kernel.org страдает от DDOS

некий вендор

Имя, сестра! Ядро должно знать своих героев.

Ответочка от российских госконтор?

Никто не знает. По ссылке Рябцев просит с ним связаться, если есть какая-то инфа. Скорее всего, какие-то китайские говно-IoT девайсы. В логах у них только такое:

x.x.x.x - - [10/Nov/2024:00:02:37 +0000] «GET / HTTP/1.1» 301 162 «-» «okhttp/4.9.0»

2 X512:

Вряд ли. Для полноценного DDoS 700 запросов в секунду маловато выходит. Это именно что кто-то первый попавшийся сайт в прошивку для тестов сунул.

А что, по бырику забанить на фарволе okhttp UA нельзя?

Можно, но это малость агрессивно, т.к. okhttp это либа http-клиента для android, коей пользуется сонм приложений. Да и будет ли толк? Маленький запрос, маленький ответ с 301 против сплошной проверки по телу пакетов

Более 8 с половиной лет назад на одном сервере (40 vCPU, 160 GiB) 550 XMPP-подключений/логинов в секунду, 2 миллиона пользователей, суммарно 3500 XMPP пакетов в секунду были рабочей нагрузкой.

Сегодня

700 [HTTP GET запросов] в секунду

DDOS

:)

Там суть в том что число постоянно растет. Это сейчас 700 в секунду(в среднем) и 12 млн. уникальных IP

Более 8 с половиной лет назад на одном сервере (40 vCPU, 160 GiB) 550 XMPP-подключений/логинов в секунду, 2 миллиона пользователей, суммарно 3500 XMPP пакетов в секунду были рабочей нагрузкой.

Так тут это сверху нормальных соединений. И это на статический сайт. Загрузки у них через CDN идут, ясен хер. Типа, я не удивлюсь, если главная kernel.org живёт на виртуалке с гигом памяти и двумя ядрами.

растет

Но пока не известно насколько быстро.

главная kernel.org

Пожалуй, вот тебе и обратная сторона славы. Это был долгий, очень долгий путь. Как раз после объявления готовности RT. Символично.

Пожалуй, вот тебе и обратная сторона славы.

Да нет, просто кто-то долбоклюй. Несколько лет назад таким же образом кто-то решил проверять в своих девайсах доступность интернета, скачивая картинку с цветочком с википедии. В итоге, эта картинка составила 20% всего их трафика.

Значит, надо было бы разместить рекламный баннер.

И что, всем этим приложением так надо пингать kernel?

Ну а нехрен было российских разработчиков исключать.

Тоже мне проблема, забанить fail2ban-ом на месяц по «okhttp» useragent. Через неделю глянуть в новостях у кого массово интернет отвалился.

Там буквально написано, что этот спам на сервер идёт месяцами уже.

Это называется хайлоад, когда всё делается так, чтобы любой лоад был максимально хай. А то стыдно перед поцанами.

Ирония не ускользает от тебя. Шутка тут в том, что пост по ссылке написан русским чуваком, который заведует инфраструктурой kernel.org.

Интересно, есть ли он на ЛОРе?

Неужели пресловутые русские тролли?

Они самые. И вполне может быть, что сам участвует.

Никогда не было и вот опять.

а у меня работает

Да нет, просто кто-то долбоклюй. Несколько лет назад таким же образом кто-то решил проверять в своих девайсах доступность интернета

Картинка - это, конечно жесть. Но как вообще проверять доступность интернета?

Тебя (в смысле софтину или устройство) волновать не должно, доступен интернет или недоступен.

Тебе он для чего нужен? К своим серверам подключаться? Вот их доступность и проверяй.

Прямо сейчас открыл. Все нормально грузится.

И вчера, когда мне понадобилось собрать последнюю стабильную версию, сайт работал нормально

Да нет, просто кто-то долбоклюй. Несколько лет назад таким же образом кто-то решил проверять в своих девайсах доступность интернета

Картинка - это, конечно жесть. Но как вообще проверять доступность интернета?

А нахера это делать? Ну то есть, зачем?

Ну надо жи. Можно еще проверять сколько свободно места на диске записывая на него до упора.

okhttp это же какая-то жаболиба модная для андроида.
Наверное кто-то дочитал «Программирование для андроид за 21 день» и понеслось.

okhttp это либа http-клиента для android

а что им делать на kernel.org?

Но как вообще проверять доступность интернета?

bool connected = false;
SOCKET sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
sockaddr_in sockAddr;
sockAddr.sin_family = AF_INET;
sockAddr.sin_addr.s_addr = inet_addr("1.2.3.4");
sockAddr.sin_port = htons(80);

if (connect(sock, (SOCKADDR *) &sockAddr, sizeof (sockAddr)) != SOCKET_ERROR)
{
	connected = true;
}

closesocket(sock);

в этом случае на удаленном хосте в юзерспейс вообще ничего не шлется.

в этом случае на удаленном хосте в юзерспейс вообще ничего не шлется.

Почему?

в этом случае на удаленном хосте в юзерспейс вообще ничего не шлется.

accept() сработает. Это не сильно лучше чем вариант с HTTP, которым kernel.org задолбали.

ну да, да, я про то, что их можно заблокировать нафиг.

А вообще - это может быть какой-то китайский VPN. Потому что kernel.org - как раз такой сайт, который никто не додумается заблокировать.

Ссылка на заведующего инфраструктурой LF

а, это тот самый, который горячее всех оправдывал баны по паспорту и т.п.

Нафиг, пусть страдает.

«Ok, lots of Russian trolls out and about.» (C)

Можно, но это малость агрессивно

Зато можно будет выяснить имя вендора по отзвукам воплей в интернете.

inet_addr(«1.2.3.4»);

Ничего не понимаю. Это должен быть реальный IP где-то в интернете?

Эта ситуация хорошо показывает приоритеты Linux Foundation. Миллионы сливают на поддержку ЛГБТ, а сервак от 700 RPS загибается.

Но как вообще проверять доступность интернета?

ну дык ping google.com

Я всегда так делаю :)

для проверки интернета слать HTTP запрос на kernel.org

кек ... нет, этот ROFL KEK

ping google.com

а если у тебя сломан твой резолвер?

а если у тебя сломан твой резолвер?

Значит сети нет, и надо разбираться почему. Но это всё про локалхост, конечно.

Значит сети нет,

конечно, нет, не значит

конечно, нет, не значит

Форточку открой. Интернета на локалхосте нет (видосоки не грузятся, лор не открывается). Надо разбираться.

Форточку открой. Интернета на локалхосте нет (видосоки не грузятся, лор не открывается). Надо разбираться.

Ты не поверишь, но куча софта не пользуется системным ресолвером и работают с DNS сами. Телеграм, хром, firefox, например.

Ты больной? Причём здесь интернет на локалхосте, если демон резолвера лежит. Интернет - ЕСТЬ, а вот резолвера - нет. Твоя проверка некорректна.

DNS не имеет отношения к связности ip сетей. Хочешь проверять связность ip сетей - проверяй связность, исключи из процесса работу резолвера. По ip пингуй.

А чтобы исключить отвал конкретного ip, типа 8.8.8.8, используй в методе проверки 3 ip из разных сетей. Типа 1.1.1.1, 8.8.8.8 и 77.88.8.8

Как вариант, использовать ip шлюза провайдера. Но это проверка проверит только доступность сети провайдера.