Обсуждение:Сервер linuxoid.in

Материал из Linux Wiki
Перейти к навигацииПерейти к поиску

Заметил, что отвалился stats.linuxoid.in, который часто рефрешу в течение дня. Домен не резолвился. Написал на support at hvosting.ua:

Переписка с саппортом hvosting.ua 24.01.2011:

Я
Subject: DNS
Date: Mon, 24 Jan 2011 20:49:32 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)

Доброе утро.

ДНС жить будет?

rain@acnote:~$ dig +trace jabberworld.info

; <<>> DiG 9.7.2-P3 <<>> +trace jabberworld.info
;; global options: +cmd
.                       218481  IN      NS      c.root-servers.net.
.                       218481  IN      NS      d.root-servers.net.
.                       218481  IN      NS      e.root-servers.net.
.                       218481  IN      NS      f.root-servers.net.
.                       218481  IN      NS      g.root-servers.net.
.                       218481  IN      NS      h.root-servers.net.
.                       218481  IN      NS      i.root-servers.net.
.                       218481  IN      NS      j.root-servers.net.
.                       218481  IN      NS      k.root-servers.net.
.                       218481  IN      NS      l.root-servers.net.
.                       218481  IN      NS      m.root-servers.net.
.                       218481  IN      NS      a.root-servers.net.
.                       218481  IN      NS      b.root-servers.net.
;; Received 512 bytes from 192.168.0.250#53(192.168.0.250) in 3 ms

info.                   172800  IN      NS      b0.info.afilias-nst.org.
info.                   172800  IN      NS      a0.info.afilias-nst.info.
info.                   172800  IN      NS      a2.info.afilias-nst.info.
info.                   172800  IN      NS      c0.info.afilias-nst.info.
info.                   172800  IN      NS      d0.info.afilias-nst.org.
info.                   172800  IN      NS      b2.info.afilias-nst.org.
;; Received 437 bytes from 192.203.230.10#53(e.root-servers.net) in 214 ms

jabberworld.info.       86400   IN      NS      ns1.bee.hvosting.ua.
jabberworld.info.       86400   IN      NS      ns2.bee.hvosting.ua.
;; Received 85 bytes from 199.254.31.1#53(a0.info.afilias-nst.info) in 52 ms

;; connection timed out; no servers could be reached
Subject: Re: DNS
Date: Mon, 24 Jan 2011 20:50:57 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
Здравствуйте!
будет, как ДДосить его перестанут...


Subject: Re: DNS
Date: Mon, 24 Jan 2011 21:08:14 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
кстати, ДДосят linuxoid.in
К этому времени начали отваливаться остальные домены, в том числе jabber
Subject: Re: DNS
Date: Mon, 24 Jan 2011 21:20:26 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Внезапно... Что интересно, на сервисах это никак не сказалось.
Subject: Re: DNS
Date: Mon, 24 Jan 2011 21:24:23 +0200
User-Agent: Thunderbird 2.0.0.24 (X11/20101027)
Я вас запевняю, ще й як сказалося!
Subject: Re: DNS
Date: Mon, 24 Jan 2011 21:30:54 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Я немного о другом - если бы кто-то хотел атаковать те полтора сервиса, что у меня крутятся на этом домене (да и зачем?) - то прежде всего атаковал бы сами сервисы (веб-сайт, например, или jabber-сервер), а не какой-то сторонний ДНС, верно?
/me как бы намекает, что на сам сервер нагрузки никакой.
Subject: Re: DNS
Date: Mon, 24 Jan 2011 21:36:52 +0200
User-Agent: Thunderbird 2.0.0.24 (X11/20101027)
Атака була не на ваш ДНС, а на всі наші сервери.
Subject: Re: DNS
Date: Mon, 24 Jan 2011 21:41:22 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Mon, 24 Jan 2011 21:36:52 +0200 Дмитро Пятківський <support at hvosting.ua> написал:
> Атака була не на ваш ДНС
...которого у меня отродясь не было (не считая кэширующих)
> а на всі наші сервери.
Имелось в виду NS'ы? Или в том числе прочие хостинговые? В любом случае не пойму связи с собой...
Subject: Re: DNS
Date: Mon, 24 Jan 2011 21:47:47 +0200
User-Agent: Thunderbird 2.0.0.24 (X11/20101027)
Хостингові і є НС-сервера.
Заметил, что в whois'e linuxoid.in'a сменился контактный номер телефона и NS'ы; в панели они остались старые.
Тут в сети появилась irc, начал общаться параллельно с ней, а она - с сотрудниками.
From: Константин Кравченко
Subject: Re: DNS
Date: Mon, 24 Jan 2011 22:26:54 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
Здравствуйте.
Излагаю расклад событий со своей точки зрения:
1. прилетает DDoS 1-байтовым udp пакетом в ip 91.200.40.2
порядка 125 kpps и 80 мегабит.
2. на этот же айпишник делается делается tcpdump -n port 53 и видится
что на один
запрос любой другой зоны приходится сотня (визуально, может и больше)
запросов по домену linuxoid.in, на котором вы как говорите держите
полтора сервиса и
вероятно он не настолько популярен, чтобы на него одновременно ломились
десятки
тысяч человек.
Из чего сделан вывод что боты валят сервер флудом с привязкой именно к
NS-ам, обслуживающим
домен linuxoid.in
Может быть вывод и не правильный, но очень напрашивающийся.


Subject: Re: DNS
Date: Mon, 24 Jan 2011 22:44:01 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Если быть точным - на домене висят: моя вики-записная книжка для меня и участников конференции, файлопомойка, куда я фотографии/скриншоты/чатлоги/статистику/etc выкладываю, jabber-сервер с населением в 2 десятка человек. Когда-то давно был еще трекер. С чего бы кому-то делать атаку на linuxoid.in?
Кстати, почему без моего ведома сменили ДНСы на clientbiz.net?
Subject: Re: DNS
Date: Mon, 24 Jan 2011 23:05:11 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
Я не знаю кому и зачем нужно делать атаку на ваш домен.
Я дал команду "сменить НС-Ы куда нибудь". Подразумевал указать
несуществующий домен.
На какие НС-ы вы сейчас хотите сменить?
Subject: Re: DNS
Date: Mon, 24 Jan 2011 23:14:05 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Очевидно, на те, которые были (и остаются) прописаны в панели управления доменом и которые, помимо, собственно, linuxoid.in, отвечают за кучку его поддоменов - т.е., на ns[1-2].bee.hvosting.ua.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 02:20:56 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Так что там с NS'ами? То, что сервисов немного - не значит, что они не нужны мне и остальным.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 09:47:02 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
Здравствуйте!
мы писали Вам вопрос - но не получили ответа:
какие ВЫ НСы хотите, чтобы были прописаны.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 11:00:29 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Я же написал уже в письме от 24.01.2011, 23:14 - верните старые, ns1.bee.hvosting.ua. и ns2.bee.hvosting.ua.
На протяжении всего дня пинал irc на тему узнать, что там и как со своей стороны, но внятных ответов не добился.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 17:02:59 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Вы собираетесь возвращать старые NS'ы? Или второй ответ Вы тоже "не получили"? Уже почти сутки домен неживой...
Subject: Re: DNS
Date: Tue, 25 Jan 2011 17:36:29 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
видимо, Вы не получили наш утренний ответ: мы Нсы bee не поставим, по
крайней мере - в ближайшие дни.
Мы не хотим повторения вчерашнего.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 17:49:33 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Прекрасно... И сколько вы собираетесь ждать? До конца света? А если бы запросы рандомно раскидывались на разные домены - повыкидывали бы всех клиентов подобным образом и тихонько бы закрылись? Может мне за вас погуглить, как блокируются DDoS'ы?
В итоге благодаря помощи Jolly Roger'a домен обслуживается сторонним NS'ом, сервисы потихоньку оживают. --Rain 17:21, 25 января 2011 (UTC)
Внезапно начинается продолжение (сдвину, чтобы было удобнее читать) - приходит письмо-ответ:

Subject: Re: DNS

Date: Tue, 25 Jan 2011 19:39:41 +0200

User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7

заодно погуглите, что делают с клиентами, которых ДДосят. Представьте себе - их отключают. Или это для Вас такая большая новость?? А по поводу "блокировки ДДоса":))) Расскажите нам, как блокируются Ддосы полосой в ширину канала датацентра. А мы с удовольствием послушаем!

Subject: Re: DNS
Date: Tue, 25 Jan 2011 20:02:19 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
NS4.CLIENTBIZ.NET has address 91.196.0.3
% Information related to '91.196.0.0 - 91.196.3.255'
inetnum: 91.196.0.0 - 91.196.3.255
netname: HOSTBIZUA-NET
descr: HostBizUa Data Center
country: UA
ns1.bee.hvosting.ua has address 91.200.40.3
% Information related to '91.200.40.0 - 91.200.43.255'
inetnum: 91.200.40.0 - 91.200.43.255
netname: HVOSTING-NET
descr: PE Konstantin Vladimirovich Kravchenko
country: UA
Оригинальный способ борьбы с DDoS-атакой - подставить вместо себя сервера конкурентов. А была ли атака на linuxoid.in? Или может это просто были разборки местного уровня?
> заодно погуглите, что делают с клиентами, которых ДДосят. Представьте
> себе - их отключают.
Представьте себе - я в курсе. Я еще понимаю DDoS веб-хостинга или VPS. Но отказать в услуге DNS'а - это нечто новое.
Могу предположить, что, судя по фразам ниже, бот техсаппортер решил, что речь про Denial of Service,
а не про услугу DNS'а, которой я у них пользовался, помимо, собственно, регистрации домена.
> Расскажите нам, как блокируются Ддосы полосой в ширину канала датацентра.
А теперь еще раз внимательно перечитайте прошлое письмо. Если в другой раз привязки к домену не будет, а будет просто забиваться канал - сложите лапки и распустите клиентов или все же начнете шевелиться?
И да, что вы там будете делать с каналом - совершенно не мое, как клиента, дело.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 20:10:45 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
понятно. Вы не знаете, что такое ДДос, но берётесь раздавать "советы".
Мы сейчас поставим наши НСы, и если начнётся тоже самое - сами
понимаете, мы посоветуем Вам сменить регистратора.
Получив письмо, глянул NS'ы - их уже сменили на старые (без какого-либо согласия с моей стороны).
Subject: Re: DNS
Date: Tue, 25 Jan 2011 20:21:35 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Tue, 25 Jan 2011 20:10:45 +0200 "Тех.підтримка" <support@hvosting.ua> написал:
> понятно. Вы не знаете, что такое ДДос, но берётесь раздавать "советы".
Давайте вы не будете браться судить о моих знаниях, ок?
> Мы сейчас поставим наши НСы,
Нет уж, оставьте то, что я там прописал.
> мы посоветуем Вам сменить регистратора.
Я в любом случае буду его менять, вне зависимости от ваших советов. Спасибо, но такой сервис мне не нужен.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 20:24:32 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
> Давайте вы не будете браться судить о моих знаниях, ок?
ну тогда и Вы перестаньте грубить и раздавать эпохальные советы.
> Нет уж, оставьте то, что я там прописал.
развлекаетесь?
зачем тогда были эти письма в ТП? какие НСы Вы ТАМ прописали?
> Я в любом случае буду его менять, вне зависимости от ваших советов. Спасибо, но такой сервис мне не нужен.
и мы предпочитаем общаться с нормальными клиентами.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 20:38:48 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
> ну тогда и Вы перестаньте грубить и раздавать эпохальные советы.
А я и не начинал грубить. Или вы хотели, чтобы я, не зная особенностей устройства вашей сети, предельно точно описал последовательность действий для прекращения атаки? Извините, но libastral.so еще собирается...
> зачем тогда были эти письма в ТП? какие НСы Вы ТАМ прописали?
Я, конечно, понимаю, похолодание пагубно сказывается на скорости реакции техсаппорта... Однако я с 23 часов вчерашнего дня пытаюсь убедить вас вернуть старые NS'ы и только сегодня к вечеру получил уведомление о том, что вы делать этого не собираетесь, после чего прописал сторонние NS'ы, воспользовавшись стандартной формой запроса у вас на сайте. После чего, спустя 2 часа вы снова самовольно меняете адреса на свои.
> и мы предпочитаем общаться с нормальными клиентами.
Взаимно.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 20:45:10 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
Вам ВЧЕРА был задан вопрос: на какие Ваши Нсы сменить? Вы думали 23 часа. Наконец-то надумали, сменили. Потом опять начали писать в техподдержку.
Видимо - дифцит общения, ну - бывает:) Для того, чтобы перестать таки получать от Вас крайне полезные в практическом плане советы (по типу "поучитесь" и "погуглите") мы сменили для домена НСы на наши, после чего - ой! - оказывается их менять на наши уже два часа как не нужно было, а Вы просто писали, чтобы сказать, что ДДОСа в ДНСы не бывает:)Надеюсь, отвечать Вы не будете. За что ОТДЕЛЬНОЕ спасибо.
До свидания.
Subject: Re: DNS
Date: Tue, 25 Jan 2011 21:19:21 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Tue, 25 Jan 2011 20:45:10 +0200 "Тех.підтримка" <support@hvosting.ua> написал:
> Вам ВЧЕРА был задан вопрос: на какие Ваши Нсы сменить?
Цитирую переписку:
1. Вы>. "На какие НС-ы вы сейчас хотите сменить?" от 24 Jan 2011 23:05:11
1. Я>. "на те, которые были ... прописаны в панели управления доменом... т.е., на ns[1-2].bee.hvosting.ua." от 24 Jan 2011 23:14:05
Отмечу, что про "мои" НСы речь не шла. Далее, не дождавшись какой-либо реакции, посылаю еще одно письмо, уже сегодня:
2. Я> "Так что там с NS'ами?" от 25 Jan 2011 02:20:56
На что утром получил ответ:
2. Вы> "какие ВЫ НСы хотите, чтобы были прописаны." от 25 Jan 2011 09:47:02
Опять-таки, про то, что это должны быть мои НСы речь снова не идет.
2. Я> "... верните старые, ns1.bee.hvosting.ua. и ns2.bee.hvosting.ua." от 25 Jan 2011 11:00:29
И только к вечеру мне соизволили ответить, что hvosting'овых NS'ов я не увижу, после чего пошел искать счастья на стороне.
> Вы думали 23 часа.
Если у вас между вопросом в 24.01.2011 23:05:11 и моим ответом в 24.01.2011 23:14:05 уместились сутки... Похоже, проблема не только с оборудованием.
> Наконец-то надумали, сменили. Потом опять начали писать в техподдержку.
Забавно. А можете процитировать то, что я писал? Ибо в той реальности, в которой я нахожусь:
- в 17:36 я получил сообщение про то, что у вас NS'ов мне не видать (см. выше)
- в 18:10 мне помогли со сторонними NS'ами.
- в 18:25 я уже создал зону и поддомены на сторонних NS'ах, а также отправил заявку на смену NS'ов у вас на сайте.
- в 19:40 получил письмо с историями про отключаемых клиентов и забитый канал.
- с 20:00 начались наши "переговоры", а в 20:10 мне снова сменили NS'ы.
Как-то фраза про "опять начали писать в техподдержку" сюда слегка не лепится.
> Видимо - дифцит общения, ну - бывает:)
> дифцит
Пальцы мерзнут?
> мы сменили для домена НСы на наши, после чего
> - ой! - оказывается их менять на наши уже два часа как не нужно было
Ага - "ой! - проснулись". См. хронологию выше.
> Вы просто писали, чтобы сказать, что ДДОСа в ДНСы не бывает:)
Какие у вас интересные фантазии.
> Надеюсь, отвечать Вы не будете.
Ну что Вы... Надо ж компенсировать пока еще лежащий Jabber-сервер и... Как вы там сказали? А, вот - "дифцит общения"
> До свидания.
Subject: linuxoid.in
Date: Tue, 25 Jan 2011 20:31:37 +0200
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101208 Thunderbird/3.1.7
мы поменяли НСы на те, что Вы прописали в 18-20.
Subject: Re: linuxoid.in
Date: Tue, 25 Jan 2011 20:39:02 +0200
X-Mailer: Sylpheed 3.0.2 (GTK+ 2.22.0; i486-pc-linux-gnu)
Ок, и на том спасибо.