Технически интересное про интернет Беларуси 9-11 августа.

Ой, Рома ещё ведёт свой блог! Приятно.

Представьте что в интернете остались только ваши серверы. Если вы говорите «ну и ладно, ничего не сломалось» - то всё сделано правильно. Если нет - то самое время пересмотреть что же вы сделали не так

представил, нет интернета :) про dns вы не слышали, про dht nodes видимо тоже

погружаться дальше не вижу смысла

А у нас на заводе периодически такое происходит. Ну, мы на винде, через прокси. Просто в свойствах внутренние URLы в исключения прокси занесли, и работали. А те, у кого не работало, по ip-адресам работали.

Вероятнее всего, трафик пытались завернуть под DPI, но не расчитали и сервер сделал пук.

Представьте что в интернете остались только ваши серверы.

Это к стати не самый плохой вариант, сделать на всю страну одну большую локалку, а связь с внешним миром по VPN через специальный шлюз.

К стати в случае демократии я бы сделал тоже самое, только вместо vpn использовал tor или аналогичное настроив мост между локалкой и заграницей.

Если вы говорите «ну и ладно, ничего не сломалось» - то всё сделано правильно.

+1 Жаль тут нельзя лайки ставить.

+1 Жаль тут нельзя лайки ставить.

Не факт, это вопрос обоюдоострый, потому как не ясно что это, то ли отражение агрессии, то ли заодно с отражением агрессии установка в стойло.

Вероятнее всего, трафик пытались завернуть под DPI, но не расчитали и сервер сделал пук.

Меня смущают свидетельства, что таки были DDOS извне. Причем вроде как от более-менее простых владельцев сайтов.

Так что чего там творилось достаточно интересно.

сделать на всю страну одну большую локалку, а связь с внешним миром по VPN через специальный шлюз.

Можно еще отключать интернет летом на две недели на техобслуживание. Тебе должно понравиться.

Можно еще отключать интернет летом на две недели на техобслуживание.

Но локальная сеть то останется.

Я тут вот что подумал, надо сделать префикс для интернет адреса, типа если без префикса или с префиксом int: то идёт в один указанный в браузере шлюз или прокси/сокет, если указан префикс net_name: то идёт в шлюз, прокси или сокет для соответствующего номера.

Это имхо должно всем понравится, в том числе и любителям криптосетей(префикс net_p2p,net_tor и прочие)

Меня смущают свидетельства, что таки были DDOS извне. Причем вроде как от более-менее простых владельцев сайтов.

Что мешало внешним атакующим подменить ip адрес отправителя, особенно если это спецслужба какой либо страны?

http://fdd5-25.net

Это что ещё за клон Сахаритту?

интернет через ssh туннель (socks proxy) работал как ни в чем не бывало на полной скорости, через digitalocean тот же. OpenVPN, поднятый на том же хосте, не работал. Так что вряд ли это DDoS, скорее всего у китайцев какой-нибудь фильтр купили за миллиарды денег.

Автор говорит про мощнейшую DDOS-атаку на его скромный портал с американских и канадских IP

Русские хакеры!

Вопрос не про «отражение агрессии» а устойчивость вашего сервиса к отказам чужих сервисов. Умерли все вместе gmail, mail.ru, яндекс, outlook.com. Если ваша переписка со всеми кто не живет на этих сервисах не прекратилась - то ваша почта построена правильно. Сдохли клаудфлэр и амазоновский CDN - если у вас как и у 100500 хомячков бустрап и жквери сломались - ваш сайт хлам. Если ваш DNS при этом сломался (всё что ниже вашего домена) - ваш DNS хлам. И т.д.

с американских и канадских IP

IP подделать как делать нефиг

«IP подделать» это вы максимум SYN’ами закидуаете (SYN-flood), этим даже древний линукс не положить. А чтобы полноценно положить сервис надо закидывать запросами с реальных IP

И что помешает локальному провайдеру под контролем правительства зароутить эти айпи на локальные машины?

Я думаю это было реально дет 20 назад.

Лет 10 назад можно было

Сейчас - глупо и бесполезно если у вас что то сложнее поквзывалки локальных данных

В принципе ничто не мешает скопировать всё используемое себе на сервер и таким образом сделать его автономным.

Микрофон берет всем известный Töma Gavrichenkov CTO компании Qrator, бизнес которой как раз в DDoS:

Атаки могут идти, это не говорит об иностранном вмешательстве. Организация атак указанного масштаба на сегодня доступна даже школьникам.

Заявленных цифр самих по себе недостаточно для наблюдавшегося эффекта на национальный сегмент.

С другой стороны, какие-то действия по вводу в строй фильтрующего оборудования (например, Arbor) могли привести к таковым эффектам.

https://t.me/zatelecom/15460

Я может ошибаюсь, но суть SYN флуда заключается в том чтобы заставить сервер слать бесполезные ACK пакеты. А на графике четко видно что никаких ACK там нет.
Значит эти SYN массово дропались.
Если еще чуть более внимательно посмотреть на график, то видно что пропорционально SYN есть нагрузка по RST пакетам. То есть, изначально поставили в разрыв какую-то хуйню, генерируюшую RST. Но она не справилась и начала массово дропать SYN пакеты.
А еще более внимательный взгляд найдет почти полное отсутствие ICMP трафика.

То есть, белорусы в попытке отмазаться, наконец, предоставили официальные пруфы именно Government Shutdown.
Неплохо)

https://t.me/EvilWirelessMan/1294

Ты бы лучше в другое русло направил дискасс - создание локальных копий нужных сервисов и ресурсов. Попробую начать.

1. Plex Media Server. Дает видео, музыку, фото, аудиокниги на уровне коммерческих сервисов. Подробности расписывать не буду, не про это щас. Упоротые разрабы в последних версиях прописали зависимости от своего сервера, поэтому без интернета даже локальные серверы не работают (кроме неофициальных клиентов). Сейчас можно уже заменить с оговорками на Jellyfin.

2. Копия Stackoverflow. Может заменить гугл для типичных технических вопросов. У них есть дамп базы, надо только развернуть. У меня пока руки не дошли попробовать.

3. Книги. Даже не так… АЦЦКАЯ библиотека всего и вся. Копить ее получается, но с каталогиацией полный швах.

4. Seafile. Локальное облако, включая синхронизацию. В отличие от пыхоподелок, в локалочке работает реактивно и в остальном приятно.

Автор говорит про мощнейшую DDOS-атаку на его скромный портал с американских и канадских IP.

Ну да, кто-то случайно нашел сайт автора и вот их уже стало двое - ддос.

А что насчет трафика идущего через РФ? Или РФ тоже ддосила?

Ты бы лучше в другое русло направил дискасс - создание локальных копий нужных сервисов и ресурсов. Попробую начать.

Не нужно, когда взлетит спутниковый интернет от Макска и это перестанет быть проблемой.

Россия и некоторые другие диктаторские режимы уже испытали противоспутниковое оружие.
Россия вообще спутник-инспектор испытала.

Спутниковый интернет могут заглушить помехами. Пользоваться будет невозможно.

А токс работал? Геоип ни о чём не говорит, лучше бы автор выложил их владельцев. Злоумышленник просто купил стрессеры, либо арендовал сервера, причём не очень умно - из Азии пинг меньше.

Россия и некоторые другие диктаторские режимы уже испытали противоспутниковое оружие.

Сбивать спутники? Открытая война в современном мире - самоубийство.

Спутниковый интернет могут заглушить помехами. Пользоваться будет невозможно.

Не реально, нужно очень много глушилок.

«Свобода слова»™

Открытая война в современном мире - самоубийство

Это не война. Это восстановление законной справедливости.
Маску никто лицензию на провайдерскую в России не давал. Следовательно либо его спутники будут выключать передатчики при пролёте над Россией, либо эти передатчики будут отключены силой.
Если же он получит лицензию — то опять вынужден будет размещать сервера в России и спутники будут пролетая над Россией передавать интернет через российские сервера и трансграничные каналы ростелекома.

9-11 августа.

Вижу американский след...

Можно свой хлам разуплотнить, отстальной вышибет осколками.

Следовательно либо его спутники будут выключать передатчики при пролёте над Россией, либо эти передатчики будут отключены силой.

Умом то я понимаю что Маск строит глобальный ФАР локатор для ПРО США, который за одно будет использован для передачи интернета, но с другой стороны вспоминая все эти пакеты Яровой и СОРМ мне так хочется чтобы всех этих инспекоров посбивали ракетами, а Маск к стати это может, по ТУ его ракеты должны стартовать каждые три дня, доставляя на орбиту от 5 до 20 тон груза, так что ещё не известно кто кого заинспекторит в ближнем космосе.

Ну а если передатчики будут работать то есть надежда что наше правительство порычит и порычит на своих граждан и успокоится, тем более что терминалы Маска не для бедных по меркам России людей, мне например платить столько будет жабно, по крайней мере если правительство гайки не начнёт закручивать.

А кто это будет оплачивать?

Кроме того я говорю о сервисах а не файлах

Ну сервисы менять конечно неприятно, но за два три меясяца имхо всё устаканят, тем более что в норме почта должна быть на фирменном домене.

Но так я писал о всяких вебскриптах которые подгружаются со всяких доменов и cdn.

В принципе CDN не нужны, если правительство проплатит гуглу и мозиле внедрение ipfs, то весь cdn можно будет свести к компу под лежанкой вохра.

При наличии бесконечных денег все можно!

Как раз много денег здесь не нужно, ipfs и так впилили в хром, но только не отправили в апстрим.

По крайней мере плугин для работы с ipfs у хрома имеется, правда можно ли его использовать для ресурсов на вебстраницах я не знаю, но думаю что скорее всего да.

Что невозможно - поднять свой почтовый сервер, DNS, скачать в дерево документов все JS, CSS и иконки и настроить ферму серверов где вся эта хрень будет жить?

Да легко и непринужденно, многие большие компании имеют внутренние сети (часто защищенные файрволом класса «воздушный зазор») которые по такому принципу и живут. Слышали например о домене верхнего уровня mps, rzd и zs, корневых серверах с адресами из 10.0.0.0/8?

Ну вот они есть.

«Простому коммерсанту» конечно до такого ада опускаться нет нужды, но держать «у себя» сервисы, данные, контент, почту и DNS не составляет труда - а это уже фактически самодостаточная инфраструктура у которой нет внешних зависимостей кроме линий связи.

Спольски давно уже сказал - то что является основой вашего сервиса должно находиться под вашим управлением. Его нельзя аутсорсить, арендовать и т.д. поскольку для ваших «поставщиков услуг» вы один из стада которое они доят и стригут, и если у вас всё пропадет им пофиг, они ни за что не отвечают. Ну максимум в размере абонентской платы. И когда они зафакапят то будут работать «по процессу» - пусть даже вашему бизнесу придет звизда

У тебя подход уровня покупки супер-защищенной бронированной двери для того чтобы вставить её в бумажную стену.

Твой сервис приносит тебе деньги только если с ним кто-то взаимодействует. Если все клиенты умерли, а твой сервис остался жив и разговаривает сам с собой - это не ты молодец создал неубиваемую систему, а ты дурак потому что угрохал кучу ресурсов в создание никому не нужной системы и перегоняешь пустое в порожнее.

Соответственно надежность твоей системы должна быть ограничена сверху надежностью твоих связей и зависимостей, ну и стоимостью простоя.

Я говорил не о локальных файлах а о сервисах

Виза/ МК, AWS, Github Rewters, Bloomberg

«Того самого хваленого, шифрованного, безопасного и защищенного XML барахла коим набиты современные гаджеты.» - можно дальше не читать. Если человек занимает позицию «сношайте меня во все щели, только чтобы я мог и дальше ходить», то это его право.

Я отделяю мнение автора какой-либо статьи от приводимых им фактов. Да и мнения могут быть разными по разным вопросам.

от приводимых им фактов

Не факты, а утверждения. Про DDoS не более чем его заявление. Логов не выложено, ситуацию никто не пытался разобрать. А в свете негативного отношения к современному вебу, вообще не понятно стоит ли доверять ему.

Что касается ситуации, когда в стране с авторитарной властью, эта власть может попортить интернет, это для вас какое-то откровение? Или его статью можно воспринимать как «используйте http, он не отключаем»? Ну... Есть Северная Корея, там даже свой интранет есть. Помогает вам http добраться туда?

Мораль. Старый интернет создавался чтобы хоть как-то пережить ядерную бомбёжку. Современный - чтобы на ваши данные не наложили лапу в процессе транзита. (К сожалению проблема наложения лапы получателем ещё не решена.) Выбирайте что вам близко. Можете гордиться, что в случае внезапного закручивания гаек вы лишние сутки будете онлайн. Главное, чтобы до этого момента на карточке не остался ровный ноль...

Надежностью связей - да. Но не надежностью других сервисов.

Вы решили «сэкономить» и сделали домен на яндексе. Яндекс сломался - вы остались без почты. Вы встроили в приложение фейсбук SDK. Фейсбук поломался - ваше приложение «легло». Вы тянете статику с «официалього CDN проекта» который живет в азуре (например). Азур поломался - CDN лёг - ваш сервис лёг.

Виза/ МК, AWS, Github

Альтернативные инструменты платежа, мультиклауд или приватное облако, локальные зеркала репозиториев.

я не знаю, где он хостится и кому он нахрен сдался, но те, кто хостился у больших белорусских хостеров никакого DDOS не увидели

радиочастотный диапазон над территорией государства принадлежит государству. это спутниковый интернет Маска – помехи, за которые любая страна по международному праву имеет право сбивать спутники. привет.

А сколько стоит сбить спутник, да ещё маленький? У Маска их будет несколько тысяч. Хватит ли денег сбивать? Можно, конечно, выстрелить большим количеством шариков, но так можно и массу других, в том числе и российских спутников повредить. То есть сбивать спутники Маска, скорее всего, слишком дорого.