DDoS глазами Forbes.ua — ненаучная фантастика

На сайте Forbes.ua опубликовали колонку «Анонимного хакера», объясняющую, что такое DDoS и сколько он стоит. Чтиво полезное, если вы хотите убедиться в актуальности персонажей Ильфа и Петрова — волны в некоторых редакциях до сих перекатываются по коридорам и падают стремительным домкратом, и Forbes.ua не стал исключением. Сознательно ли издание нашло рядового читателя Хабра, когда-то что-то слышавшего о таких видах атак, или просто не смогли разобраться — бог весть. Скорее всего, просто торопились продолжить информационную линию после своего заявления о DDoS-атаке на сайт.

Но получилось смешно. Например, вот это:

На любом сайте легко выявить уязвимые места, которые выполняются дольше всего и требуют больше всего ресурсов. При такой атаке большинство сайтов можно «положить», используя всего один компьютер со стандартным подключением к интернету (100 Мб/с). 

Ну да, а первая D (Distributed) в названии только для красоты. На самом деле, как выяснил Forbes.ua, большинство распределенных атак проводятся с одного компьютера.

Нет, вообще такие атаки бывают. Существует целый набор средств, которые способны серией запросов с одного компьютера положить гораздо более мощный сервер. Но, как бы это сказать — только в том случае, если у сервера админ с квалификацией автора статьи. Потому что не предусмотреть на публичном ресурсе лимит по количество соединений с одного IP может только такой «специалист».

Дочитав до «истории» с хакерской войной, я уже все понял :).

Иногда, чтобы два конкурента поругались друг с другом и начали войну, одного из них «ддосят». Таким образом хакеры сталкивают их лбами и получают новый источник дохода. Год назад была история, когда две конкурирующие компании в Европе «ддосили» друг друга. Причем владельцами обоих были русские. В результате они так заигрались, что положили канал, соединяющий Европу и Россию. А так как часть серверов «Яндекса» находится в Голландии, то поисковик просто лег. 

Ну что тут сказать? Ведь мы специально и очень детально объясняли, как произошел тот сбой. Никаких хакеров и близко не было. Проблема, видимо, в том, что для понимания наших объяснений нужна все же какая-то квалификация, а зачем огород городить.

В действительности ситуация с DDoS атаками выглядит совершенно иначе. Подавляющее большинство атак, которые встречаются в Сети,  — это распределенные атаки на веб-ресурс путем использования ботнетов. То есть берется сетка различной величины — несколько тысяч машин, несколько десятков тысяч машин, — состоящая из завирусованных компьютеров, на которых клиентская часть вируса умеет получать с управляющего сервера параметры для атаки (например, URL документа, который надо запросить, и дополнительные, типа User-agent). Получив параметры, клиент начинает запрашивать документ (или список документов). Выглядит это как одновременный приход на сайт десятков тысяч посетителей, делающих в минут несколько десятков хитов каждый.

Если у вас не свой сервер, единственное, что вы можете сделать — пожаловаться в поддержку хостинга. На уровне сайта с таким бороться невозможно. Хотя можно постараться облегчить нагрузку — включить кэширование, заменить динамические страницы статическими, — но это поможет только, если атакуют совсем пионеры.

Если у вас сервер свой, то задача отражения атаки решаема, нужен только хороший админ (всего-то, да?). Логика борьбы очень проста — в основной силе такой атаки кроется ее слабость. В чем сила DDoS? В массовости. Обратная сторона этой массовости — атакующий не может настроить 20 тысяч ботов так, чтобы они выглядели как 20 тысяч живых людей. То есть в принципе-то может, но это сделает атаку безумно дорогой. Поэтому задача отражения атаки выглядит как выявление ботовой активности — что за документы запрашивают боты, каким User-agent представляются и так далее, — и дальше блокировка всех IP, с которых идут подобные запросы. То есть берете логи веб-сайта, изучаете их глазами, видите странные запросы, проверяете, насколько их много, и блокируете IP на файрволле. Возможно, забаните живых людей, это не страшно. 

Всякий раз, когда я слышу рассказы про жуткий DDoS и хакеров в УАнете, меня не покидает ощущение, что этими рассказами администраторы сайтов прикрывают свою некомпетентность. Мой форум атакуют примерно раза два в месяц и зачастую пользователи этого даже не замечают. 

Еще совет — если у вас свой сервер, попросите хостинг заблокировать входящий ICMP и UDP трафик. Если они вам, конечно, не нужны для функционирования сервера. Эти протоколы легко используются для флуда, а бороться с ним на уровне сервера действительно тяжело. К тому же весь дошедший до сервера трафик может тарифицироваться, а это ваши деньги.

И не читайте за обедом советских газет. А если других нет? Вот никакие и не читайте. 

Советы летающим — критика чужого опыта

На Хабре попалась занятная статья «Правила полета из личных наблюдений». Честно скажу, ряд пунктов мне подсказал вполне разумные гипотезы, чем руководствуются люди, поведению которых я сильно удивлялся в самолетах и аэропортах. Попробую прокомментировать по пунктам:

Не нужно торопиться попасть в аэропорт за несколько часов до рейса. 

Пожалуй, самый глупый совет. Особенно удивительно, что он исходит от человека, который, по его словам, совершает десяток поездок в год авиатранспортом. Если уж вы летаете так нечасто, то гораздо комфортнее спокойно, без лишней спешки, приехать заблаговременно в аэропорт, разобраться, что откуда улетает, да хоть по магазинам пройтись. Нет, я так не делаю. Я приезжаю в аэропорт за час до отлета, очень быстро прохожу все процедуры и все равно нахожу время, чтобы открыть ноутбук. Только не забывайте, что я зачастую летаю более десятка раз в месяц, разглядывать в давно изученных Шереметьево, Домодедово, Борисполе и Схипхоле мне просто нечего, приезжать заранее просто может не быть времени и переживать из-за случайного опоздания я не буду — отменить один билет и взять другой это только вопрос денег. К слову, опоздал на самолет я один раз — год назад из-за пробок в Киеве. Купил билет на рейс через час и улетел спокойно. 

Регистрируйтесь на рейс он-лайн. 

Да, регистрируйтесь. Только не увлекайтесь и распечатывайте посадочный талон. В постсоветских аэропортах служба авиабезопасности считает необходимым поставить печать на посадочном и, если вы решите показать баркод на экране смартфона, не сочтет это своей проблемой, а отправить вас решать вашу.

Получайте посадочный талон через терминал.

Уважаемый автор, вы бы определились. К слову, терминалов (или, как их тут называют, киосков саморегистрации) в аэропортах СНГ гораздо меньше, чем авиакомпаний, умеющих зарегистрировать вас через сайт. Но штука полезная — вот KLM практически всех в Схипхоле отправляет на такие киоски. Но там и self baggage dropoff доведен до совершенства — вы сами взвешиваете багаж, клеите бирку и отправляете чемодан в неизвестность.

Но киоски полезны. Если вы смотрите на свой чемодан и понимаете, что он немного тяжелее 8 кг, допустимых для одного предмета ручной клади, хотя по размерам вполне соответствует — шагайте к киоскам и регистрируйтесь самостоятельно. После этого вас практически никто не сможет заставить сдать немного тяжелый чемодан в багаж (ну, кроме авиабезопасности, если у вас там жидкости и прочие недопустимые предметы). А если пойдете к живому человеку на стойке, велика вероятность, что вам начнут рассказывать, как тяжел вас чемодан.

Не идите первыми на посадку

Я когда-то советовал нечто похожее. Только я советовал не торопиться прибегать первым, поскольку все равно стоять придется, а тут рекомендуется просто не торопиться. Странный совет. Если посадка через рукав, то особых очередей в самом самолете обычно не возникает. А если вас везут в автобусе, то разницы особой нет. 

К слову, на больших самолетах, летающих через океан, первыми пускают в самолет постоянных клиентов и пассажиров бизнес-класса. Знаете почему? Чтобы можно было спокойно пройти в пустой самолет, не торопясь разложить вещи, достать то, что хотите использовать в полете, и спокойно сидеть, пока остальные взмыленно бегают :).

Выбирайте место с краю.

Мне больше нравится у окна. Люблю смотреть в окно. С краю неудобно лететь, если летите в экономе. И неудобно, если незнакомы с остальными пассажирами — так или иначе, кому-то из них понадобится выйти и вам их придется выпускать. 

Про чтение и питие напитков комментировать не буду. KLM в бортовом журнале регулярно публикует советы по небольшой гимнастике и советуют пить много воды. Более того, в бизнес-классе на трансатлантических перелетах они раздают бутылочки с водой. В общем, жидкость нужна, поскольку воздух гораздо более сухой и это способствует обезвоживанию организма.

После посадки не стоит торопиться.

Да вообще торопиться не стоит. Меня всегда забавляют люди, которые сразу после парковки самолета начинают продвигаться  к выходу. Я даже пару раз пропускал таких — видно же, что человеку надо, раз он готов из самолета выйти, не дожидаясь трапа. 

Суровая реальность заключается в том, что стандартный Боинг-737 или Airbus-320 разгружается в два автобуса. Если вы в первой половине самолета, то успеете в первый. Совершенно неважно, успеете ли вы сразу после посадки протиснуться к выходу или встанете с кресла в 10-м ряду после открытия дверей. В терминал вы в любом случае попадете одновременно. 

Бежать к контролю тоже не стоит. Пограничники не заинтересованы устраивать очередь и обычно держат достаточное количество кабинок, чтобы обработать один или два самолета за 20-30 минут. Бывают рекорды — я в Одессе пару раз садился в такси через 7 минут после приземления с погранконтролем, а в новом терминале D в Борисполе ушло 12 минут на выход из терминала. Но даже без везения не имеет смысла обгонять своих же попутчиков — издергаетесь точно, а выигрыш будет в паре минут.

Покупка билета заранее — не всегда экономия.

Если автору сказать, что сайты нельзя выдавать с Апача, поскольку я знаю несколько сайтов, которые на Апаче падают, он напишет еще одну статью на Хабре о ламерах и маркетологах. Но сам при этом выдает советы, базирующиеся на какой-то коллекции мифов и собственных измышлений. 

Стоимость билета — это функция от большого количества параметров. Авиакомпании заслуживают немалой дозы адского пламени за саму идею своих тарифов, но как-то эта система работает не первое десятилетие и какие-то функции выполняет. Поэтому лучше определиться с планами на ближайшие полгода и отправиться планировать поездки и покупать билеты. Сами билеты могут оказаться значительно дешевле, если отказаться от права на возврат билетов, если взять их на жесткие даты и так далее. Откладывать покупку билетов на последние пару недель легкомысленно — легко окажется, что каких-то билетов просто нет вообще, да и гостиницы заранее стоит бронировать. 

А в общем, дам только один дополнительный совет. Если вы не летаете раз в неделю или чаще, то отдайте предпочтение комфорту — берите билеты заранее, приезжайте в аэропорт пораньше, проходите все контроли не торопясь, не стремитесь выбежать из самолета первым, — и путешествие доставит вам гораздо больше удовольствия. Другое дело, если вы летаете чаще — ну, тогда вы и сами все знаете и нашли свой режим путешествий или уже свихнулись :).

Умер Дэйв Брубек

Ему был 91 год.

Brubeck’s heart stopped while he was en route to the hospital with his eldest son for a regular checkup, Gloyd said. His son became alarmed about his father and called 911, Gloyd said.

«(Paramedics) came out and said, ‘We just can’t keep the heart going,’ » Gloyd told CNN.

Он так легендарен, что я даже не задумывался, жив ли он до сих пор.