5. 2. 2008

DoS – Denial of Seznam

DoS (Denial of Service) v překladu znamená “odepření služby” a je to způsob, jak hackeři (útočníci) mohou znepřístupnit servery, aniž by do nich museli proniknout. U nás v Seznamu to jde rychleji…sami jsme si tuhle zneprovoznili homepage.

Domovská stránka (homepage) je exponovaný kousek HTML kódu na českém internetu. Za jednu vteřinu přijde ve špičce na servery této služby zhruba 1.500 dotazů. Tyto dotazy vedou na samotnou HTML stránku, CSS, Javascript, případně dynamické části na stránce. Hardwarová výbava pro obvyklý provoz a obvyklé špičky plně dostačuje. Dokonce se dá říct, že stroje značně lenoší a redundance je zbytečně vysoká. V určitých specifických případech to však neplatí, jak se ukázalo minulý týden, když jsme stroje neplánovaně vytrhli z letargie.

O co šlo. Administrátorům přistál ve frontě nevinný instalační plán na aktualizaci HTML a šablon domovské stránky. Za normálních okolností rutina a povětšinou bezproblémová akce. Testuje se především, zda nový vzhled funguje ve všech prohlížečích a linky vedou tam, kam mají. Test i v tomto případě dopadl úspěšně. Došlo k přesunu všech obrázků z 1.im.cz, kde doposud ležely, na lokální výdej – tj. na servery a disky samotné domovské stránky, všechny obrázky fungovaly jak měly.

Jenže…. Každá stránka obsahuje několik obrázků. Tyto obrázky se po stažení do prohlížeče uživatele uchovávají několik dní, než se oveřuje jejich případná změna na serveru, nebo se stáhnou znova. Šetří se tím výkon serverů a také kapacita připojení uživatele. Pokud však změníte adresy umístění obrázků na stránce, všechny tyto vymoženosti padají a prohlížeč si musí obrázek stáhnout, protože je pro něj nový (má novou adresu). Takže po nasazení nových šablon homepage došlo na českém internetu k “masovému probití keší v prohlížečích”, jak zaznělo z úst jednoho kolegy. Během pár vteřin totiž všichni uživatelé aktuálně používající naši domovskou stránku nevědomky spustili dotazy na “nové” obrázky. V praxi se znenadání minimálně 10x zvětšil počet dotazů na servery domovské stránky – už ne 1.500 dotazů za vteřinu, ale takových 15.000. Obrázky totiž musely vydávat ty samé servery. Dostat se z této šlamastiky trvalo relativně dost dlouho. Vyřešit takovou situaci, když se do ní dostanete, připomíná následující: stojíte pod střechou plnou sněhu a padající sníh se snažíte rukama odvalit, aby vás nezasypal.

Pěkný DoS útok jsme si na sebe připravili. Pro mnoho lidí z toho plyne velké ponaučení. A také jeden nový internetový produkt – Seznam Killer. Objednejte si u nás odstavení vašeho serveru, za pár korun prolinkujeme objekty z vašeho serveru na naši domovskou stránku a uvidíte, co zvládne (just kidding…)

'Vlasta
Vlasta