9:28
5/4/2013

Od kilku miesięcy Allegro zalicza periodyczne przerwy. 10 lutego, 17 lutego, w ostatnią środę (3 kwietnia), a także wczoraj (4 kwietnia). Ponieważ ataki przestały wyglądać na incydentalne, postanowiliśmy zapytać Allegro o ich szczegóły.

Gdzie hostuje się Allegro?

Rzut oka na historię adresów IP na jakie wskazywała w ostatnim czasie domena Allegro.pl pokazuje, że ataki DDoS zmusiły Allegro do przełączania swojej infrastruktury na zasoby firmy Prolexic:

Allegro hosting

Allegro hosting

Obecny stan:

Niestety, wczoraj i przedwczoraj, nawet w momentach w których domena allegro.pl wskazywała na serwery firmy Prolexic, serwis aukcyjny dalej nie był osiągalny. Czyżby dedykowana radzeniu sobie z DDoS-ami usługa także nie potrafiła odeprzeć ataków?

Beyond temu winny? Nie.

Zostawmy na chwilę Prolexic — kiedy Allegro nie korzysta z ich usług dysponuje dwoma swoimi datacenters; jednym w poznańskiej serwerowni Beyond, drugim we Frankfurcie (chociaż obecnie trwa migracja Frankfurtu pod Kraków).

W internecie znaleźć więc można głosy, jakoby infrastruktura Beyondu nie była wystarczająca do odparcia ataków DDoS… Nie jest to jednak prawidziwe twierdzenie, gdyż jak udało nam się dowiedzieć, Beyond nie zapewnia łączy internetowych dla Allegro, a jedynie udostępnia firmie dostęp do źródeł prądu i “dach nad głową” — Allegro ma własne przyłącza internetowe i indywidualnie negocjowane umowy z operatorami.

Prezes Beyondu, Michał Grzybkowski, zapytany o DDoS-y na jednego z kluczowych klientów serwerowni wyjaśnia, że Allegro posiada autonomiczną sieć — własne światłowody (tzw. ciemne wlokna), własne polaczenia z wybranymi przez siebie operatorami telekomunikacyjnymi i prowadzi własną politykę routingu.

Dodaje również, że:

ataki typu DDoS są chlebem powszednim każdej dużej serwerowni. Ze względu na specyfikę branży w Beyond.pl obserwujemy nawet kilka takich zdarzeń dziennie skierowanych przeciwko róznym infrastrukturom kolokowanym w naszym datacenter. W przypadku gdy swiadczymy usługę transmisji danych dla klienta poprzez nasze routery brzegowe, postępujemy zgodnie z procedurami polegającymi na wycieciu ruchu DDoSowego przy ścisłej współpracy z centrami zarządzania siecią operatorów z którymi połączone jest nasze Datacenter. (…) DDoS nie jest dobry dla nikogo i dlatego tez reakcje zarówno w Beyond.pl jak i w działach sieciowych firm takich jak Netia czy Level 3 są po prostu błyskawiczne.

Jako datacenter niezależne od operatorów mamy zestawione łącza z operatorami klasy Tier-1 takimi jak Level3, Telia Sonera, Cogent, czy D-Telecom, oraz właściwie wszystkimi liczącymi się sieciami krajowmi (Netia, Atman, TPSA, GTS itp., a także punktami ruchu PLiX i PIX). Łącza pozapinane są w ringach, a ich przpeływności rozpoczynają się od n x 10G po węzeł Level 3 o przepływnosci do 800Gbit (!) kolokowany w Datacenter Beyond.pl.

Stanowisko Allegro w sprawie ataków DDoS

Poniżej prezentujemy odpowiedzi Pawła Klimiuka, Dyrektora Komunikacji Korporacyjnej Grupy Allegro, na pytania, jakie zadaliśmy w sprawie ostatnich ataków:

Niebezpiecznik: 1. Czy powodem kolejnej (piątej?) już niedostępności serwisu Allegro są rzeczywiście ataki DDoS?

Paweł Klimiuk: Od lutego notujemy zwiększoną ilość tego typu incydentów, które dla zdecydowanej większości użytkowników pozostają transparentne. Dedykowany Zespół IT pracuje nad zminimalizowaniem skutków tego typu zdarzeń.
W sumie mieliśmy w tym czasie do czynienia z około 4 atakami, które skutkowały dłuższą niedostępnością serwisu Allegro dla części naszych Użytkowników. Z problemami borykali się przede wszystkim abonenci pojedynczych providerów, pozostali użytkownicy nie mieli problemów z dostępem do serwisu. Współpracujemy z dostawcami usług celem wyeliminowania niedogodności.

2. Czy Allegro wie kto za nimi stoi i jaka jest motywacja atakującego?

Najistotniejsze dla nas w takich sytuacjach jest jak najszybsze odzyskanie i przywrócenie płynnego dostępu do naszych serwisów, bez względu na to, kto jest twórcą ataku.

3. Czy Allegro otrzymało jakieś ultimatum od atakującego (np. żądanie okupu?)

Generalnie otrzymujemy jako serwis sporo korespondencji od użytkowników. W takich alertowych sytuacjach zawsze znajdzie się kilka osób, chcących je wykorzystać.

4. Jakie są statystyki DDoS-u? Ile Gbps, ile pps? Z jakiego kraju generowany jest ruch?

Z uwagi na to, że ataki trwają nie chcemy mówić o technicznych aspektach.

5. W jakie serwisy Grupy Allegro udarza atak?

Głównie ataki uderzają w stabilność serwisu Allegro.pl. Wczoraj problemy dotknęły również pozostałe nasze serwisy, również zagraniczne.

6. Jak Allegro walczy z atakiem?

Każdorazowo dobieramy narzędzia i rozwiązania, które najszybciej i najskuteczniej pomogą nam zneutralizować sytuację i zapewnić płynność działania serwisu. Wspieramy się również współpracą z najlepszymi, światowymi firmami. W ostatnich przypadkach współpracowaliśmy z firmą Prolexic.

7. Czy Allegro zamierza zrekompensować swoim użytkownikom brak możliwości korzystania z serwisu?

Tak, takie sytuacje zostały szczegółowo opisane w naszym Regulaminie, w załączniku Polityka przerw technicznych oraz rekompensat za awarie techniczne. Za awarię techniczną uznaje się sytuację, w której zdecydowana większość lub wszyscy Użytkownicy utracili możliwość korzystania z podstawowych funkcji Allegro związanych z organizowaniem Transakcji, w szczególności nie mogli się zalogować, wystawić Towaru, złożyć oferty lub wyszukiwać Transakcji przy pomocy kluczowych metod dostępnych w Allegro. Jeśli mniejsza część użytkowników ma problemy z dostępem do Allegro zgodnie z Regulaminem nie obliguje nas to do przedłużenia ofert (w Regulaminie mowa jest o zdecydowanej większości Użytkowników). Jednak każda sytuacja analizowana jest oddzielnie, sprawdzany jest też czas trwania awarii i jej zasięg. Jeśli była to przerwa przedłużająca się i miała duży impakt zarówno na działania serwisu jak i możliwości korzystania z niego wówczas podejmujemy decyzję wbrew regulaminowi, ale z korzyścią dla naszych użytkowników. Najczęściej w tego typu przypadkach przedłużamy oferty o 24h. Zasięg i czas trwania awarii jest również podstawą decyzji, czy przedłużamy oferty tylko kończące się podczas trwania awarii czy wszystkie dostępne wówczas oferty. W uzasadnionych przypadkach rekompensujemy sprzedawcom koszty poniesione za wystawienie ofert. Na stronie i na naszym Facebooku zawsze komunikujemy użytkownikom dokładny czas trwania awarii, podajemy również informacje które aukcje zostają przedłużone.

Wiadomo, że nic nie wiadomo

Podsumowując, dalej nie wiemy kto i w jaki sposób DDoS-uje Allegro. Czy są to zwykłe ataki na poziomie sieciowym (np. SYN flood), czy może bardziej wymyślne DDoS-y aplikacyjne?

Jedno jest pewne, Allegro, korzystające z loadbalancerów F5 nie jest w stanie samo sobie z nimi poradzić i szuka pomocy na zewnątrz — pytanie kluczowe; z jakiego powodu nawet firma zewnętrzna ma problemy z tymi atakami, skoro jak pokazuje niedawny przykład Spamhausa, są firmy, które nawet 300Gbps w piku mogą “łyknąć” pomimo tego, że “spowalnia to cały internet” ;)

Gdyby ktoś z Was wiedział coś więcej na temat tych ataków (znał ich moc i technikę lub grupę zlecającą ataki), prosimy o kontakt — zapewniamy anonimowość.

PS. Dziś od godzin porannych nie jest dostępny mBank i Multibank — nieoficjalnie dowiedzieliśmy się, że przyczyną są także ataki DDoS, nie wiadomo, czy za atakami stoi ta sama grupa, która DDoS-uje Allegro. Dobra rada dla klientów – zlecenia wykonywać przez mLinię (działa), karty płatnicze również powinny funkcjonować bez problemów.

Aktualizacja 10:42
Uwaga! Poniższe informacje nie zostały oficjalnie potwierdzone — pochodzą z anonimowego źródła.

Otrzymaliśmy informację, że atak na Allegro to “jedynie” 11Gbps6Gbps. Ma być przeprowadzany na zlecenie bliżej nieokreślonej osoby (Polaka), za pieniądze poprzez botnety, z których jeden najprawdopodobniej należy do osoby korzystającej z pseudonimu .Infinity., która posiada wg naszego informatora 4 botnety wielkości 10-11Gbps każdy, wszystkie na BetaBot by Lord Huron. Oto co w internecie można znaleźć na temat tej osoby:

Według naszego informatora, .Infinity. miał dostać za atak $370 ($25/h).

Infinity ddos service

Infinity DDoS service

Według innego informatora, ta sama grupa, która atakuje Allegro, zaatakowała dziś grupę BRE (mBank, Multibank). Ciągle czekamy na oficjalne potwierdzenie tych informacji.

Aktualizacja 16:30
Dotarły do nas informacje, że osoba stojąca za atakami szukała botnetów do wynajęcia już jakiś czas temu. Po internecie krążą też niepotwierdzone informacje, jakoby od Allegro żądano okupu w Bitcoinach (tysiącach).

Na marginesie warto zauważyć, że Allegro, kiedy nie jest spięte przez Prolexic odpiera ataki na loadbalacerach F5, które mogą zostać wyłożone przy ruchu ok. 6Gbps. Jeden z czytelników zauważa, że:

Allegro i inne serwisy korzystające z cachowania F5 w warstwie 7 można zabić jak się chce.

Wygląda do tak:
Algorytm cachowania F5 to mfu, działa elegancko jeśli wszystko mieści się w ram. Wystarczy go wypchać. Jak to zrobić ? Kluczem jest url więc.

for i in range(10000):get “http://cel.pl/site_images/1/0/layout/logotyp.png?a=%s” % i
oczywiście warto wybrać większą kolekcję obrazków lub innych zasobów i trochę zrównoleglić.

Aktualizacja 22:00
.Infinity. nie działa sam; razem z nim grupę o nazwie TERROR, która została wynajęta do przeprowadzenia ataku tworzą: DOG2X, Rob., Shadow).


Przeczytaj także:



115 komentarzy

Dodaj komentarz
  1. Właśnie mBank leży…

  2. Ależ allegro chodzi… Przez ostatnie dni nie uświadczyłem problemów w ogóle, a korzystałem z niego dość intensywnie.

    • Akurat w UPC Allegro nie chodzi, ale jest wyjście ratunkowe w postaci wersji mobilnej http://m.allegro.pl/. Wyszła też kafelkowa aplikacja dla Windows 8.

    • @Paweł Nyczaj: właśnie pod UPC działało, z Cyfronetu też działało…

    • @Paweł Nyczaj: Lepiej wziąć adres IP allegro i wpisać go przeglądarkę ;-)

    • przez T-Mobile z de nie dzialalo przez 2 dni

  3. Można postawić smutne przypuszczenie, że Allegro wraca do życia dopiero wtedy, kiedy atakujący odpuszczają …

  4. Daliście się nabrać z tymi 300 Gbps i łykacie wszystko ufnie jak młode dziewczę. Te mityczne 300 Gbps nie było na jedną firmę, tylko suma bardzo rozproszonych ataków, każdy z nich dający się w miarę ogarnąć. Gdyby 300 Gbps było w jedno konkretne miejsce, to prawie każdy by klęknął.

    • https://greenhost.nl/weblog/2013/03/21/spam-not-spam-tracking-hijacked-spamhaus-ip/
      Tutaj trochę o skutkach tego mitycznego 300Gbps. Gdyby Spamhaus miał jeden serwer to cały świat korzystajcy z ich systemu miałby “zaspamowane” skrzynki e-mail

    • Nawet ja, kompletny laik, zrozumiałem, że dla wszystkich z internetu to był jeden punkt, a w rzeczywistości cały ruch był dzielony na kopie serwerów rozmieszczone w różnych punktach na świecie, a ruch był kierowany do najbliżej położonych serwerów od źródła. Więc polscy użytkownicy mogą widzieć serwer w Polsce, francuzi we Francji i każdy widzi to samo IP, wszystko załatwiają routery na swoich protokołach. Więc 300GB dzieliło się na kilkadziesiąt serwerów. Domyślam się, że Spamhaus jest dość łatwo zduplikować, gorzej z Allegro.

    • To nie chodziło o routery, tylko o warstwę wyższą. W skrócie Spamhaus oferuje usługę opartą o narzędzia DNS mówiące czy z danego IP pochodzi Spam czy też nie. Jako serwery oparte również o DNS, czyli warstwę 4. Każda strefa ma swoje DNSy i one podają IP serwerów, natomiast routery trasują IP gdzie jest podłączone i faktycznie oferują multipathing i loadbalancing, aczkolwiek wszystko kończy się na serwerze. Jeśli takowy nie jest dobry wszystko bierze w łeb, jest jeszcze problem łącza, stąd gigabity. Natomiast tu atak był bardziej subtelny. W momencie patrzenia na gigabity w LINXie któryś router w swojej grupie adresów rozgłosił serwer spamhausu.

  5. Allegro pisze, że niedostępność była tylko dla mniejszych providerów. Do owych mniejszych należy wg allegro zaliczyć UPC, GTS, Netię, TPSA…

    By było ciekawiej serwery DNS UPC mają w cache strefę allegro bez rekordu A dla allegro.pl (jest tylko dla http://www.allegro.pl) więc wielu klientom UPC allegro nie otwiera się do dziś.

    • Napisane zostało ‘pojedynczych’ a nie ‘mniejszych’…

  6. http://www.multibank.pl też nie działą

  7. Atak DDoS na mBank jest tak skuteczny, że nawet nie można obecnie rozwiązać w DNS ich domen. Korzystają tylko z 2 DNS :(

  8. dns’y upc nie potrafia zlokalizowac allegro.pl

  9. mbank leży a ja muszę zapłacić za dom, sprawca tego ataku u mnie by już wisiał na szubienicy

    • To znaczy, ze jestes pipka. A gdyby mbank padl z zupelnie innego powodu ? Kogo wtedy powiesilbys na szubienicy, i za co ? Chyba musialbys zaczac od siebie, za glupote ;>

  10. Dodam, że ostatnio na celowniku jest również Mt.Gox

  11. Szczyt wytrwałości? Zrobić zakupy na allegro i zapłacić za nie w mBanku :D

    • Hahahahaha:)))) Dobre:)))))

  12. Przenoszą się do nowej siedziby i musieli miec wymówkę :P BTW, na nową siedzibę mają ale, na sprzęt i ludzi, którzy zapenią ich klientom to co od nich kupują to już nie ma siana.

  13. Tak BTW, to Alior Sync nie jest lepszy.

    $ whois sync.pl

    DOMAIN NAME: sync.pl
    registrant type: organization
    nameservers: ns2.alior.pl. [195.182.52.66]
    ns1.alior.pl. [195.182.52.65]

    Obydwa serwery są w tej samej lokalizacji (spróbujcie puścić mtr z różnych miejsc). Ja sprawdziłem z Hetzner, OVH, Netia, GTS (via PLIX.pl).

    • To nie jest adres serwisu transakcyjnego

    • Eh.. spróbuj rozwiązać nazwę “online.sync.pl” bez dostępu do DNS ns1.alior.pl, ns2.alior.pl.

      $ dig +trace online.sync.pl

      ..i zobaczysz, że bez w/w DNS się nie da. DDoS na DNS pozbawi możliwości korzystania z serwisu. DNS trzymane w jednym miejscu nigdy nie były dobrym pomysłem, a Alior Sync jak można sobie sprawdzić – z ANYCAST nie korzysta :(

    • Dobrze gada, do postawienia backup DNSa starczy najtańszy VPS, wystarczy kupić 2-3 takie i mieć zapewnione że chociaż DNSy działają w razie ataku

  14. allegro na dnsach z UPC kraków nie jest w stanie co pewien czas w ogóle określić ip serwera. Dopiero po zmianie DNS na google’owskie jakoś allegro zaczęło działać, ale też z przerwami

  15. Alleległo i dla mnie nie działa już trzeci dzień

  16. Gdzieś słyszałem, że problemy mogą być widoczne co najwyżej u 20% użytkowników, a dziś czytam, że te 20% to niemal wszyscy:
    “Za awarię techniczną uznaje się sytuację, w której zdecydowana większość lub wszyscy Użytkownicy utracili możliwość korzystania z podstawowych funkcji Allegro”

    Ktoś tu z alledrogo marketingowy bullshit uprawia?

  17. Wczoraj u znajomego allegro w DNSach rozwiązywało się na jakiś host, który leżał. (Dało się podmienić na IP z artykułu .208 i obejść problem.

  18. Jestem w upc i od kilku dni nie wpuszcza na główną stronę allegro, jedynie m.allegro.pl działą.

  19. u mnie na Multimedia Polska SA, allegro chodzi bezawaryjnie.

    • U mnie z Multi wczoraj (04.04) muliło nieprzeciętnie.

  20. Nie tylko dnsy upc nie potrafią rozwiązać poprawnie nazwy, vectry także, podejrzewam że zmiany od strony allegro mogły mieć na to jakiś wpływ

    • Mi z ustawionymi trzecimi i czwartymi dodatkowymi DNSami wchodziło Allegro i mBank bez problemu z UPC

  21. MBank i Multibank także padło :P

  22. Atak atakiem – ale jakby nie patrzeć ‘medialny szum’ wokół tej sprawy, to niezła forma reklamy dla serwisu.

    • Aleedrogo reklamy juz nie potrzebuje w Polsce, Zna ją babka bo tanie ściery zamawia, zna ją stary bo tanie opony se kupi,zna ją córka bo wibratorów pod dostatkiem i syn ja zna.

  23. 2. Czy Allegro wie kto za nimi stoi i jaka jest motywacja atakującego?

    Najistotniejsze dla nas w takich sytuacjach jest jak najszybsze odzyskanie i przywrócenie płynnego dostępu do naszych serwisów, bez względu na to, kto jest twórcą ataku.

    3. Czy Allegro otrzymało jakieś ultimatum od atakującego (np. żądanie okupu?)

    Generalnie otrzymujemy jako serwis sporo korespondencji od użytkowników. W takich alertowych sytuacjach zawsze znajdzie się kilka osób, chcących je wykorzystać.

    Bardzo ładne odejście od odpowiedzi na zadane pytanie :D

  24. mBank u mnie już działa

    • u mnie jeszcze nie

  25. z moich obserwacji wczoraj widziałem dużo zamieszania DNS – generalnie ustawiając hosty manualnie byłem w stanie dostać się do poprawnie działającego allegro o praktycznie każdej porze (w której sprawdzałem ;) )

    z niemiec (hosting hetzner) dnsy były zupełnie inaczej resolvowane niż z Polski.. inna sprawa że oba nieprawidłowo ;) podejrzewałbym jakieś ataki na DNS (ale to może tylko zbieg okoliczności)

  26. Woził wilk razy kilka…. Powieźli i wilka… haha :)

  27. Napisz notkę o atakach DDoS -> nakłoń czytelników do samodzielnego sprawdzenia czy działa -> zwiększ tym samym intensywność DDoS -> ??? -> PROFIT!

  28. Alledrogo na dns’ach Vectry nie działało 2 dni, po przejściu na OpenDNS nie ma problemów

  29. problemem nie jest, a w zasadzie była, wyłącznie dostępność serwisu z sieci poszczególnych operatrorów czy działanie DNSów ale cały serwis miał chwilowe problemy w funkcjonowaniu, np brak potwierdzania dokonania transakcji, niedostępność stron prebuy i buy więc prawda jest chyba trochę ciekawsza niż tylko 11Gbps

  30. mnie w tym momencie allegro lekko odstrasza bo mam towar do sprzedania i nie wiem czy z uwagi na problemy techniczne nie zawezi to zbyt mocno grona potencjalnych oferentow.
    atak odniosl skutek

    • @pejeden
      I co teraz zrobisz?

    • gumtree

  31. a mi sie zdaje, ze zaczynamy sie dostosowywac do zachodu, czyli do rosji, ktora dla nas (patrzac na panstwo jako caloksztalt, prawo, edukacje, medycyne, etc etc) jest zachodem do ktorej tak upragnienie dazymy. wpiszcie sobie na discovery: hacker discovery lektor. traficie na material diskawery na temat tego jak ruscy ujezdzaja ddosami firmy zarabiajac w ten sposob ogromne sumy. tyle w tym temacie powinno wystarczyc, ale dodam dodatkowo: bojta sie karwa, bo sie zaczyna.

  32. Jest duża szansa, że to nie są żadne ataki DoS, tylko obsuwa po stronie Allegro. Łatwiej problemy zwalić na mityczny “atak”, niż wziąć na siebie odpowiedzialność. Allegro prawdopodobnie zrobiło jakieś zmiany w swojej infrastrukturze, być może związane z nowym interfejsem użytkownika i nowe rozwiązanie się nie skaluje. Mogę oczywiście tylko gdybać, bo pewnie nigdy się nie dowiemy co stało się naprawdę, bo “nie chcemy mówić o technicznych aspektach”.

    • omujborze.

    • ktoś na necie napisał, że to ściema, że tak naprawdę łączącą bazę ze skarbówką…

  33. mbank wciaz lezy

  34. Witam,

    wyjaśni ktoś o co chodzi z Citrix Netscalerem w prolexic?

  35. http://id.netlog.com/mikelelove
    aka infinity?

    • To nie ten przestępca: ))))))))))))))))))))

  36. Informacja dla pana Klimiuka za sjp.pwn.pl:
    impakcja, impakt «zderzenie meteoroidu, planetoidy lub komety z innym ciałem kosmicznym»

    Nie pasuje to do: “Jeśli była to przerwa przedłużająca się i miała duży impakt zarówno na działania serwisu”

    • Myślę że chodziło o taki “impact”

      http://translate.google.pl/?hl=pl&tab=wT#en/pl/impact

    • Impact oznacza rowniez wplyw na cos, np. “miala duzy (wplyw) zarowno na dzialanie serwisu jaki(…)”

      Nie kopjuj translatorow ;) bo to powoduje bledy jezykowe

    • Widocznie to meteoryt pierdolnął w Allegro ;)

  37. U mnie mBank, MultiBank i Allegro stoją, bez problemów można wszystko przeglądać.
    Obecnie jestem na łączu Netii, w domu (UPC) Allegro niedostępne, reszta ok.

  38. Mi po tych atakach sprzedaż się polepsza na Allegro – dziwne :D

    • Kupujo póki działa

  39. Dlatego właśnie adresy najważniejszych stron z których korzystam trzymam w hosts. Nie dość, że zawsze wejdę (oczywiście dopóki sam serwer działa, a tylko dnsy leżą), to jeszcze to dość dobre zabezpieczenie przez pharmingiem poprzez DNS poisoning.

  40. Użytkownikom UPC polecam wchodzenie przez moto.allegro.pl, działa. :D

  41. 11 Gb? Z takim atakiem przeciez allegro juz samo w sobie by sobie poradzilo, a co dopiero gdy uzyte zostalo Prolexic. Moim zdaniem, moze byc kilku takich Infinity w jednym czasie i dlatego serwis nie ciagnie :-)

  42. Co to za forum ze screena?

    • hackforums.net, baza forum krąży po necie.

  43. Od wczoraj na allegro gdzie bym tylko nie wchodził odpala się automatyczne pobieranie pliku: CM.991213.tz_pl z linku: http://ngacm.com/c5t/pv?h=allegro.pl&pth=%2F&qs=&ref=&res=1366×768&b=Firefox%2023&ce=1&os=Windows%207&dev=&tz=2&p=http&_=1365173185274&uid=&acc=CM.991213.tz_pl

    Czy to wina mojej przeglądarki? Czy jak…

    • Dzisiaj też miałem podobnie, cały czas podczas korzystania
      z Allegro wywala się komunikat o błędnym certyfikacie ngacm.com.
      Przeglądarka Maxthon (na Chromie nie wczytywały mi się skrypty
      Allegro).

  44. 11Gb to nie duzy atak zakladajac ze to byl atak ktory mial zapchac rurki, jesli to byl synflood to 99,98% synfloodow posiada charakterystyczne wzory w pakietach ktore mozna ciec na brzegach bezstratnie
    tylko pytanie, patrzac po pixach operatorskich do ktorych allegro jest podlaczone, nie bardzo widac te 11Gbps ?
    byc moze to prawda byc moze nie… ktos napisal ze ich problemy zaczely sie z wodowaniem nowych serwisow, zalozmy ze zrobili infrastrukture na x-req + chojnie dajmy 50% r wiecej i nagle zaczyna siadac…. nie od dzis wiadomo ze ze jakosc sprzetu i oprogramowania zaczela po 2006 drastycnie spadac… od bugow w korporacji LSI i wywalajacych sie maierzach z powodu bledow SMART po glosne ostatnio syfy w Juniperach ktore mozna bylo wywalic zwyklym synfloodem z malego botnetu ( SRX`y po 50k sztuka :) ) przeciez to nie sa tajemnice… abstrachujac od sceanriusza z awariia i lakonicznym supportem ze strony producenta gdzie czesto kupuje sie sprzet “zamkniety” za gruba kase a jak cos sie dzieje to potrafia po 3 tygodnie odbijacz pileczke ze “pracuja” nad tym dlaczego w 2013 roku allegro z ich budzetem na IT nie posiada aktywnej geo, technik multiplacji r, czy nawet poprostu nie schowaja sie porzadnie za cdn`ami w mozliwie najprostrzy sposob ? nie bede sie zaglebial w ich burdel w dns i techniki “obrony” bo odeprzec to sobie mozna malucha jak niechce zapalic :) ale z ich budzetem powinni naprawde miec duzo lepsze zabezpieczenia :) ddos prawdziwy jest tyle grozny ile jest w stanie zapchac twoje rurki lub zapchac twoj sprzet zakladajac ze nie masz skalowalnej arch na brzegach
    co do teorii o ddos`ach (ktorych nie widac na stykach) ale ok) to nie od dzis wiadomo ze ebay czeka na przejecie rynku :) a oplacane ddosy to nic nowego w dzisiejszych czasach

    byc moze kiedys sie dowiemy prawdy , kto wie aczkolwiek mogliby sobie darowac ten “dziwny” PR, w moim mniemaniu dziala w odwrotna stone niz powinien

    i na koniec absolutnie nie twierdze ze da sie “odeprzec/zastopowac” ddos aczkolwiek jesli ddos nie jest wiekszy niz twoje lacze o nie powinien cie zabic :) no chyba ze kupujesz “zamkniety” sprzet ktory ma software obliczony na tyle i tyle sesji i jak chcesz wiecej to plac jak za zboze :)
    cisco/junpier/f5 ma swoje zalety i minusy, najwiekszym minusem jak widac takich urzadzen jest ich “policzalnosc” dlatego byc moze wielkie korporacje postawily jednak na OS w arch alternatywnej do x86 i jak widac na przykladzie CDN czasami warto poswiecic plusy zamknietych puszek dla wlasnego bezpieczenstwa choc czesto wymaga to od nas wkladu wiekszej wiedzy..
    oczywiscie sa fajne urzadzenia cisco/juniper tylko ze wtedy koszty rosna astronomicznie :)

    • To zaden SYNflood, to popularne ostatnio DNS Amplification.

  45. Poznań, Internetia (czyli już Netia), żadnych problemów z Allegro czy mBankiem ani wczoraj ani dzisiaj.

  46. A może pora skorzystać z poważnych rozwiązań do ochrony przed DDoS, np. Arbor Networks.

    • Sama prawda – Arbor chroni 90% operatorów 1 tier i zdecydowaną większość operatorów lokalnych. Polska jest jednym z ostatnich krajów w Europie nie używających Arbora (nie wspominam o kilku małych instalacjach do analizy netflow). Widać managerowie kluczowych SP nadal uważają, że reputacja firm, którymi zarządzają oraz zadowowlenie ich klientów nie jest warte inwestycji w profesjonalne narzędzia do ochorny…

  47. Za 370 dolarów można położyć największą w Polsce platformę handlu internetowego lub bank? To zakrawa na dowcip. Pewnie niejeden zblazowany menedżer ma taki budżet na weekendowe rozrywki. Trzymajmy zatem kciuki, żeby wolał popijać kawior szampanem niż bawić się blokowaniem dostępu do banków, firm czy instytucji.

    • Ja się nie znam na cenach ddosów, ale te 370 dolców wydawało mi się trochę mało. Dobrze, że ktoś też to zauważył, bo powątpiewałem w samoocenę hakerów :D
      Także: albo ktoś zgubił jedno zero, albo ktoś robi to bardziej z pobudek osobistych niż finansowych.

    • Zasamuce Cie Tomaszu, ale takie są aktualne ceny DDoS’u u skidów. (BetaBot, a zombiaki kupione ze wschodu)

      Ruskie – 30-40$ = leży gameforge, a o allegro nawet nie ma co mówić :P

  48. no wkoncu allegro zaczeło działać dzisiaj .

    od 2 dni mi nie działało.

    wkurzające że komuś się tak nudzi.

  49. hm.. a o PALo zapomniales ?

    • Sam jestes pala.

  50. W internetia – Białystok wszystko działa jak należy – allegro lata jak szalone. Zmieńcie ISP. :P

  51. Note: A NetScaler appliance is not a dedicated security device designed to protect against DDOS attacks. It is best to use such a device in conjunction with a NetScaler appliance.

  52. A co z ING? Kilka dni ledwo ciągło i zdechło… Teraz bank nic nie mówi, a jak ktoś spyta to wspomni o “spowolnieniu”. Ha, ha. Na ich forum można znaleźć posty niezadowolonych klientów. Coś grubszego się kroi…

  53. Dziwi mnie to zachwycanie się efektem ‘ataku’ DDOS. Przecież to gówno daje – > DDOS to jest po prostu zwykłe zablokowanie serwisu www, czy też serwera, znane od zawsze rozwiniecie puszczenia na np 10 konsolach pinga o rozmiarze 512 KB w ilości 10 tys -> Lata 90 heh . Może napisz drogi Niebezpieczniku coś bardziej profesjonalnego, bo ten kolejny i kolejny art o DDOS to dla gimbusów raczej heh i nie reklamuje raczej pozytywnie waszych usług / szkoleń. W sumie nudzi mnie to info o tym może coś o charakterystyce wykorzystanego botnetu ? Sposobach ochrony przez zmasowanym DDOS a nie !!!! ALARM DDOS – !!! NUCLEAR ATACK !!! – !!! DDOS !!! – :-) :-) :-) :-) :-) :-) :-)

    • A mnie dziwi że tak mało sie w Polsce trąbi o DDoS. Cały świat próbuje sobie z tym radzić a u nas ciagle nie widzi się problemu. To równiez Twój problem – bo jak z powodu niedostępności banku nie zapłacisz podatków na czas etc.. to konsekwencje mogą Cię zaboleć bezpośrednio. Tematyka DoS jest stara jak świat – czemy zatem w Polsce wystarczy byle atak aby uziemić dowolny serwis komercyjny czy publiczny ???

  54. co to za narzędzie w którym można zobaczyć hosting history? (zdjecie w artykule nr 1)

  55. A niech ich tam cisną tymi atakami DDoS’owymi…

  56. Szczerze mowiac to bardzo dobrze ze ktos “testuje” infrastruktire. Jak widac firmy sa kompletnie nie przygotowane na tego typu zagrozenia. Mam nadzieje ze to skloni ich do inwestycjo w konkretne zabezpieczenia badz w dobrze wyszkolonych ludzi. mBank & Allegro: Wstydzcie sie!!!!!

    • Nie, nie dobrze, bo są przecież legalne oficjalne pentesty. A jak crackerzy wymuszają okup za zaprzestanie ataków to dobrze? Przecież po zapłacie i tak mogą zaatakować ponownie ci sami lub inni. To wszystko może doprowadzić jedynie do zaostrzenia kursu wobec hakerów (a w zasadzie w tym przypadku złych hakerów, czyli crackerów). Owo zaostrzenie kursu będzie po prostu polegało na ustępowaniu idei wolnego internetu (nie chodzi mi o 100% wolności=anarchii, ale o to, ż takie inicjatywy jak ACTA grożą nadużyciami przeciwko niewinnym osobom, choćby wysypem oskarżeń o nielegalne ściąganie plików i wirusów podszywających się pod Policję) na rzecz dopuszczenia większej kontroli ze strony władz i społeczeństwo ze strachu przed narastającymi atakami tym razem się temu nie sprzeciwi jak przy ACTA. Serwisy typu Niebezpiecznik też mogą mieć przez to kłopoty, zwłaszcza z uwagi na charakter oferowanych szkoleń może komuś decyzyjnemu zaświtać (odpukać) pomysł zajęcia się takim serwisem. Tak więc nie chwaliłbym internetowego bandytyzmu, bo to się na wszystkich zemści, z firmami i zwykłymi userami na czele. Władze państw w końcu zaprowadzą reguły gry, ale mogą być one nieprzyjemne dla dalszego rozwoju usług sieciowych. W ogóle tylko debil cieszy się z ataków, dopóki sam nie poniesie strat.

      Natomiast zabezpieczenia i poziom wiedzy IT w polskich firmach to już inny problem. Dlatego nie zamawiają one legalnych pentestów, nie dbają wystarczająco o infrastrukturę i w końcu dochodzi do nielegalnego pentestu (ale tym razem ataku DDoS). Na szczęście są pentesty i szkolenia m.in. Niebezpiecznika a doniesienia o atakach DDoS uzmysłowią, że temat zoptymalizowania infrastruktury pod katem takich zdarzeń oraz strategii zarządzania kryzysem jest istotny i żadna większa firma przed tym nie da rady uciec. Szkoląc PR-owców tez należałoby poruszać temat zarządzania kryzysem. Poza tym już parę razy tu pisano, że osoby zgłaszające adminom błędy spotykały się z groźbami ze strony adminów, zamiast aktywnej współpracy. To zniechęca hakerów gotowych współpracować w rozwiązaniu problemu, za to przyciąga crackerów.

      I na koniec źródło zła, czyli tragiczna wiedza użytkowników komputerów i smartfonów. no ale jeśli już 12-latki uzależniają się od filmów porno, to nie dziwi ze wraz z nimi można im zaserwować trojana. no i mamy botnet. Trzeba więc już w podstawówce uczyć zachowania ostrożności w internecie i uświadamiać rodziców (nie straszyć, lecz uświadamiać zagrożenia). Swoją droga może warto rozważyć, by ISP oferowały do umowy dobry pakiet internet security (tj. z dobra lokata w VirusTotal) na 3 PC, smartfon i laptop w cenie sporo niższej niż w sklepie. Pomogłoby to zwłaszcza użytkownikom mniej świadomym, a takich jest cała masa (kiedyś mówiło się nawet dzieci Neo http://nonsensopedia.wikia.com/wiki/Dzieci_Neostrady, bo Neostrada dała broadband wielu ludziom, ale nauka zasad cyfrowego BHP sama nie przyszła).

    • Ci którzy rezygnują z Wolności w imię bezpieczeństwa, nie zasługują na żadne z nich. — Tomas Jefferson

      Ludzi stworzył Bóg, a Colt uczynił ich równymi.

      Art 32 ust 2
      “Nikt nie może być dyskryminowany w życiu politycznym, społecznym lub gospodarczym z jakiejkolwiek przyczyny.”

  57. A kto DDoSuje niebezpiecznik? :)

  58. ebay nie ma takich problemów. Ciekawe dlaczego? Słabi są ;D

    • Nie porównywałbym skali eBay i siły ich infrastruktury. eBay musi być gotowy na to, że nawet bez DDoS-u wejdzie wiele milionów userów naraz.

  59. ebay jest bardziej stabilne a ma więcej wejść?

  60. Allegro vs INGonline (1:0)

  61. mbank dziś działa jak żółw… serwis sie wlecze, ale strona informacyjna normalnie działa

  62. mBank działa ale tylko przez dostęp mobilny

  63. A ja tam czekam na DoS telefonicznych kanałów dostępowych. No, bo przecież dzwonić naraz może tylko jedna osoba na jeden telefon. A gdyby dzwoniło ich więcej? A startery tanie są…

    • to sie umowcie, ze grupa hajkerska o nazwie “Stop przemocy wobec słoni” zabokuje hot-line ery.
      O podanej godzinie kazdy bedzie chcial sprawdzic i dowiedziec sie o oferte promocyjna jaka ktos im zlozyl. sami sie rozloza ;)

  64. Kiepski pomysł, no bo jak? Co zrobi konsultant jak dostanie fake połączenie? 3xhalo i zrzuta. Poza tym trzebaby to sprzętowo skoordynować, ew hackować jakąś centralę by wydzwaniała jako losowi abonenci.

  65. Czemu google nie wyszukuje emotikonow, np :) albo :>

  66. Allegro niedługo znów będzie wisieć:((

  67. Pomyslmy powaznie:
    1. Takie ataki moze wreszcie sprawią, że polacy i polski rzad zaczną sie po prostu przed tym bronic? Ja bym chcial by tusk (nie lubie goscia) mial tak pewna strone www by zaden botnet mu nie zagrozil.
    2. Kiedys byla taka akcja m$, ze za darmoche dawali jakies oprogramowanie do usuniecia wirusów i botnetu. Nie można by było po prostu wyczaic czego uzywaja i ukatrupic same botnety? nie system sterowania , ale same botnety.
    3. To jacys crakerzy, ale nie mozna ich lekcewazyc. Niech byle glupek wysupla 50$ i powie by zablokowac elektrownie, albo szpital?

    • Ad 1. Zgadza się. Zarówno rząd, korporacje (ale i ogólnie firmy) oraz obywatele musza być przygotowani na takie ataki. Niestety to wysoka cena za globalizację i upowszechnienie internetu. Po związanych z tym korzyściach i przyjemności dostępu do świata niemal dla każdego nadchodzi ciemna strona wynikająca z tego, że podobnie jak w realnym społeczeństwie nie brakuje ludzi złych. Nie jest to duży % userów, ale wystarczający do utrudnienia funkcjonowania w necie. Natomiast szeregowi obywatele wbrew pozorom nie są bezbronni, bo mogą przecież nie dołączać do botnetu (trochę ostrożności podczas ściągania plików, otwierania nieznanych załączników, no i edukacja w dziedzinie ostrożności w internecie już od podstawówki) to podstawa. To nie jest łatwe, ale innej drogi nie ma, a problem mają wszystkie państwa i jest on wszędzie ten sam (jak wspomniałem kłania się globalizacja).
      Ad 2. MS daje za darmo MS Security Essentials dla systemów Windows XP, Vista i 7. O ile wiem można go używać w środowisku do 10 stanowisk. Windows 8 ma wbudowaną zaporę sieciową. Jednak to nie wystarczy i trzeba dokupić pakiet Internet security, najlepiej wysoko lokowany w testach Virus Total, choć brak darmowego i prostego w obsłudze pakietu security w Windowsie to był zdecydowanie zły pomysł (znane przed laty określenia typu wingroza nie są bezzasadne).
      Ad 3. To crackerzy i polskie firmy, ale i Polska w ogóle musi się przed nimi bronić i w tej materii cały świat ma dokładnie ten sam problem (no może małe i mało znaczące państwa mają ten problem mniejszy, a większe i ważniejsze państwa proporcjonalnie większy). Ogólnie w tym kierunku pójdą przyszłe konflikty nie tylko przeciwko firmom, między zwaśnionymi firmami czy grupami etnicznymi, ale nawet konflikty zbrojne między państwami czy o zasoby naturalne (w niektórych rejonach będziemy mieli konflikty o wodę). Dlatego tez kluczowa infrastruktura istotna dla bezpieczeństwa powinna mieć możliwość funkcjonowania offline i najważniejsze dane przechowywać offline. Już dawno temu słyszałem, że klucze szyfrujące do kart kodowych Nagravision dla płatnej telewizji są trzymane w zamkniętym pomieszczeniu na komputerze nigdy nie podłączanym do sieci. Oczywiście i tu są pewne zagrożenia o czym przypomniał Stuxnet (miał on zdestabilizować wirówki w irańskim ośrodku atomowym, bo Iran dał powody by nie wierzyć w wyłącznie pokojowy charakter jego atomowych badań). To samo z siecią naszego MSWiA odseparowaną od publicznego netu i, co oczywiste od strony MSWiA.

  68. Strona allegro.pl nadal nie działa. Pod IP 72.52.5.208 nie można kończyć aukcji ani korzystać z menedżera sprzedaży. Kiedy można spodziewać się rozwiązania problemów?

    • To widocznie masz jakiś problem u swojego ISP, bo od paru dni Allegro działa. Od jutra tj, 11.04 Allegro przejdzie na stałe na nowy interfejs i bardzo dobrze, bo zmniejsza on transfer danych ze względu na odświeżanie danych np. po zmianie parametrów wyświetlania bez odświeżania strony (zastosowali HTML5 lub AJAX). Może spróbuj mobilne Allegro pod adresem m.allegro.pl, które jest bardzo ubogie funkcjonalnie, ale przynajmniej można licytować.

    • “Od jutra tj, 11.04 Allegro przejdzie na stałe na nowy interfejs i bardzo dobrze(…)”

      Widzę, że kolega najwidoczniej należy do tzw. docelowego targetu, w który wymierzony jest nowy layout Allegro (i stąd to zadowolenie). Niemniej sugerowałbym zapoznać się z zawartością wątku…
      http://cafe.allegro.pl/showthread.php?1642175-Witamy-w-nowym-Allegro!
      …gdzie jak na dłoni widać, że z “nowego, lepszego” Allegro “zadowolony” jest “aż” ~1% użytkowników;)

      Dziwnym trafem pierwsze DDoS-y na Allegro poleciały “tuż” po tym, ja te na siłę wepchnęło userom nowy layout twierdząc, iż jest on tym, czego rzekomo potrzebują;)
      Widocznie te huczne odbębnienie marketingowego sukcesu połączone z trąbieniem o tym, jak to userzy są z nowego wyglądu Allegro “zadowoleni” wkurzyło kogoś do tego stopnia, iż postanowił poświęcić te 370 baksów;)

      Osobiście dziwi mnie, iż mało kto powiązał ze sobą te “wydarzenia’.

    • Przy okazji przeskanuj antywirem swojego kompa.

  69. […] atakach DDoS jednak można zarobić …i wcale nie trzeba żądać okupu w BitCoinach. Wczoraj waluta BitCoin przeżyła 50% spadek wartości — niektórzy uważają, że przyczyn […]

  70. Jakas grubsza sprawa – pracuje dla INGa i w Holadnii tez serwery zDDoSowane..

    Mail od samego CEO:

    Update: Wednesday 10 April: DDoS attacks

    Dear colleague,

    We would like to bring you up to speed on the events of yesterday and today. As you all know, we experienced another DDoS attack yesterday evening, which resulted in just 20 minutes of downtime for Mijn ING, the Mobile Banking app and iDeal.

  71. […] policji potwierdza także, że w trakcie ataków DDoS na Allegro i mBank żądano okupu w Bitcoinach w wyskości 50 tys. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: