должна, во-первых, обладать достаточно мощными сетевыми ресурсами для проведения атаки, а во-вторых, что не менее важно, должна иметь возможность так провести и замаскировать саму атаку, чтобы остаться незамеченной и не вызвать подозрений у многочисленных «стражей Касперского» по всему миру. Для этого нужно как минимум иметь разветвлённую компьютерную сеть (или ботнет) в мировом масштабе и в совершенстве знать структуру сети интернет в части подключения серверов LiveJournal, чтобы оставаться «невидимой», т.е. компания должна быть мега-профессиональной в этой сфере. Я знаю только одну такую компанию… и вы её тоже знаете.
Перед завершением рассказа, пожалуй, нужно сделать небольшой перерыв - выпить чашечку кофе, взять «Лезвие Оккама» и, по примеру Микельанджело, отсечь в этой истории всё лишнее…
Часть вторая - А был ли DDoS? Открываем DDoS тайну.
Для начала, вопрос «на засыпку» - помните ли вы, что вы делали в то время, когда LiveJournal не подавал признаков жизни? Я не имею ввиду тех блогеров, которые в это время заводили себе аккаунты в Google+. Все остальные, что вы предпринимали в это время, откуда вы узнавали, что ЖЖ всё ещё «лежит»? Наверное пытались законнектиться? А если удавалось - что-нибудь писали, просто для проверки, работает или нет? ( тыц)
А теперь давайте вспомним хронологию событий:
С четверга 21-го июля на сервера LiveJournal двумя ботнетами велась DDoS-атака, которая закончилась в 6 утра в понедельник 25-го июля. Затем, 25-го июля произошла фактическая остановка работы сервиса вследствие перегрузки каналов провайдеров Qwest и Verizon, принятая технической службой компании СУП сначала за неполадки в работе оборудования провайдеров, а затем, за продолжающуюся DDoS-атаку на сервисы LiveJournal, которую категорически опровергает Евгений Касперский. Что же происходило в этот момент на самом деле?
На мой взгляд произошла довольно простая вещь - пользователи ЖЖ, в начале рабочей недели, 25-го июля (после окончания DDoS-атаки 21-25 июля, блокировавшей часть журналов), разом бросились писать посты и комментарии, коих накопилось у них великое множество, и, сами того не желая, насмерть «заDDoSили» сервера LiveJournal… Ведь с точки зрения серверов, неважно кто посылает на них запросы - ботнет или живые люди, главное, чтобы запросов было гораздо больше, чем сможет «переварить» оборудование. А дальше ситуация вышла из под контроля - многократно возросшая нагрузка от пользователей, «проверяющих» работу ЖЖ, длительное время держалась на уровне, не позволяющем серверам «подняться», поскольку достаточного для таких случаев запаса мощности ни оборудование LiveJournal, ни каналы провайдеров Qwest и Verizon просто не имеют…
В этой непростой ситуации техническая служба компании СУП приняла единственно правильное решение - запустили DDoS Mitigation Service, принудительно уменьшив тем самым нагрузку на серверы LiveJournal, чтобы они смогли наконец нормально работать. Большие системы вообще очень тяжело поднимаются после аварий, связанных с перегрузкой, если их принудительно не «разгрузить», но пользователи ЖЖ очень долго не давали этого сделать… а специалисты СУПа терзались в сомнениях - DDoS ли это?
Даже после того, как ЖЖ формально заработал, довольно долгое время сервис выдавал ошибки 408 (Request Time-out), 500 (Internal Server Error) и 503 (Service Temporarily Unavailable), связанные с перегрузкой оборудования, каналов и работой системы защиты DDoS Mitigation Service, что приводило к невозможности загрузки и редактирования длинных постов и картинок. Многие не понимали, что происходит, и делали многочисленные повторные попытки, снова и снова… Например, когда 29-го июля я постил опрос по проблемам ЖЖ, я раз 20 пытался добавить к нему картинку, но мне так и не удалось этого сделать по причине ошибки 500. А некоторые пользователи ещё и «тестировали» сервис на максимальную длину записи, которую можно запостить ( тыц, тыц, тыц), дополнительно загружая и без того чуть живые серверы LiveJournal…
Заключение.
Ну вот и всё - ситуация прояснилась и пазл сложился, а конспирология в очередной раз показала свою несостоятельность :) А вы как думаете?