Содержание статьи

INFO
Это перевод статьи, впервые опубликованной в блоге Крейга Хокенберри (Крейг в числе прочего отвечает за поддержание сайта фирмы Iconfactory). Перевод предоставлен «Хакеру» компанией seed4.me, которая занимается услугами VPN. В июле 2015 года сотрудники seed4.me столкнулись с тем, что их сервис заблокировали в Китае. Разобравшись с вопросами блокировки, в seed4.me узнали об интересной обратной стороне китайского файрвола: некоторые сайты становятся жертвами перенаправления запросов и ложатся под мощным напором китайского трафика. Опыт Хокенберри — наглядная демонстрация того, как это случается. К слову, seed4.me теперь снова доступен в Китае, но уже под другим доменом.
Вступление
Я использую интернет в той или иной форме с середины восьмидесятых годов прошлого века и перевидал множество странных и интересных вещей. Во вторник, двадцатого января 2015 года, я столкнулся кое с чем из ряда вон выходящим.
Все началось с сообщения моего коллеги, Геда, которое пришло в 8:30 утра: «Упал почтовый сервер. Посмотри, когда сможешь. Заранее спасибо».
Серверы упали как на западном побережье США, так и на восточном — в этом я удостоверился сразу же. И начал разбираться, в чем проблема.

Непосвященному этот график ничего не скажет, а вот сетевому администратору он может показать многое. На нем отображается объем трафика, поступающего на основной сервер Iconfactory. Синий график — объем входящего трафика (Мбит/с), зеленый — объем исходящего. Как правило, первый гораздо меньше — в ответ на HTTP-запросы возвращается в разы больший объем, чем они отправляют.
Пик входящего трафика составил 52 Мбит/с. Для сравнения: автор популярного блога Daring Fireball пишет, что для успешной DoS-атаки на сайт достаточно трафика объемом 500 Кбит/с. В нашем случае этот объем был превышен стократно.
Если допустить, что каждый запрос содержал 500 байт, мы получим 13 тысяч запросов в секунду, что составляет примерно треть общего поискового трафика Google. Можно также посмотреть, как журнал Paper масштабировал свои серверы из-за филейной части фотомодели Ким Кардашьян — нагрузка на них составила 8 тысяч запросов в секунду.
И весь этот трафик обрушился на один IP-адрес, обслуживаемый единственным четырехъядерным сервером.
Почему мы?
Едва ли не самый главный вопрос, ответа на который я не нахожу, — почему это произошло с Iconfactory?
Единственное, что нас связывает с Китаем, — один из партнеров, Талос Тсуй (Talos Tsui), родившийся и выросший в Гонконге (еще в бытность последнего британской колонией). Маловероятно, что мы сделали что-то, раздражающее китайское правительство, — во всяком случае, до этого дня.
Всплески трафика ранее на неделе привели меня к мысли, что мы просто «попали под раздачу» — китайцы проверяли нашу способность обработки больших объемов трафика. У нас широкий канал без защиты от DDoS. Периодичность и количество попыток позволяют определить оба этих параметра.
osben
07.02.2017 at 20:30
что слабенько. Из ли личного опыта, после выключение мира были такие цифры. До не сохранилось.
«Здравствуйте.
Нет не снимали. Но сейчас по нашей систем мониторинга видим аномальный входящий трафик уже из Украины на Ваш сервер, а также довольно большой трафик с Вашего сервера.
Трафик порядка 300 Мбит/с и 500 тыс пакетов.»
Да и не 404 надо было пилить а 444 возвращать
timirov
12.02.2017 at 15:50
Коллеги, в предложении «Синий график — объем входящего трафика (Мбит/с), зеленый — объем исходящего.» всё наоборот. Синий график — исходящий трафик, зелёный — входящий.
kxknet
05.11.2018 at 15:50
Одеваем Nginx или Haproxy и до бекенда почти ничего неидёт (если знать что писать)