![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
Я не знаю, была ли в последние дни серьёзная атака на ЖЖ. Вполне возможно, что была.
Но я знаю, что проблемы с постингом в ЖЖ были вызваны не атакой, а криворукостью сотрудников СУПа. 25 – 27 июля даже в те моменты, когда ЖЖ нормально отдавал контент на чтение, мне не удавалось отправить ни один пост, комментарий, личное сообщение, и даже открыть тикет в техподдержке, чтобы об этом сообщить. ЖЖ тупо возвращал пустые страницы. Более того, иногда он делал то же самое и для вот таких запросов типа GET в процессе установки кук для домена dil.livejournal.com, из-за чего я не мог посмотреть на свой журнал после логина.
Я перепробовал все способы: чистил куки, кэш, менял браузеры, операционные системы, IP-адреса, ничего не помогало. 26 июля мне некоторое время удавалось что-то писать через амеркиканские прокси, видимо, их в тот момент не фильтровали, но потом и это перестало работать.
При этом IE выдавал настолько странное сообщение,
что я решил посмотреть, чтО там на самом деле отвечает сервер. И вот как оно выглядело:
Потом я ещё несколько раз пробовал, и стабильно получалось то же самое: после первой передачи запроса сервер отвечает ACK 1, как будто он ничего не получал. Клиент повторно отправляет запрос несколько раз, сервер молчит. Через 15 секунд после установки соединения сервер, так ничего и не ответив, рвёт соединение, причём делает это некорректно.
Если кто хочет сам поизучать, вот этот дамп, снятый вечером 26 июля.
Будь это слишком перегруженный сервер или неотвечающий backend, оно бы так не выглядело. Мне кажется, что так выглядит криво настроенный файрвол, реагирующий на какие-то параметры в запросе. Убирание части урла из показанного выше запроса GET позволяло достучаться до сервера и получить вразумительный ответ, но результат, конечно, получался неправильный, и браузер опять редиректило на тот же самый урл, где всё и застревало.
Upd: нашёл ещё один дамп, снятый на другой машине днём 26 июля. Выглядит почти так же, слегка различается процесс закрытия соединения, видимо, из-за немножко разных реализаций TCP на клиентских машинах, но поведение сервера идентично.
Оригинал этой записи. Комментировать можно тут или там.
no subject
no subject
Непонятно только, от кого они теперь защищаются, и почему таким уебанским способом..
no subject
no subject
no subject
Надо будет спросить у Игрика, (http://damian.livejournal.com/693663.html?thread=3784607#t3784607) пусть расскажет.
no subject
Он пока ничего не рассказал.
Но сейчас оно связано с объёмом передаваемых данных, а тогда было что-то другое.
no subject
Но на кой хер?
no subject
Могут, например, учитывать скорости поступления данных. Если данные приходят слишком медленно, то соединение расценивается как попытка напрасного расходования серверных ресурсов и дропается. Это я так, фантазирую. Я не знаю, что конкретно они там применяют. И зачем, если атака, типа, кончилась.
no subject
Тайна, покрытая мраком.
Хотя сейчас говорит, что уже отключили (http://igrick.livejournal.com/510012.html?thread=5142076#t5142076). Чего держали?
no subject
no subject
no subject
no subject
no subject