Появились кое-какие подробности об атаках на ЖЖ и «Новую газету» от Александра Гостева из «Лаборатории Касперского» (вчера на «Эхе Москвы»).
Всей полнотой информации мы, конечно же, не обладаем. Мы видим только небольшую часть, как сейчас выясняется, этой атаки. [...] Из той информации, которую предоставляла администрация Живого Журнала, сложить дважды два несложно и понять, что вот один из источников данной атаки. Но в целом надо признать, что ботнет участвует в атаке не один. Сколько их, сказать затрудняемся, но ясно, что тот ботнет, за которым наблюдали мы, во вчерашней атаке на Живой Журнал не участвовал, а атака была. Это говорит о том, что организаторы этой атаки обратились сразу к нескольким преступным группировкам, очевидно, англоязычным, и сделали им одновременный заказ. Зачем делать одновременный заказ нескольких ботнетов, в принципе, объяснимо. Тогда самая техническая реализация атаки выглядит по-другому, каждый из ботнетов использует разные боты, которые посылают разный вид запросов, и отсечь их гораздо сложнее.
[...]
они говорят о том, что число одновременных запросов к их серверам на момент атаки составляло миллион, (неразб.), притом, что сервера были рассчитаны на работу с 50 тысячами одновременно запросов. Они столкнулись с атакой, в 20 раз превосходящей их текущие технические мощности. [...] Вот эта цифра, миллион одновременных соединений на сервер, она может дать некоторые представления о размере ботнетов, которые принимали участие в этой атаке. (неразб.), преступники, которые создали этот бот, они клонируют его, говоря о том, что он создает сто одновременных соединений в момент атаки. Соответственно, если мы имеем число в миллион, то можно предположить, что ботнет состоит примерно из 10 тысяч машин.
Отмечу, что лично я пока склоняюсь к версии о том, что DDoS играл/играет лишь второстепенную роль в проблемах ЖЖ. Нельзя также не заметить, что Гостев во многом полагается на информацию, предоставляемую «Супом», а если там э-э... приукрашивают действительность, соответственно и его выводы неверны.
