Компания Google зафиксировала крупнейшую DDoS-атаку на свою инфраструктуру, интенсивность которой составила 398 миллионов запросов в секунду. Для сравнения новая атака в 7 раз превосходит по интенсивности прошлую рекордную DDoS-атаку, в которой злоумышленникам удалось сформировать поток из 47 миллионов запросов в секунду. Помимо Google с атакой также столкнулись компании Amazon и Сloudflare. Возможность совершения новой атаки связана с выявлением в протоколе HTTP/2 уязвимости (CVE-2023-44487), позволяющей при минимальной нагрузке на клиента направлять огромный поток запросов на сервер...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59901
Исправление для CVE-2023-44487 было объединено: golang / go #63417И выпущен Go 1.21.3: https://github.com/golang/go/releases/tag/go1.21.
> Исправление для CVE-2023-44487 было объединено: golang / go #63417Зато фаны рекламившие caddy относительно nginx сейчас познают ярость Xel'Naga :)
А как такое может быть ?
Ошибка (к примеру) в grpc-go и golang ?
> hyper (уязвимость не проявляется)шах и мат растофилы /s
может растофобы? или ты из тех, кто считает что позитивный тест на зппп это хорошо?)
> может растофобы? или ты из тех, кто считает что позитивный тест на зппп это хорошо?)Ты это что же, на раст быковать смеешь? Раст безопасный ЯП, защищает носителя от всех ошибок!
Причем здесь это? Атака есть вариация на тему DDOS с учетом особенностей протокола, Rust тут вообще не причем.
Да, всё верно, Rust не причем. Был бы “причём” не было бы и уязвимости в протоколе HTTP/2
Потому что HTTP/2 придумали сишники, очевидно же.
Ну как же. Волшебная пилюля же. От всего лечит, от всего спасает. А когда не спасает "а мы чего, а мы ничего, это все карго/либа/разработчик/протокол/мозилла, а у нас все безопасно"
На самом деле, она не лечит, она увеличивает IQ (for free).
Допустим, средний сишник с типовым IQ 80 переучивается на ржавчину, и качество кода становится таким, как будто у него IQ уже 110 - в частности, исчезают buffer overflow через каждые десять строчек, за которые мы так любим сишку.В общем, ржавчина - это инструмент, позволяющий подпустить ветеранов сишки к разработке и получить более качественный продукт. Не идеальный, но более качественный.
> На самом деле, она не лечит, она увеличивает IQ (for free).
> Допустим, средний сишник с типовым IQ 80 переучивается на ржавчину, и качество
> кода становится таким, как будто у него IQ уже 110 -
> в частности, исчезают buffer overflow через каждые десять строчек, за которые
> мы так любим сишку.
> В общем, ржавчина - это инструмент, позволяющий подпустить ветеранов сишки к разработке
> и получить более качественный продукт. Не идеальный, но более качественный.Блин, если у этих IQ=80 то какой же тогда у вон тех, с хомячком на логотипе, и прочими гадюками? Эти вообще ошибки не проверяют и код пишут по принципу "как-то запускается - деплою в прод!"
> hyper (уязвимость не проявляется).конечно не проявляется! это же Rust детка!
К чести сказать, уязвимые версии были. Но эта проблема была закрыта ещё в апреле, что упоминается в посте про текущую уязвимость: https://seanmonstar.com/post/730794151136935936/hyper-http2-...И это забавно, ведь начиналось всё как баг в hyperе, было пофикшено и полгода спустя оказалось, что у всех остальных ровно такая же проблема. Искали соринку в расте и не заметили бревна у себя.
Искали соринку в расте и нашли точно такую же как везде. Всё остальное - попытка натянуть тёплое на мягкое
Тем временем, в angie пока никаких изменений https://github.com/webserver-llc/angie/commits/master
Ой, да ладно тебе. На время посмотри!
Вот проснуться и сразу черрипикнут фикс.
Ну, Дунин же сказал> There is FUD being spread that nginx is vulnerable to CVE-2023-44487.
Соответственно, и про angie - тоже FUD.
дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял...
> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и
> не ковырял...Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реализации H2. Как ни крути, HTTP 1.1 при всей устарелости все таки изучен вдоль и поперек.
С H3 никто еще всерьез и не работает, он в интернетах всплывает местячково.
> Ну так в том же Апаче сколько раз находили серьезные, а то и жуткие дыры в реализации H2.
> Как ни крути, HTTP 1.1 при всей устарелости все таки изучен вдоль и поперек.Ну это еще как сказать, периодически всплывают новые креативные атаки. Если интересоваться разработкой HTTP серваков можно увидеть что порой прилетают очень креативные запросы - и - вот случается гамно. Особенно если у вас не дай боже по пути прокся или лоадбалансер, там даже с HTTP1 фронт <-> HTTP1 бэк можно откушать более 9000 приколов, если они например хидеры по разному понимают. А они это дело любят, поэтому есть прикольные вещи типа request smuggling и надеяться что это ВСЕ починено может только питоняша-оптимист, уверенный что ЯП и рантайм его от всего спасет. У атакующих на этот счет немного иные идеи и разваливается вон то только в путь.
Особенно если использовать зоопарк смузиподелок, потому что "общепринятые серверы сложна и нидастатачна быстра, нада пириписатьнараст"
> Особенно если использовать зоопарк смузиподелок, потому что "общепринятые серверы сложна
> и нидастатачна быстра, нада пириписатьнараст"Ну да. У более-менее попсовых серверов - вытоптанность поляны выше среднего, им уже накидали всякой фигни а у этих еще все впереди.
Апачу правда это решительно не помогает. Зачем кто-то использует этот хлам черт его знает.
> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял...Да ты не боись, в HTTP/1.1 пайплайнинг есть, а slowloris'у так то и без него даже нормуль, там идея открыть соединение, читать из него 10 байтов в час, а вот тут все ресурсы на клиента выделены и если это DDoS - ну ты понял что будет твоим утюгам типа опача, особенно вариантам форкавшим по процессу или треду на клиента.
<IfModule mod_reqtimeout.c>
RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500
</IfModule>(но это не отменяет УГшности апача)
> RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500Ну да, ну да, вы можете попытаться закостылить. А атакующий - подобрать параметры когда ддос ботам еще вполне нормалек, а вы уже своих нормальных клиентов начинаете рубить. Если цель самоустранилась - это вполне валидный сценарий, цель атаки же достигнута. Моральное удовлетворение обгажено конечно, но ддосеры обычно этим занимаются для профита и им в целом похрен.
> (но это не отменяет УГшности апача)
Ну вот то то и оно.
Неа. 2-3 секунды на отправку запроса - более чем достаточно для любого клиента (кроме телнета), а slow lori при этом не дает атакующим существенных преимуществ.
В случае slowloris идея - жрать ресурсы сервака как можно дольше и масштабнее с минимумом нагрузки на клиент - и нагнав пачку клиентов.В этом случае 2-3 секунды - да в общем то похрен. Можно даже не пайплайновый HTTP так держать, вот клиент при этом никуда не торопится: чем дольше вы на клиента сокеты, буферы, файловые дескрипторы и проч держите - тем хуже в общем то для ВАС. Потому что если таких придет 100 000 и начнут параллельно это делать - ну и насколько у вас сокетов, файловых дескрипторов, буферов и проч хватит? Особенно если еще форкать по процессу или треда на клиента, тогда коллапс наступит намного быстрее :)
> Потому что если таких придет 100 000 и начнут параллельно это делать - ну и насколько у вас сокетов, файловых дескрипторов, буферов и проч хватит?Вот только slow lori тут не при чем. Оно работает за счет того, что медленные запросы позволяют выжрать больше ресурсов, не попадая под rate limit. При таймаутах в несколько секунд на запрос это уже не работает.
> Вот только slow lori тут не при чем. Оно работает за счет
> того, что медленные запросы позволяют выжрать больше ресурсов, не попадая под
> rate limit. При таймаутах в несколько секунд на запрос это уже не работает.Таймауты в несколько секунд сами по себе - факапнут и загрузку легитимных файлов с вашего хоста клиентами, особенно не очень быстрыми. Но как уже было сказано, если цель решит добровольно сделать self destruct, это хоть и уменьшает моральное удовлетворение атакующего, но цель атаки все же достигается, а остальное не так уж и важно.
Так что если целью было отвадить юзеров с вашего сервака, это при таких мерах - получится. Атакующий потом может вообще не тратить ресурсы и ржать откуда там ему удобно глядя на шоу.
лол кек, опять кино про море, я вот только одно не понял, в nginx limit_req не ограничивает интенсивность запросов?
ограничивает, они даже радостно написали об этом в своем вывсеврети отклике на эту проблему.
Но, поскольку желающих надра4ивать лимиты и выслушивать потоки благодарности от легальных пользователей не так много как тебе кажется, а keepalive_requests с какого-то хрена в современных версиях задрали в небеса и толку от него мало - добавили в ядро проверку на совсем уж охреневшего клиента, явно ничего общего не имеющего с валидным пользователем.
https://trac.nginx.org/nginx/ticket/2155#comment:11
> дооптимизировались. Ну ничего, ничего - это еще http/3 никто даже толком и не ковырял...солидарен, пох:(
Так вот почему ютуб сегодня такой дохлый.
Google-комбо - пиарить HTTP/3 и хейтить HTTP/2 на, так сказать, натуре?
э... http/3 просто еще пальчиком никто не поковырял. Там будут тааакие ништяки, что банальный ddos самого сервера ерундой покажется.
Mail$ru ковырял. Так и есть. Там по дефолту никто не знает как защититься от ддоса, живут только потому что протокол непопулярный. Но при малейшем чихе - отключают.
> Google-комбо - пиарить HTTP/3 и хейтить HTTP/2 на, так сказать, натуре?Ну тогда пиара HTTP/1.x в этих ваших интернетах было просто немеряно :). Это вообще по сути респин атаки на HTTP/1.x - просто креативно усиленный с использованием фич протокола. Кто-то подумал - мол, ага, если клиент может запросы пайплайнить пачками, почему бы это и не сделать. А самое странное - а что, отмена запросов так уж грузит какие-то дурные утюги, что это для них проблема? Может, там в дизайне сервера что-то подправить надо на самом то деле? Но число rps на рыло в секунду ограничивать всяко мастхэв.
Хоть в каком HTTP. А то в HTTP/1.x с пайплайнингом это можно. Да даже и без пайплайнинга - открыть цать конекций, и вперед. Ну да - вы можете зобанить клиентов по числу конектов с айпи. Только в результате вы загасите все провайдерские наты и прочее ненужно типа торов и впн - и останетесь вообще без клиентов. Юзерей с уникальным IPv4 в современном мире еще поискать.
Для Netty выпущен фикс https://netty.io/news/2023/10/10/4-1-100-Final.html> Apache Traffic Server™ is a fast, scalable and extensible HTTP/1.1 and HTTP/2 compliant caching proxy server.
Странно что ничего не выпущено для Varnish, он как бэ тоже "кэшинг сервер".
У него поддержка TLS (без которого HTTP/2 нормально не работает, потому что нужен ALPN), есть только в коммерческой версии.
Можно, конечно, настроить varnish на plain http2, но выставлять наружу такую порнографию никто не будет.Поэтому на практике, варниши обычно всегда прикрыты прокси-сервером (HAProxy, nginx, Envoy).
> Для Netty выпущен фикс https://netty.io/news/2023/10/10/4-1-100-Final.htmlЧто это за Shitty который без клаудспайвари (сайт за клаудспайварой!) даже сервировать себя не может? То что клаудфларь способна себя сервировать - мы заметили, но это не заслуга вон того недоразумения.
http/2 неудачный протокол как и всё что работает поверх типа gRPC
http неудачный протокол, хорошо что хоть что-то пытаются с этим сделать, но попытки в целом скорее забавляют.Вроде вебсокеты изобрели, вроде ничего так, но что там при коннекте происходит я не смотрел конечно.
> Вроде вебсокеты изобрели, вроде ничего так, но что там при коннекте происходит
> я не смотрел конечно.Ну во первых это апгрейд с HTTP :). Чтобы начать конект по вебсокету - надо часть HTTP уметь.
После того как прокатило, в принципе, там все что угодно, у него есть некий минимальный фрейминг и пара трюков чтобы нельзя было так нашару произвольный хост донимать как настоящим сокетом (иначе хомячками с браузерами досеры убьют все живое) - но дальше допущений минимум, примерно как с обычным сокетом.
Во вторых, есть маленький нюанс. В силу упомянутого свойства, у клиента HTMLки + JS еще нету, чтобы коммуницировать по вебсокету то. И вебсокет НЕ для отгрузки файлов в чистом виде, это такой себе СОКЕТ. Конечно если HTML+JS у вас локально сохранен, или это какая-то апликуха вы можете и напрямую с websocket-сервером початиться. Но вот зайти на сайт сразу по вебсокету? Не, так не получится.
В третьих, ws может в принципе быть инициирован как поверх HTTP1.x так и 2.x насколько я помню, но он таки опосля них работает и заменяет дальнейшее на HTTP -> кастомный протокол. Это однако не заменяет HTTP... как максимум замена или альтернатива XHR -> WebSocket может быть для ряда вещей более удачной идеей. Уповать на только ws без фалбэка на XHR для более тормозного но все ж IO - чревато, т.к. всякие корпы могут и зобанить сие на проксях, как раз потому что там произвольный протокол не особо поддающийся анализу потом и мало ли кто там что вытворит.
>Gemini, GopherПора вернуться к истокам!
Dial-up с FIDO. Медиаконтент заказывать через BBS с доставкой на прокатной флешке
> Dial-up с FIDO. Медиаконтент заказывать через BBS с доставкой на прокатной флешкеФлоппинет же, однако.
По телетайпу!
> GopherЕсли серьезно, то вполне адекватный протокол вписывающийся в идеалогию suckless.
В детстве я тоже ддосил форумы и чатики "спрутом" 😁 шантажировав админов на бабло.
Спасибо за чистосердечное.
И ещё гордишься этим? Тфу! Оброс подворотни!
Смысл было атаковать Google? Они же легко определят DDoS и проанализируют его. Спецов у них достаточно.
Последние несколько лет идут разные сообщения о том, что уровень технической культуры в гугле сильно упал. Отмечается, что многие вещи они выкатывают с недоработками и ошибками.
Я сам довольно гарусные вещи вижу у них последнее время.Так что я бы не был так уверен на счёт спецов.
Неизбежный процесс для любой крупной корпорации - мотивированные люди вытесняются эффективными менеджерами, потому что они лучше встраиваются в корпоративную структуру.
Именно поэтому любая крупная корпорация приходит к состоянию, которое большинство людей ассоциируют с "госами" - бюрократия, имитация деятельности, рисование себе офигительных показателей, ущемление тех, кто действительно хочет сделать хорошо.
Возможно поэтому стала популярна культура кикстарта - сначала докажи, что ты нужен, тогда заплатим.
Корпорация и СССР, например, устроены очень похоже. Старинный боян, давнишнее наблюдение. И недостатки с болезнями схожие. С тех болезней иногда и умирают.> сначала докажи, что ты нужен, тогда заплатим.
Всегда так было. Никогда за обещания бизнес не брал в товарищи.
> Корпорация и СССР, например, устроены очень похоже. Старинный боян, давнишнее наблюдение.
> И недостатки с болезнями схожие. С тех болезней иногда и умирают.Верное наблюдение. И там и там применяют технологию **баптизма**.
Лозунги транспаранты, регулярные партиные собрания, публичные унижения и прочие тимбилдинги, не спрашивай что партия сделал для тебя, и в таком духе.
Чистая ЗП у менеджеров небольшая, но есть премия за выполнение без вопросов нужных приказов и просьб начальства с выше. А на самых низовых уровнях рабочие обслуживают себя сами, сами собой управляют, сами у себя ошибки и недочёты находят на собраниях и так.
Идеальная корпоративная культура в банках.Ошибка разработчикам известна.
Возможно даже нашли как исправить.
Но ну будет, пока не всплывет проблема какая-нибудь.
Ибо после исправления ошибки надо провести тестирование и оформить кучу документации.
А за исправление ошибок менеджеры по служебной лестнице не растут.
Вот за любые, даже глупые, реализованные идеи - растут.Вот и реализуют абсолютную ...
> Ибо после исправления ошибки надо провести тестирование и оформить кучу документации.Это ещё не худший банк.
В одном жёлтом, например, несколько лет назад каждое движение на проде требовало зашкаливающей храбрости, потому что тысячи недокументированных микросервисов, написанных на шарпе и запущенных на "продовой" виртуалке с виндой, причём, сцко, кнопочкой run из visual studio. И все они как-то друг на друга завязаны, только никто не знал, как, потому что текучка дикая и большинство писателей уже утекли.Полагаю, сейчас там так же. Основатель ушёл, его ДНК осталась.
> Возможно поэтому стала популярна культура кикстарта - сначала докажи, что ты нужен, тогда заплатим.Тем не менее, крупным коропорациям, у которых много денег, эта культура никак не помогает от перерождения в балаган с надувными KPI.
> Тем не менее, крупным коропорациям, у которых много денег, эта культура никак
> не помогает от перерождения в балаган с надувными KPI.А кто сказал что жирнокорп не может деградировать и даже развалиться по модели развала экономики СССР? Failure mode крупных структур - может быть похожим. Когда в отчетах все охрененно - но почему-то вокруг ж@па. Если корпа вовремя не просекает это дело - ей может и крышка настать, так бывало. Однако акционеры в настроении денег зарабатывать и обычно могут хреновых управленцев уйти, если очень приперло, в отличие от. Поэтому не любой корп разваливается. Какой-нибудь IBM так уже скоро наверное как век просуществует, а Форд и того больше.
Как раз в соседней новости (про curl) обсуждали, что из редхата сваливают мейнтейнеры опенсорсных проектов. Скорее всего, как раз из-за того, что IBM - типичные жирнокорпы с эффективным менеджментом.
Это к тому, что для крупной корпорации сползание в дегенеративный балаган практически неизбежно, но это не обязательно влечёт развал.
> Как раз в соседней новости (про curl) обсуждали, что из редхата сваливают
> мейнтейнеры опенсорсных проектов. Скорее всего, как раз из-за того, что IBM
> - типичные жирнокорпы с эффективным менеджментом.Ну так это ж не весь IBM со всеми его закоулками, а локальные траблы конкретного закоулка, где каким-то мышкам в какую-то норку слон таки написал. Кому малая нужда - а кому и наводнение! Мыши конечно могут попытаться кусать за пятки негодяя, и в принципе это даже может иметь определенный эффект, но вот умереть от этого он все же не обязан.
> Это к тому, что для крупной корпорации сползание в дегенеративный балаган практически
> неизбежно, но это не обязательно влечёт развал.В большую корпорацию денег извне бесконечно никто докидывать не будет - оно либо самокорректируется, либо вооон там статья о банкротстве. И при этом первым делом меняется управление в надежде перезапустить эту штуку. А если совсем не получается, ну, ок, совсем распродадут на части и закроют.
А вон у тех так было не модно. Поэтому по данному курсу проследовала сразу вся страна, когда невозможность этой процедуры привела к тому что ресурсы кончились вообще глобально и везде. Так что на деньги стало нечего купить, по сути. В случае кончины 1 корпы ушерб все же более лимитирован по масштабу.
>В большую корпорацию денег извне бесконечно никто докидывать не будетВы чего-то в больших корпорациях не понимаете.
>>В большую корпорацию денег извне бесконечно никто докидывать не будет
> Вы чего-то в больших корпорациях не понимаете.Я в этих корпорациях еще и был. В отличие от вас. Но вы можете мне мастеркласс попробовать дать, конечно. Только вот знаете, корпы даже и не скрывают что "как поработаете - так и получите", очень способствует чтобы до вон того не дошло.
Еще кстати есть вариант что корпу начавшую испытывать проблемы сжует другая корпа, еще ДО того как она на банкротство подаст. Как характерный пример - хотя-бы Sun Microsystems тот же. А вот именно амеровскому gov нафиг не упало всяких лузеров до упора поддерживать. И ряд немаленьких контор, таки, успешно скончались. Иногда при ликвидации конкуренты что-то подбирают подешевке на распродажах активов и проч, но вообще - могут и прихлопнуть. Не всей корпой - так по частям. Кто вот ща вспомнит что моторола - делала процы? Всерьез рубясь с интелем? А, подразделение вообще по рукам пошло, и сейчас, если не ошибаюсь, останки где-то в недрах NXP, чтоли?
> Последние несколько лет идут разные сообщения о том, что уровень технической культуры
> в гугле сильно упал. Отмечается, что многие вещи они выкатывают с
> недоработками и ошибками.Ну так наняли питоняш всяких, которым сложно более пары часов в день быть эффективными. Которые подрываются кодить дрова для фуксий если не на питончике так хоть на игогошке. Получается понятно чего - FAT32 который нитормозит и память нижрет, вот только что-то переписывать пришлось...
Питончик, игогоша, растишка, сишка... абстракции на абстракциях сидят и абстракциями погоняют. Все это неимоверно тупит и тормозит.
Настоящие прогеры пишут строго на асме.
> Питончик, игогоша, растишка, сишка... абстракции на абстракциях сидят и абстракциями погоняют.
> Все это неимоверно тупит и тормозит.
> Настоящие прогеры пишут строго на асме.Да вон они, колибру переписывают с 32 битов на 64 как раз :). Уже и C-- какой-то любить начали, и чего это они? Ренегады проклятые! :)
> Последние несколько лет идут разные сообщения о том, что уровень технической культуры в гугле сильно упалНу что же, давай посмотрим, насколько всё грустно. По данным Yahoo! Finance, за текущий год на данный момент (в тысячах долларов США):
Total Revenue 289,531,000
Cost of Revenue 129,028,000
Gross Profit 160,503,000Ты, конечно, можешь грустить сколько угодно, но что-то незаметно чтобы «уровень технической культуры» как-то коррелировал с оборотом и доходами. Важность техперсонала для бизнеса сильно переоценена. Конечно, не любая обезьяна может работать в Гугле, определённый уровень знаний и опыта необходим, но он не настолько высок. Впрочем, в Гугл ни один опеннетчик не прошёл бы собеседование, так что всё относительно.
Вы за меня не переживайте, я не грущу. Эта фраза не то означает, это оборот такой. Но если хотите помочь, могу адрес скинуть.
> что-то незаметно чтобы «уровень технической культуры» как-то коррелировал с оборотом и доходами.И не будет коррелировать. Как и вообще что либо реальное.
> Важность техперсонала для бизнеса сильно переоценена
Смотря что у вас за бизнес и в чем его цели. Чтобы делать деньги вообще практически ничего ненужно. Кроме правильного происхождения конечно.
> Смотря что у вас за бизнес и в чем его цели.Не нужно елозить. У любого бизнеса основная цель ровно одна: извлечение прибыли. Вне зависимости от происхождения, политических идеалов, философских убеждений, религии и любых других произвольных метрик. Если основная цель не извлечение прибыли, то этот вид предпринимательства называется и юридически оформляется иначе.
То как оно офрмлено, и то чем оно является на самом деле - разные вещи.
Не говоря уже о том что чей-то "бизнес" зачастую состоит из множества юрлиц самых разных в самых разных юрисдикциях. А крупный бизнес вне политики не существует как явление.
> То как оно офрмлено, и то чем оно является на самом деле - разные вещи.Бывает и такое да. Обычно это банальный tax fraud. Результат соответствующий.
> Не говоря уже о том что чей-то "бизнес" зачастую состоит из множества юрлиц самых разных в самых разных юрисдикциях.
Отнюдь не зачастую. Подавляющая часть бизнесов — это одно юрлицо, занятое в какой-то определённой сфере или находящееся на стыке некскольких смежных сфер, например грузчики осуществляющие переезд, обычно так же торгуют упаковочными материалами. Сложные схемы со множеством юрлиц в разных юрисдикциях свойственны либо большим транснациональным конгломератам, либо коррупционным схемам.
> А крупный бизнес вне политики не существует как явление.
И как это всё отменяет мой тезис о том, что основная цель бизнеса — получение прибыли? Я что-то не улавливаю твой аргумент.
> Бывает и такое да. Обычно это банальный tax fraud. Результат соответствующий.Activision например. Отличный результат. От налогов их освобождает правительство.
А есть ещё отмывание например.> Отнюдь не зачастую. Подавляющая часть бизнесов — это одно юрлицо, занятое в
> какой-то определённой сфере или находящееся на стыке некскольких смежных сфер, например
> грузчики осуществляющие переезд, обычно так же торгуют упаковочными материалами. Сложные
> схемы со множеством юрлиц в разных юрисдикциях свойственны либо большим транснациональным
> конгломератам, либо коррупционным схемам.Ну тоесть буквально ВЕСЬ крупный бизнес.
Вот вам примитивная вообще и простая схемка:
https://smart-lab.ru/uploads/images/00/17/18/2013/10/02/1189...Насколько те к кому она ведёт реальные персонажи вопрос великий. Но в цивилизованном мире(с) концов обычно вообще никаких не найти.
> И как это всё отменяет мой тезис о том, что основная цель
> бизнеса — получение прибыли?
> Я что-то не улавливаю твой аргумент.Да нет никакой "прибыли" как явления.
> Activision например. Отличный результат. От налогов их освобождает правительство.Смотрим в официальный финансовый отчёт Activision Blizzard:
Income tax expense 155 70
Это в миллионах долларов за 2023 и 2022 соответственно. Что-то не похоже, чтобы освободили. Ты случайно tax defer, tax relief и tax exemption не путаешь?
> А есть ещё отмывание например.
Есть. Тоже является наказуемым деянием. И?
> Ну тоесть буквально ВЕСЬ крупный бизнес.
Крупных бизнесов очень мало. Большая часть бизнеса в развитых экономиках — это т.н. малый бизнес. Даже среднего бизнеса довольно мало в сравнении с малым. Если взять для примера США, то это 99.9% всего бизнеса в стране и в нём занята почти половина работоспособного населения. Устройство крупного бизнеса безусловно интересно как явление, и при этом никак вообще не отражает того, чем занята большая часть населения планеты. На схеме, которую ты привёл, проиллюстрирована обычная коррупция, не имеющая никакого отношения к бизнесу, и с которой борется госрегулятор. Где-то успешно, а где-то как в Сургуте.
> Да нет никакой "прибыли" как явления
Ишь ты! Ты так попробуй в следующей своей налоговой декларации указать, мол, нет такого явления, а потому и налоги я не должен. Посмотрим, как это прокатит.
> Даже среднего бизнеса довольно мало в сравнении с
> малым. Если взять для примера США, то это 99.9% всего бизнеса
> в стране и в нём занята почти половина работоспособного населения.Вы чего? Тут ту ру?
Это 99% денег в США у малого бизнеса?
И там половина чего кого занята?
Капец.
>> То как оно офрмлено, и то чем оно является на самом деле - разные вещи.
> Бывает и такое да. Обычно это банальный tax fraud. Результат соответствующий.А вон там Майкрософт как раз попался на этом самом. Всего ничего - 30 миллиардов грина уклонений от налогов вменяют. Ну что, удачно оптимизнули? :)
> А вон там Майкрософт как раз попался на этом самом. Всего ничего - 30 миллиардов грина уклонений от налогов вменяют. Ну что, удачно оптимизнули? :)Ну так и в чём проблема-то? Попался, получил по рукам, больше так не будет, будет придумывать как иначе оптимизировать. Бизнес без риска и потерь бывает только в мечтах.
Смысл вообще принимать запросов больше, чем можешь обработать? Хотя никто даже не знал, что такие запросы можно отправлять, лол.
ну, по идеи, клиентов не терять - в очередь их ставить, а не к конкурентам отправлять. инет как киоск же - чем больше народу обслужишь - тем тебе выгоднее
> Смысл вообще принимать запросов больше, чем можешь обработать? Хотя никто даже не
> знал, что такие запросы можно отправлять, лол.О, вы не понимаете, дев ляп и в продакшен, должно работать ещё вчера, а вы тут что, может ещё админа хотите нанять чтобы всё настраивать? Лишить менеджера бонуса хотите? У нас тут эффективные девляпсы которые работают за троих, им некогда такими мелочами заниматься.
Да и сайт все-равно за клаудфларой, договор заключён все проплачено руки пожатый релиз обмыт премии выплачены, и у нас UI USER TROTTLENING, так что чаще 1 раза в секунду юзер не может никогда ничего слать.
Не не не, такой трафик в первую очередь влез в физический канал, объём которого рассчитывали под принимающие этот траффик вычислительные ресурсы (например, Huawei ce12808s). До девляпсов там ещё далеко.
> Не не не, такой трафик в первую очередь влез в физический канал,
> объём которого рассчитывали под принимающие этот траффик вычислительные ресурсы (например,
> Huawei ce12808s). До девляпсов там ещё далеко.То им забили канал? Так чтобы его забить вроде ненужно на принимающей стороне вообще ничего...
Я так понимаю что не канал забили, а конкретно веб севера подвесили?
Сервера подвесили. Просто, чтобы не подвесили можно было бы намеренно канал меньше сделать (не знаю, делают ли вообще так). Но кто же знал...
Что в первом (серваки заняты), что во втором (канал занят) случае - ваши серваки недоступны извне.
И да, фаервол ненужен, это опять таки админу платить, у нас нет таких денег :) Девопс говорит что на наших виртуалках с докером с 10Мб Го бинарниками это слишком ресурсозатратно.И у нас уже установление крутой фаервол от КАЛУД ПРОВАЙДЕРА в котором можно открывать и закрывать порты ))) мы спрашивали девопса он сказал что все безопасно, а защиту от ддос мы отдельно купили.
Все это замечательно, хотя между строчек и читается обидка, что заклятые девляпсы получают в десять раз больше вас :)Но сабжевая новость как раз и посвящена тому, что можно обойти лимиты как в фаерволе (потому что на L4 соединение остается одно и то же), так и в приложении (потому что в уязвимых реализациях данные действия никак не ограничиваются). Так что будь у вас даже мега-бородатый супер-админ со 150-киллограммовым пузом, в свитере, который ещё СССР застал, и недельным запасом еды в бороде - всё равно вас уронят, если не обновиться (а обновляться такие админы ой как не любят, "работает - не трожь, не работает - /etc/init.d/httpd restart").
Девляпсы - вовремя адаптировавшиеся к прогрессу админы из подвальчиков.
Сейчас следующая итерация: уметь получать результат из купленного директором ИИ.
То есть, они имеют более развитый интеллект, чем те, которые не адаптировались.
> Все это замечательно, хотя между строчек и читается обидка, что заклятые девляпсы
> получают в десять раз больше вас :)Страшная правда заключается в том...
> Но сабжевая новость как раз и посвящена тому, что можно обойти лимиты
> как в фаерволе (потому что на L4 соединение остается одно и
> то же)Вообще странно, вроде базовая штука, файрволы вроде соединения отслеживают. Неужели в established нельзя посчитать? Кажется PPS считают всё кому не лень.
Не говоря уже что повсюду DPI понатыканы.> так и в приложении (потому что в уязвимых реализациях
> данные действия никак не ограничиваются).В приложении то должно быть элементарно это реализовать... Странно что это не стандартная практика.
статистику собирать о каждом чихе пользователя вроде научились, а pps посчитать не могут?> мега-бородатый супер-админ со 150-киллограммовым пузом, в свитере, который ещё СССР застал,
> и недельным запасом еды в бороде - всё равно вас уронят,
> если не обновиться (а обновляться такие админы ой как не любят,
> "работает - не трожь, не работает - /etc/init.d/httpd restart").И не такое бывает. Опеннет все ещё на KOI8-R фунциклирует.
Просто вспоминаю дремучие времена до всех этих клоудфлар, когда защиту от ддоса обсуждали довольно активно все кому не лень, и делали довольно успешно.
> Вообще странно, вроде базовая штука, файрволы вроде соединения отслеживают. Неужели в established нельзя посчитать? Кажется PPS считают всё кому не лень.Посчитать TCP-соединения можно.
Посчитать HTTP/2-стримы - нельзя.
И PPS к этому не имеет прямого отношения.Модель OSI, слышали?
> Не говоря уже что повсюду DPI понатыканы.
TLS, ALPN - слышали?
> В приложении то должно быть элементарно это реализовать...
Ну реализуйте, раз это так просто.
Большинство приложений почему-то предпочитают использовать готовые реализации HTTP/2.> Просто вспоминаю дремучие времена до всех этих клоудфлар, когда защиту от ддоса обсуждали довольно активно все кому не лень, и делали довольно успешно.
А потом пришёл cloudflare и начал укладывать всех, кто пытался делать бизнес, не купив его услуги.
> Посчитать TCP-соединения можно.
> Посчитать HTTP/2-стримы - нельзя.
> И PPS к этому не имеет прямого отношения.Чё? Вы о чём вообще? Http2 работает поверх TCP. Один юзер это одно тср соединение. И считать pps или просто байты в секунду нужно для одного соединения. Фаерволы это вообще вроде умеют делать, но я не обнаружил пока внятной документации, похоже оно нинужно.
А если вы о НТТР проксировании, так от ддоса до прокси нужно защищаться.
> Модель OSI, слышали?
И чё?
> TLS, ALPN - слышали?
И чё с того? У вас задача объём трафика посчитать, а не шифрование вскрыть.
> Ну реализуйте, раз это так просто.
Как-будто какую-то злобу ощущаю я.
🤔🤔> Большинство приложений почему-то предпочитают использовать готовые реализации HTTP/2.
Не понимаю что это значит. Апач с ngnix IIS и lighttpd одну реализацию используют?
Ну если у гугла мс и прочих нет никакой потребности от ддоса делать простую защиту, то мне оно нафига?> А потом пришёл cloudflare и начал укладывать всех, кто пытался делать бизнес,
> не купив его услуги.А теперь оказывается у них соломенные фаерволы и сервера в ржавых контейнерах, а не чистых облаках.
Закономерно конечно 😐
> Один юзер это одно тср соединениеНа которое можно аллоцировать миллиарды стримов, у каждого из которых будут свои буферы.
> И считать pps или просто байты в секунду нужно для одного соединения
Какая восхитительная идея! Правда, не позволит отличить болезненную для сервера атаку с открытием миллиардов стримов от легитимной закачки файла.
> И чё с того? У вас задача объём трафика посчитать, а не шифрование вскрыть.
С такими потрясающими идеями, вам надо немедленно свой стартап открывать! Получите миллиардные инвестиции, выкинете клаудфларь с рынка, сможете купить всю эту планетку и пару соседних в придачу.
Ведь никто раньше не додумался до такой простой мысли - L7 DoS можно предотвратить, просто считая пакеты или байты!
А вот вы додумались. И теперь сможете перевернуть этот мир.> Как-будто какую-то злобу ощущаю я.
Просто не будьте валенком и постарайтесь думать над тем, что пишете.
> Не понимаю что это значит. Апач с ngnix IIS и lighttpd одну реализацию используют?
Разные, но ошибка в логике почти у всех одна и та же.
> Разные, но ошибка в логике почти у всех одна и та же.потому что это не ошибка а стандарт http2 так написан.
> А потом пришёл cloudflare и начал укладывать всех, кто пытался делать бизнес,
> не купив его услуги.Да вот говорят, пришел Anna Senpai к Креббсу - и оказалось что не так уж тот Бэтмэн и крут. В том смысле что клаудфларь предпочел послать кребса послать в пешее вместо защиты от ддоса, с аргументом "что-то нам душновато от вас". Ну вот такие защитники от ддоса :)
Отдавать задачи на аутсорс - нормальная практика. У фирм часто нет ни админов, ни программистов, ни девляпсов в штате. Те отработали, получили и свалили в закат.
Так как разбираться в чужом коде без качественной документации и консультаций от авторов - весьма неэффективный процесс, то мы получаем поддержку уровня D&G (Dorogo & Govno).
Кому-то нормальная практика, да.
А кому важен стабильно работающий бизнес - не очень.
Вообще - да. Но:Походу сейчас идёт расслоение водителей кобыл на малочисленных инженеров авто-прома и массу таксистов. Таксист не выпускает авто и даже чинить не всегда умеет. Зато агрегаты в автомобили взаимодействуют по TCP/IP, например.
Программирование уходит в малочисленные группы способных писать хороший код на службе у владельца облака. Остальные становятся перепродажниками возможностей облака и ИИ. Трансформация займёт сколько-то много десятков лет времени.
Мало кто пишет много кода для себя. Необязательно покупать плохой код.
Чтобы наладить IT-компоненты типового бизнеса (который что-то заказывает, получает, складирует, развозит и продаёт), то есть сайт-магазин и внутренние инструменты логистики и учёта - облака сами по себе мало полезны (это просто инфра для запускания кода, а кто его напишет?), а ИИ - практически бесполезен (нет, встроить интерактивного консультанта с на сайт магазина - прикольно, но не критичная функциональность). Нужны программисты, которые будут писать код. Ну, или адаптировать готовые решения под хотелки бизнеса (но это, как правило, сводится к вышеописанному случаю "получили на поддержку чужой код и вышло D&G").
> Отдавать задачи на аутсорс - нормальная практика. У фирм часто нет ни
> админов, ни программистов, ни девляпсов в штате. Те отработали, получили и
> свалили в закат.Ну такое, если вы мелкий продавец рогов и копыт, и вам нужен сайт визитка или небольшой интернет магазин, то да.
Хотя там айти фирмы держат такие рога и копыта на платной подписке на поддержку наверное.Но вообще, если у вас бизнес от инфраструктуры зависит, нужен как минимум ответственный за инфраструктуру.
Так то я хреновый видимо бизнесмен, так что не знаю как оно должно быть.
> Но вообще, если у вас бизнес от инфраструктуры зависит, нужен как минимум
> ответственный за инфраструктуру.менеджер.
Программист - нинюна!
я вот не особо понимаю, а какой практический смысл в дидосе, объективно если - шантаж, либо работать не давать - ну это же решаемо всё, пусть не сразуостаётся, что-то скрыть хотели вчера?)
>а какой практический смысл в дидосеесть же дети, которым надо в твиттере написать tango down, дауны епта
>>а какой практический смысл в дидосе
> есть же дети, которым надо в твиттере написать tango down, дауны ептаМеня в бородатые времена как-то в жаббере ддосить они весёлый парень решил видимо скриптиком на питоне. Пришлось в срочном порядке антиспам настраивать, хах, ну и канал интернета у меня был видимо жирнее его в несколько раз. Вспомнилось. А помните "*** взрывает дома орбитальная ионная пушка" ? Вот веселуха была, когда люди сами по своей воле себе ддоселки с удалённым управлением ставили :3
Но тут я думаю таки не совсем дети.
>Но тут я думаю таки не совсем дети.это же бизинессс, видать демо "атака" (стресс тест) была, а гугл завалить можно? - можно :)
>когда люди сами по своей воле себе ддоселки с удалённым управлением ставилиДа, примерно год назад было популярно.
> Меня в бородатые времена как-то в жаббере ддосить они весёлый парень решил
> видимо скриптиком на питоне. Пришлось в срочном порядке антиспам настраивать, хах,А я как-то видел как спамбот в жаба-конфу забрел. Это совсем задник - он стал гасить 250К сообщениями за присест, заранее подготовленными видимо. Клиенты так увлеклись парсингом таких чудес на вход, что моды висели тряпочками и ничего сделать не могли. Зато вот все как питоняши любят - вербозный универсальный XML на все случаи, сообщения без ограничения лимита, а что будет с конфой если туда 250К XMLками с размаха гасить на скорость - мы подумаем как-нибудь потом.
> ? Вот веселуха была, когда люди сами по своей воле себе
> ддоселки с удалённым управлением ставили :3Жаба такая весьма веселая штука, парсить его довольно ресурсоемко так то. И вообще прикольно когда вам на вход валится БЕЗРАЗМЕРНАЯ простынка, которую нельзя просто скипнуть. Надо XML от и до парсить. Иначе синхро с потоком сорвется и парсер сломается - внезапно.
> Но тут я думаю таки не совсем дети.
Ну те кто выносил конфу - явно понимали что делали. У...ли с размаха, кажется их мод какой-то забанил, и они за это конкретный реванш взяли, завалив конфу в гамно.
Да, жабер забавная ерунда, внебрачный сын smtp и icq.С парсерами хмл имел не так давно интересный опыт, почему-то редки или нет механизмы частичного итеративного парсинга, а мне допустим 20 гигов нужно распарсить.
В итоге плюнул и руками с регекспом разобрал всё.
> Да, жабер забавная ерунда, внебрачный сын smtp и icq.Скорее, HTML-я какого, при том - безразмерного. Кто вообще догадался до идее что XML бесконечным потоком это круто - ктулху б его знает! Но как минимум эквивалент STARTTLS - их абстракция уже таки не потянула и в общем то нарушается с самого начала конекта, если вам логин-пароль плейнтекстом слать было неохота. Ну вот такая вот универсальность суперпротокола, в самом нужном месте фуфел как обычно у чрезмерно абстрактной байды переклиненой на концепциях вместо решения конкретных проблем.
> С парсерами хмл имел не так давно интересный опыт, почему-то редки или
> нет механизмы частичного итеративного парсинга, а мне допустим 20 гигов нужно
> распарсить.Спеки очень навороченные. А полностью их не умеет наверное почти никто. Скажем сколько вообще получающих на вход XML готовы к XSLT какому-нибудь? Или к деланию чего-то с Schema? А формально оно там бывает.
> В итоге плюнул и руками с регекспом разобрал всё.
20 гигз это еще по божески. Попробуй planet.xml от опенстритмапсов. И таки то что он там типа-т екстовый при ТАКОМ весе файло не особо кому поможет, а какой вообще эдитор ЭТО сможет открыть?! Там примерно 250-300 гигз :). Они с горя protocol buffers и полюбили. Ну да, это уже 25-30 гигз весит, получше все же чутка.
> я вот не особо понимаю, а какой практический смысл в дидосе, объективно
> если - шантаж, либо работать не давать - ну это же
> решаемо всё, пусть не сразу
> остаётся, что-то скрыть хотели вчера?)Ну, причин может быть много.
Можно что-то скрыть.
А можно уронить или поднять чьи-то акции, а там деньги такие можно срубить.
А можно обосновать этим выделение бюджета, либо пропихнуть какое-то решение в компании, либо вообще закон протолкнуть.
ну да, все результаты - моментные
Бизнес нередко делают _частично_ закладываясь, что будет лучше, чем окажется на самом деле - рискуя. Серверов закупают меньше, чем нужно для обещанных на продажу возможностей. Например.Такой DDoS - способ сделать по факту качество хуже, чем бизнесмен мечтал.
Пойдут разговоры про мерзкий Ютрупп и прочая слякоть.
It makes sense, definitely. But you understand it when you see it from another one's perspective. See it from perspective of another mind.
Зиродей и небольшое количество ботов не вызывают удивления? Похоже, что малой частью бот-нета сгенерировали четверть от верхней границы суточного объёма всей сети.
> я вот не особо понимаю, а какой практический смысл в дидосе, объективно
> если - шантаж, либо работать не давать - ну это же
> решаемо всё, пусть не сразуесли ты гугль или еще кто там с бесконечной деньгой или бесконечными ресурсами, а лучше то и другое - решаемо. А если мелкая лавочка по производству каких-нибудь гаечек с левой резьбой - то твой внезапно вылезший на рыночек конкурент вполне может успешно ликвидировать твой сайтег с концами.
И недорого!
ну, теоритически - дану если, к примеру, открыть онлайн-магаз, конкурент там озону/яндексу/вайлдберрис, у которых бабла немало, начнут тебя выжимать, что, реально не останется никакой возможности закрыться от этого?
я тут из софта вижу только nginx, остальное - хистомусор. маленьким хипсторами нравится, когда им засадят по самое http, а лучше два
nginx тоже хипстота на смузях, труЪ одмины используют опач.
он жив?!
"Живой проект" - это хипсторский термин, означающий полуфабрикат, нуждающийся в постоянной обработке напильником.Проекты делятся на два вида:
- Те, что ещё дорабатывают (т.е. сырые).
- Те, которые не нуждаются в доработке (т.е. production ready).
И по достижении второго пункта отбираются в Debian или RHEL. Да.
И через какое время после EOL с вашей точки зрения проект становится production ready?
> И через какое время после EOL с вашей точки зрения проект становится
> production ready?А вот как погрузят тебя на котофалк - так ты и production ready для вон тех воркеров. И тут уж точно EOL, попробуй ка оспорь.
> ready для вон тех воркеров. И тут уж точно EOL, попробуй
> ка оспорь.тук-тук, не пригласите ли войти в ваш уютный домик? С удовольствием поспорю с вами, кому тут будет EOL, а кому совсем наоборот.
А фиг его знает, EoL или не EoL, по факту понятно только что EoS.
Проблема ожидаема
TCP 3-way и x-RTT лишнее, говорили они.
Ну, расхлёбывайте теперь. Наверняка далеко не последнее.
> TCP 3-way и x-RTT лишнее, говорили они.
> Ну, расхлёбывайте теперь. Наверняка далеко не последнее.Слышь, эксперт, сабж так то поверх TCP работает.
Я не про сабж, а про оверол психолохию.
HTTP/3 ещё хуже, просто пока на стадии Джо.
И да, сколько TCP 3-way сабж делает на вот данное число сеансов?
HTTP/2 устарел!
Все срочно переходим на HTTP/3
