dil: (Default)
dil ([personal profile] dil) wrote2011-07-29 08:01 pm
Entry tags:

Мои 5 копеек про последние проблемы в ЖЖ

Я не знаю, была ли в последние дни серьёзная атака на ЖЖ. Вполне возможно, что была.

Но я знаю, что проблемы с постингом в ЖЖ были вызваны не атакой, а криворукостью сотрудников СУПа. 25 – 27 июля даже в те моменты, когда ЖЖ нормально отдавал контент на чтение, мне не удавалось отправить ни один пост, комментарий, личное сообщение, и даже открыть тикет в техподдержке, чтобы об этом сообщить. ЖЖ тупо возвращал пустые страницы. Более того, иногда он делал то же самое и для вот таких запросов типа GET в процессе установки кук для домена dil.livejournal.com, из-за чего я не мог посмотреть на свой журнал после логина.

Я перепробовал все способы: чистил куки, кэш, менял браузеры, операционные системы, IP-адреса, ничего не помогало. 26 июля мне некоторое время удавалось что-то писать через амеркиканские прокси, видимо, их в тот момент не фильтровали, но потом и это перестало работать.

При этом IE выдавал настолько странное сообщение,

что я решил посмотреть, чтО там на самом деле отвечает сервер. И вот как оно выглядело:

Потом я ещё несколько раз пробовал, и стабильно получалось то же самое: после первой передачи запроса сервер отвечает ACK 1, как будто он ничего не получал. Клиент повторно отправляет запрос несколько раз, сервер молчит. Через 15 секунд после установки соединения сервер, так ничего и не ответив, рвёт соединение, причём делает это некорректно.

Если кто хочет сам поизучать, вот этот дамп, снятый вечером 26 июля.

Будь это слишком перегруженный сервер или неотвечающий backend, оно бы так не выглядело. Мне кажется, что так выглядит криво настроенный файрвол, реагирующий на какие-то параметры в запросе. Убирание части урла из показанного выше запроса GET позволяло достучаться до сервера и получить вразумительный ответ,  но результат, конечно, получался неправильный, и браузер опять редиректило на тот же самый урл, где всё и застревало.

Upd: нашёл ещё один дамп, снятый на другой машине днём 26 июля. Выглядит почти так же, слегка различается процесс закрытия соединения, видимо, из-за немножко разных реализаций TCP на клиентских машинах, но поведение сервера идентично.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

atytarenko: (Default)

[personal profile] atytarenko 2011-07-29 11:43 pm (UTC)(link)
Спасибо, очкнь полезно. У меня самого просто руки не дошли. Спасибо.

[identity profile] pe3yc.livejournal.com 2011-07-31 05:31 pm (UTC)(link)
Сцупповые утверждают, что это таким образом у них защита антидосовая работает, дропает длинные соединения.

Непонятно только, от кого они теперь защищаются, и почему таким уебанским способом..

[identity profile] pe3yc.livejournal.com 2011-07-31 06:29 pm (UTC)(link)
Ойбл, оно тут хтмл не парсит совсем, вот же ж чудо.

[identity profile] pe3yc.livejournal.com 2011-07-31 06:29 pm (UTC)(link)
Дык злой дидос и скушал, кто ж ещё.

Надо будет спросить у Игрика, (http://damian.livejournal.com/693663.html?thread=3784607#t3784607) пусть расскажет.

[identity profile] pe3yc.livejournal.com 2011-07-31 07:06 pm (UTC)(link)
Ну, он и сейчас говорит, что от нескольких параметров зависит, не только от объема.

Но на кой хер?

[identity profile] pe3yc.livejournal.com 2011-07-31 08:03 pm (UTC)(link)
Вот и я не понимаю, зачем. И Дронов не говорит, зачем.

Тайна, покрытая мраком.

Хотя сейчас говорит, что уже отключили (http://igrick.livejournal.com/510012.html?thread=5142076#t5142076). Чего держали?

[identity profile] pe3yc.livejournal.com 2011-07-31 10:37 pm (UTC)(link)
Допустим, отключили. А на хуя держали включенным два дня после "атаки"?

[identity profile] pe3yc.livejournal.com 2011-08-01 10:47 am (UTC)(link)
У меня пока всё нормально.