WNZ: Hypersonisk scramjet-testfly en succes
Gigantisk præmiesum i næste DotA 2-turnering fra ValveWNZ: Auktion over teknologiske klenodierKeplers fremtid usikker
CERN vil styre 150.000 virtuelle maskiner med OpenStack7 millioner briter har aldrig brugt internettetMad Genius laver bevægelsesstyring til alle eksisterende spilSony registrerer flere The Last of Us-domænerGathering og Crafting starter i byen i Elder Scrolls OnlineFrankrig dropper måske 3-strike-modellenI mit/vores serverrum står der primært servere fra?
5. mar. 2013 09:55Internettjenesten CloudFlare, som blandt andet tilbyder DDoS-beskyttelse og DNS hjemmesider, gik søndag ned. Det betød at omkring 785.000 hjemmesider røg med i faldet, blandt andet WikiLeaks og 4chan.
Problemerne stod på i cirka en time. CloudFlare har efterfølgende forklaret, at grunden til, at netværket gik ned i første omgang var et DDoS-angreb, som ramte en af firmaets kunders DNS-server. Angrebet brugte en specifik pakkestørrelse på mellem 99.971 og 99.985 bytes, hvilket er langt over en normal pakkestørrelse på mellem 500 og 600 bytes.
Derfor valgte CloudFlare at blokere disse pakkestørrelser med alle sine routere. Af ukendte grunde fik denne ændring dog alle routerne til løbe tør for RAM og gå ned. For at løse problemet, skulle alle routere genstartes manuelt i de forskellige datacentre verden over. CloudFlare spekulerer i, at den enorme pakkestørrelse betød, at en ukendt fejl i routerne kom i spil.
Alle internettjenestens netværk gik ned, hvilket også ramte tjenestens statusblog. Derfor var den eneste måde, som kunder kunne få informationer på, at følge med på CloudFlares Twitter-profil.
CloudFlare leverer via sine kunder månedligt 70 milliarder sidevisninger til omkring 600 millioner unikke besøgende.
5. mar. 2013 10:24
Jeg sad på 4chan hele dagen og har ikke haft problemer med siden overhovedet. Så det kan ikke være længe den har været nede da
5. mar. 2013 10:42
Fedt med detaljerne omkring nedbruddet. Det gør det mere forståeligt for folk og andre sites kan lære af det.
5. mar. 2013 11:13
Nu er det vel ikke så mærkeligt de går ned, hvis man laver en regl i JunOS som tjekker for packet-length [ 99971 - 99985 ];
Hele problemet ved at lave dette tjek er at man skal gemme samtlige packets i rammene for at lave tjekket.
dvs, hvis et ddos står på, sender de pakker, skal hver packet skrives til rammene på routeren, for at lave et tjek om størrelsen er mellem 99971 og 99985 bytes. Da tjekket højest sandsynligt tager længere længere tid, end hver packet der kommer ind, vil hver packet gemme ca 97kilobytes i rammene.
Dvs, 10000 packets i sekundet vil betyde et ram forbrug på 970000kilobyte. Da de højest sandsynligt modtager en del mere end 10k packets per sekund, så skal de kunne lave checks utrolig hurtigt, og gøre plads til en ny række packets.
Hvad de kunne have gjort istedet for, var at sige, hvis backet er større end 4470bytes, så drop dem.
Da de har en maximum packet size på 4470 bytes. så hvis den er 4471 bytes vil den ikke blive godtaget.
Så ville de kun tage op 4.47kilobyte per packet istedet for 97kilobyte - så teoretisk ville de kunne klare 20-21 gange flere packets med samme mængde ram.
5. mar. 2013 11:24
#1
/b/ ?Montago (#2)
4chan bruger selv Cloudflare din pong xD
This is my opinion. There are many like it, but this one is mine... http://www.knowyournewz.dk
5. mar. 2013 11:51
#1
/b/ ?Montago (#2)
4chan bruger selv Cloudflare din pong xDHerrMansen (#5)
ved jeg da godt... :)
tænkte at der sad en noob hacker og hackede 127.0.0.1'ish
Microsoft .NET, fordi jeg ikke er bindegal
5. mar. 2013 12:12
tænkte at der sad en noob hacker og hackede 127.0.0.1'ishMontago (#6)
Hah... Særere ting er sket derinde i gennem årene.
This is my opinion. There are many like it, but this one is mine... http://www.knowyournewz.dk
5. mar. 2013 16:04
Alle internettjenestens netværk gik ned, hvilket også ramte tjenestens statusblog. Derfor var den eneste måde, som kunder kunne få informationer på, at følge med på CloudFlares Twitter-profil.
Kunne være de skulle hoste den hos rackspace ;)
Linux is only free if your time has no value.
6. mar. 2013 00:16
Så de tilbyder DDoS-beskyttelse til deres kunder, og når de (kunderne) så bliver udsat, laver de et fuckup så ALLE kunder ryger offline? Flot :D
Ja, jeg blev tabt på gulvet.
6. mar. 2013 01:46
#9
Vi sætter jo vores lid til deres ekspertise, og det er OFTE at det er godt nok. Jeg ville aldrig opdage et DDoS mod et af mine sites (grundet deres lille størrelse), og endnu mindre vide hvad jeg skulle gøre for at forhindre det.
At Cloudflare så én gang i mellem laver ged i den, det kommer jo så med. Men som #4 siger, så lyder det som om (givet de infos vi har) at det kunne være gjort bedre. :)
EDIT:
Jeg kan anbefale at læse kilden. Det er en interessant historie. To ting slår mig dog:
1. Det virker som en overilet / rutinepræget solution som blev udført: Blot at filtrere angrebet med en specifik regel uden tanke for præmisserne (pkt. 2)
2. Hvis reglerne tidligere siger at ingen pakke må overstige 4470 bytes. Hvordan kan reglen om DNS pakker på 99 KB nogensinde rammes - og hvorfor skal DNS reglen så implementeres, den er jo for pokker unødvendig grundet maks-størrelsen?
An expert is a person who has made all mistakes in a very narrow profession - Niels Bohr Core i7 3770 @ 3.4 Ghz - 16GB DDR3 (1600 Mhz) - 120 GB...
6. mar. 2013 08:19
#9
Vi sætter jo vores lid til deres ekspertise, og det er OFTE at det er godt nok. Jeg ville aldrig opdage et DDoS mod et af mine sites (grundet deres lille størrelse), og endnu mindre vide hvad jeg skulle gøre for at forhindre det.At Cloudflare så én gang i mellem laver ged i den, det kommer jo så med. Men som #4 siger, så lyder det som om (givet de infos vi har) at det kunne være gjort bedre. :)
EDIT:
Jeg kan anbefale at læse kilden. Det er en interessant historie. To ting slår mig dog:1. Det virker som en overilet / rutinepræget solution som blev udført: Blot at filtrere angrebet med en specifik regel uden tanke for præmisserne (pkt. 2)
2. Hvis reglerne tidligere siger at ingen pakke må overstige 4470 bytes. Hvordan kan reglen om DNS pakker på 99 KB nogensinde rammes - og hvorfor skal DNS reglen så implementeres, den er jo for pokker unødvendig grundet maks-størrelsen?LordMike (#10)
Problemet er den regl med de maks acceptere 4470 bytes, dropper ikke alle andre pakker, den sender dem stadig videre (Giver egentligt ikke mening, fordi så virker deres regl jo ikke helt).
Hvorimod hvis de brugte:
packet-length-except [5-4470]; så ville det gøre, alle der ikke matchede, ville blive dropped direkte.
Så selvom du maks tillader 4470 bytes i packet-length, så kan juniper routers stadig modtage pakker, og sende dem videre, hvis ikke du specifikt har fortalt JunOS til at droppe de pakker der ikke matcher.
Problemet ligger i, at jeg tror ikke de har tænkt over det da de lavede reglen, og sagt, vi acceptere kun 4470 bytes, lad os lave en regl der dropper alt andet.
Meen alle kan fejle, selv CloudFlare
18. mar. 2013 09:35
Jeg synes at de har klaret den godt med en nede tid på 1 time. Det er self meget når der er så mange sites på spil.
Men ja, de skulle nok ha sagt, som mange af Jer nævner. Kun pakke størrelser i 4,471 og ikke mere... Det undre mig at de har valgt at specificere at den skal droppe alt fra de mega pakker der bliver sendt ind.
Men okay.
Selv de bedste kan fejle. De har fået en Lessons-learned, til næste gang ;)
Også synes jeg at det er super fedt at de har forklaret meget detaljeret om hvad der har forgået under nedetiden. :) Den ros skal de da bestemt ha.
Meh...!
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
