«Живой журнал» подвергся атаке хакеров
Итак, как вы, наверное, вчера заметили, ЖЖ был почти недоступен.
- DDoS начался приблизительно в 16:00 по Москве (около 12:00 UTC), восстановить приемлемую работоспособность, т.е. справиться с проблемой, смогли примерно через 7 часов, а сама атака завершилась значительно позже, уже глубокой ночью по Москве;
- Load Balancer (система, отвечающая за распределение входящей нагрузки) испытывала около 1.2 миллиона одновременных соединений при нашей средневзвешенной норме в 50 000;
- ЖЖ отдавал 2 Гбита трафика в секунду при средневзвешенной норме в 400 Мбит;
- ЖЖ обслуживал в десятки раз больше HTTP запросов чем обычно;
- ЖЖ смог обслужить около 30% трафика, включающего и нормальный, и вредоносный, в пике, т.е. все остальное пришлось отбрасывать;
- Атака не привела ни к отказу оборудования, ни к нарушению целостности системы, ни к потере какого-либо уже опубликованного контента.
Также для интересующихся график нагрузки на один из Load Balancer'ов:
Еще из интересного — примерная география распределения атакующих, содержащая около 1 000 случайно выбранных атакующих систем, наложенная на Google Maps: