Оригинал
этого материала
Re2: [rirt] RLE и нормы поведения в Сети
Сети
Добрый день!
В файле RLElog.txt весь лог нашего общения с RLE.
Можем добавить сюда еще несколько десятков
мегабайт логов IIS в те моменты,
когда нам удавалось привести его в чувство (приводим
только выдержки —
IISLog.txt).
Атака протекала примерно в следующей
хронологии:
11.10 13:22 — первое письмо от RLE
11.10 14:06 — регистрится в нашей банерной 3 «левых»
сайта (т.е. без
контактной инфы
и вразумительных названий). Начинается
атака с использованием ID этих 3-х
сайтов.
Интенсивность — около 20-30 запросов в секунду.
Падает наш сайт, мы
совершенствуем
алгоритм и к 17.00 поднимаем сайт.
12.10 7.12 — по сайту идет kit.rle.ru, после этого —
начало массированной
атаки уже на все
сайты, зарегестрированные в нашей
баннерной системе, до 100-150 запросов в
секунду.
12.10 14.00 К нам обращаются специалисты
провайдера, отвечающие за наш
сегмент сети
с вопросом — «что происходит, т.к. трусит
всю подсеть». Мы вынуждены просить
нашего
провайдера поставить фильтрацию пакетов на
их маршрутизаторе, т.к. наш
сегмент
радиосети находится в шоковом состоянии.
—- Переписка с RLE —-
13.10 15.00 — атака продолжается, сайт не
работает, специалисты нашего
провайдера ведут
анализ при помощи tcpdump.
Как нам кажется — в данной ситуации вопрос
не в конфликтной ситуации, а в
применяемых
RLE методах ее решения, которые мы считает
откровенным хулиганством.
С уважением,
Евгений Нестеренко
Юрий Соловей
—— Original Message ——
From: «Seva Gluschenko»
To:
Sent: Friday, October 13, 2000 1:18 PM
Subject: Re: [rirt] RLE и нормы пов едения в Сети
> Message from Yevgeniy Nesterenko at Oct 13 14:07 in parts:
>
> YN> Хотим поделиться с вами нашим
обытом общения с RLE
(www.linkexchange.ru)
> YN> и тем во что может вылиться
неконтролируемое поведение такого
«монстра».
> YN>
> YN> Вот уже второй день RLE проводит
атаку типа «отказ от обслуживания»
> YN> на наши сайты www.sle.com.ua и www.search.kiev.ua.
> YN> Атака проводится путем включения
небольшого кусочка кода,
обращающегося
> YN> с запросом на наши сайты,
включаемого в скрипты, выдаваемые RLE
> YN> пользователям.
>
> Это всё звучит очень солидно, но очень
неконкретно. Если Вы приведёте
> собственно фрагмент кода, время начала
атаки и причины, которые, как
> Вы подозреваете, побудили администрацию
RLE на такие действия, можно
> будет пытаться что-то предпринимать. А
лучше и ещё какие-нибудь
> документальные сведения. Фактология
нужна, иначе всё это — стрельба
> пальцами в небеса. Кто гарантирует, что
программисты RLE просто не
> облажались, или RLE просто не поломали?
>
> SY, Seva Gluschenko, just stranger on The Road. | http://gvs.rinet.ru/
> Cronyx Plus / RiNet network administrator. |
GVS-RIPE | GVS3-RIPN
Добрый день!
Вынужден огорчить Вас — мы ничего Вам не
должны.
До тех пор, пока на вашем сайте будет
украденый у RLE дизайн, ни в какие
дискуссии мы вступать не будем. Я прошу вас
сообщить, когда будет изменен
дизайн — после этого, я надеюсь, что поводов
для взаимных претензий у нас не
останется.
——————————————————————
Nikita Nevenchannyy
RLE banner Network Admin.
e-Mail: support@linkexchange.ru St.Petersburg,
Russia.
Web: http://www.linkexchange.ru
—— Original Message ——
From: SLE Banner Network
To: RLE Administrator
Sent: Friday, October 13, 2000 12:51 PM
Subject: RE:
> Добрый день!
>
> Прежде чем мы продолжим наше общение на
тему дизайна сайта SLE Banner
> Network
> Вы должны прекратить атаку на наш сайт.
>
> Администрация SLE Banner Network.
>
> > ——Original Message——
> > From: RLE Administrator [mailto:support@rle.ru]
> > Sent: Thursday, October 12, 2000 6:38 PM
> > To: SLE Banner Network
> > Subject: Re:
> >
> >
> > Добрый день!
> >
> > > В ответ на ваше письмо хочу сказать
следующее —
> > > хотелось бы знать на каком
основании Вы считаете,
> > > что дизайн, графические элементы и
тексты на сайте
> > > http://www.sle.com.ua принадлежат RLE.
> >
> > Дизайн и графические элементы
разработаны для RLE студией
> > «MEZICH design» .
> > Дата разработки указана на сайте
студии
> > http://www.mezich.ru/r/list_all.html ).
> >
> > Я еще раз прошу Вас сделать редизайн
своего сайта — Вы вводите в з
> > аблуждение
> > наших пользователей. Мы получаем
множество писем с вопросами : «А
> > не Ваш ли
> > это проект ?» . А нам не хочется,
чтобы RLE ассоциировалась с таким
> > качеством услуг, как у SLE.
> >
> > ——————————————————————
> > Nikita Nevenchannyy
RLE banner Network Admin.
> > e-Mail: support@linkexchange.ru
St.Petersburg, Russia.
> > Web: http://www.linkexchange.ru
> >
> > —— Original Message ——
> > From: SLE Banner Network
> > To: RLE Administrator
> > Sent: Thursday, October 12, 2000 7:16 PM
> > Subject: RE:
> >
> >
> > > > ——Original Message——
> > > > From: RLE Administrator [mailto:support@rle.ru]
> > > > Sent: Thursday, October 12, 2000 4:40 PM
> > > > To: search@search.kiev.ua
> > > > Subject:
> > > >
> > > > Добрый день!
> > > >
> > > > Повторно прошу Вас убрать с
сайта http://www.sle.com.ua украде
> > нные у RLE
> > > > дизайн, графические
> > > > элементы и тексты.
> > >
> > > а почему не буквы ? …
> > >
> > >
> > > Добрый вечер!
> > >
> > > В ответ на ваше письмо хочу сказать
следующее —
> > > хотелось бы знать на каком
основании Вы считаете,
> > > что дизайн, графические элементы и
тексты на сайте
> > > http://www.sle.com.ua принадлежат RLE.
Возможно Вы
> > > также считаете, что и HTML таги
которые есть на RLE
> > > может использовать только RLE?
> > >
> > > С уважением,
> > > Администрация SLE Banner Network.
> > >
> > > P.S. Кстати, не является ли фраза «С
уважением» — copyright RLE?
> > >
> > > P.P.S. Спасибо за организованную вами
атаку на наш сайт.
> > > Мы заработали на ней много показов
и протестировали
> > > систему при больших нагрузках.
> > >
> >
> >
>
#Date: 2000-10-11 14:06:00
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem
cs-uri-query sc-status cs(User-Agent)
2000-10-11 14:07:20 213.135.64.164 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0113|Script_timed_out
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 195.248.171.67 — 195.123.1.11 80 GET /showbanner/banner.asp
id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0113|Script_timed_out
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 194.67.163.106 — 195.123.1.11 80 GET /showbanner/banner.asp
id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 195.9.2.33 — 195.123.1.11 80 GET /showbanner/banner.asp id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+98;+NetCaptor+6.01)
2000-10-11 14:07:20 64.110.64.129 — 195.123.1.11 80 GET /showbanner/banner.asp
id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 64.50.49.252 — 195.123.1.11 80 GET /showbanner/banner.asp id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+NT+5.0)
2000-10-11 14:07:20 212.9.226.205 — 195.123.1.11 80 GET /showbanner/banner.asp
id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2000-10-11 14:07:20 146.227.127.3 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+NT+4.0;+AIRF)
2000-10-11 14:07:20 161.8.26.226 — 195.123.1.11 80 GET /showbanner/banner.asp id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 194.204.0.249 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+95;+ZDNetSL)
2000-10-11 14:07:20 195.112.227.107 — 195.123.1.11 80 GET /showbanner/banner.asp
id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 194.204.0.249 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+95;+ZDNetSL)
2000-10-11 14:07:20 195.58.1.146 — 195.123.1.11 80 GET /showbanner/banner.asp id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt;+URBrowser)
2000-10-11 14:07:20 159.148.2.114 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+NT;+gameland+5.0)
2000-10-11 14:07:20 195.84.152.81 — 195.123.1.11 80 GET /showbanner/banner.asp
id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 195.46.175.171 — 195.123.1.11 80 GET /showbanner/banner.asp
id=20&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 62.212.34.54 — 195.123.1.11 80 GET /showbanner/banner.asp id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT)
2000-10-11 14:07:20 194.135.18.21 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT)
2000-10-11 14:07:20 194.67.153.42 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 195.131.0.202 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 194.67.153.42 — 195.123.1.11 80 GET /showbanner/banner.asp
id=18&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2000-10-11 14:07:20 212.48.141.50 — 195.123.1.11 80 GET /showbanner/banner.asp
id=19&page=0&btype=0&bstype=1&rnd=0|-|ASP_0198|Server_shutting_down
500 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
…
2000-10-12 09:09:42 193.193.193.97 — 80 GET /showbanner/banner.asp id=8&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:42 195.230.158.15 — 80 GET /showbanner/banner.asp id=1&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:42 62.244.36.7 — 80 GET /showbanner/404error.asp 404;http://www.sle.com.ua/showbanner/banner.asp|-|0|404_Object_Not_Found
302
2000-10-12 09:09:42 213.135.64.2 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:42 194.84.243.218 — 80 GET /showbanner/banner.asp id=5&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:42 195.66.200.114 — 80 GET /showbanner/banner.asp id=1&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:42 195.151.195.1 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 212.111.70.23 — 80 GET /showbanner/banner.asp id=10&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 62.76.36.242 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 213.177.1.241 — 80 GET /showbanner/banner.asp id=10&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 212.56.194.26 — 80 GET /showbanner/banner.asp id=7&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 212.96.192.148 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 193.193.206.37 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 195.24.137.237 — 80 GET /showbanner/banner.asp id=4&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:43 212.164.1.64 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:44 151.38.218.227 — 80 GET /showbanner/banner.asp id=3&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:44 195.46.169.241 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:44 195.151.195.1 — 80 GET /showbanner/banner.asp id=1&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:44 194.84.252.38 — 80 GET /showbanner/banner.asp id=1&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:44 212.109.35.51 — 80 GET /showbanner/banner.asp id=1&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
2000-10-12 09:09:44 195.230.158.15 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|404_Object_Not_Found
302
…
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=2&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=1&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=3&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=4&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=5&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=6&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=7&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=8&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=9&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
2000-10-13 11:50:07 194.93.172.146 — 80 GET /showbanner/banner.asp id=10&page=0&btype=0&bstype=1&rnd=0|-|0|204_No_Content
204
