Проект Arch Linux ограничил доступ к сайту archlinux.org из-за DDoS-атаки. До урегулирования ситуации доступ к сайту через IPv4 отключён и оставлен только для запросов через IPv6. Отмечается, что это вынужденная мера из-за невозможности решить проблему оперативно - для блокирования атаки требуется помощь хостинг-провайдера (Hetzner), но в праздничные дни возможность обращения в службу поддержки оказалась проблематичной...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64504
Hetzner явно немецкоязычное название. Чёт они там со своими праздниками совсем расслабились.
это один самых известных хостеров в мире, мог бы и загуглить)
Один из самых известных …овнохостеров. Впрочем, цена/качество неплохи.
у Херцнера последний год постоянно какие-то проблемы лезут, и даже Клаудя не может справиться - постоянно рубят соединение.
Так их РКН уже пол года как душит. Видимо в попытках забороть персональные "ускорители интернета" на впсках.
При чём тут РКН?! Сами херцнеровцы на своём ресурсе писали, что у них роутеры не справляются с потоком.
Например:Hetzner: "We will be carrying out urgent maintenance work on the access routers and the connected ToR switches in our data centers between 4 November 2024 and 6 December".
Такой вот "ургент ворк" был на целый месяц.
И что? Это же не значит, что весь хетцнер делал столько времени
Непонятно только с чего, у пакистанцев из саппорта тоже какой-то праздник? Скорее в честь праздника просто не заплатили, а покупателям не привыкать.
> Непонятно только с чего, у пакистанцев из саппорта тоже какой-то праздник?Всмысле? Вот они, работают, не покладая рук. Каждые несколько секунд группой проверяют вручную - работает ли сервис у кастомера или нет.
Без оплаты они не очень стремятся работать, факт.
а зачем работать без оплаты?
> а зачем работать без оплаты?Ради счастья обладания результатами своих трудов.
разве есть такое?
-- - - -- Ради счастья обладания результатами своих трудов.Ради счастья других обладания результатами своих трудов - поправил.
Самолюбие как-то сюда совсем не вписывается, если только - понт.
Труд есть дело чести, славы, доблести и геройстваа не оплаты
Это тот провайдер, который пытался хакнуть jabber.ru через подмену сертификата. А, будучи пойманным за руку, стал играть в молчанку. И как, удалили его корневой сертификат после этого из всех браузеров? Зато казахский заблэклистили ещё до внедрения :)
Ага, провайдер пытался, конечно.Кто-то совсем краснеть разучился.
> Ага, провайдер пытался, конечно.Поищи историю про то, как французы выпускали сертификат на домены Google для таргетированной атаки. Организация, которая это делала, до сих пор в списках доверенных CA.
>> Ага, провайдер пытался, конечно.
> Поищи историю про то, как французы выпускали сертификат на домены Google для
> таргетированной атаки. Организация, которая это делала, до сих пор в списках
> доверенных CA.В огороде бузина, а в Киеве дядька? При чём тут французы, Тимур?
>>> Ага, провайдер пытался, конечно.
>> Поищи историю про то, как французы выпускали сертификат на домены Google для
>> таргетированной атаки. Организация, которая это делала, до сих пор в списках
>> доверенных CA.
> В огороде бузина, а в Киеве дядька? При чём тут французы, Тимур?https://www.opennet.dev/opennews/art.shtml?num=59965 - а при том, что более достоверной информации ты так и не привёл и пытаешься пристыдить за что-то (шта?). Избавляйся от синдрома утёнка уже. У меня товарищей-айтишников, которые пытаются при каждом удобном случае рассказать, что их выбор самый правильный и всех остальных надо минусовать, и без тебя хватает.
ПыСы: ссылки на Хабр у нас тут уже удаляют, как я погляжу...
Как связан инцидент с jabber.ru и подмена сертификата Google.
Вы вероятно имели в виду этот случай https://opennet.ru/38613-caКомпания Google сообщила о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов Google. Указанные сертификаты были созданы с использованием промежуточного сертификата удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), отвечающему за безопасность информационных систем.
Организация ANSSI выявила, что промежуточный сертификат удостоверяющего центра был использован в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось для инспектирования зашифрованного трафика пользователей данной сети. При этом подобная система была развёрнута с нарушением установленных в ANSSI правил.
После выявления инцидента агентство опубликовало заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов является результатом ошибки, допущенной сотрудником при конфигурировании устройства в процессе проведения работы по усилению безопасности внутренней IT-инфраструктуры. В частности, вместо инспектирования защищённого трафика, связанного только с доменами французских правительственных структур, цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), генерировались и для сторонних доменов.
Ещё был случай, когда CA DigiNotar левый сертификт для доменов Google выписал https://opennet.ru/31635-ssl
> Как связан инцидент с jabber.ru и подмена сертификата Google.Они как-то связаны с тем, что называется "двойные стандарты". Одни государственные структуры висят в доверенных CA браузеров годами, несмотря на регулярные "проколы" и отсутствие результатов аудита. А других не только туда не пускают, но и блэклистят даже самоподписанные CA, как было с упомянутым казахским инцедентом. Кстати, сделано было по тому, что общепринятая мораль называет доносом.
> Ещё был случай...
Случаев было больше, я даже их когда-то тут приводил.
>Они как-то связаны с тем, что называется "двойные стандарты".Тебя кто-то спрашивал мнения про двойные стандарты? Нет.
Тебя припёрли к стенке на откровенном вранье про провайдера и Hetzner.
Ни "французы", ни прочие страны, ни вообще кто либо ещё нас тут не волнуют совершенно, они могут хоть есть детей, это не имеет отношения к данному конкретному случаю, который мы обсуждаем.
Гетцнер не во Франции, мы не во Франции.
> Тебя припёрли к стенке на откровенном вранье про провайдера и Hetzner.Ты НГ уже отмечать начал или по жизни такой? Кого ты там уже куда припёр?
> Тебя кто-то спрашивал мнения про двойные стандарты? Нет.
А твоё ценное мнение кто-то спрашивал? Вот это, мальчик, и называется двойными стандартами. Свою писю меряй той же линейкой, которой и других мерять пытаешься.
Порвался маленький врунишка.Надо бы Hetzner тебя за libel к суду привлечь, это даже в России можно. Я даже готов им пару рупий на адвокатов задонатить.
Будет классно посмотреть, как тебе счета арестуют.
> Надо бы Hetzner тебя за libel к суду привлечь, это даже в
> России можно. Я даже готов им пару рупий на адвокатов задонатить.Сгоняй и напиши им донос очередной, маймуна веришвила.
> Будет классно посмотреть, как тебе счета арестуют.
Шта, какие счета? Я, вижу, ты такой же юрист, как и айтишник. Для ареста счетов надо сперва, чтобы я отказался выплатить компенсацию за доказанный в суде материальный ущерб. А конвертировать ущерб репутации в материальную составляющую в российском суде будет сложно, особенно в условиях двухсторонних санкций... Ты со своими угрозами можешь на своих друзьях-придурках тренироваться разве что.
> Я даже готов им пару рупий на адвокатов задонатить.
Да куда уж Hetzner'у без твоих подачек на АДВОКАТОВ? Может всё же на юристов? Они же подавать по твоей задумке будут на меня в суд. Вот же ж специалист по корпоративному праву нашёлся )))
Двойные стандарты - это благодаря чему ты жив. Вот есть ты, а есть твои конкуренты. Тебе всё можно, а конкурентам можно только сдохнуть. У кого подход иной - те сами давно сдохли и были истреблены естественным отбором.
в той атаке участвовали два провайдера Hetzner и Linode - а значит это точно по запросу органов проводилось, не там у тебя акценты расставленыа то сказал так будто это сам Hetzner офигеть какой инициативный )))
почему не написали официальную претензию? пусть бы дали официальный ответ и стало бы понятно, по формулировка, что мы не можем "ни подтвердить ни опровергнуть" )))
> почему не написали официальную претензию? пусть бы дали официальный ответ и стало
> бы понятно, по формулировка, что мы не можем "ни подтвердить ни
> опровергнуть" )))А ты поищи получше.
> в той атаке участвовали два провайдера Hetzner и Linode - а значит это точно по запросу органов проводилось, не там у тебя акценты расставлены
Упомянули бы в новости Linode, то и ему бы досталось. Против jabber.ru дело было заведено? Да нет. До сих пор такой информации не появилось. Ну для обысков и слежки же в гос-ве, претендующем на статус правового, должно быть юридическое основание. Пока что выходит, что они просто политически мотивированный взлом пытались провести. Вот и всё. Формулировка ему моя не понравилась... - я где-то переврал факты или сманипулировал при их интерпретации?
>Ну для обысков и слежки же в гос-ве, претендующем на статус правового, должно быть юридическое основаниеОно не правовое, а rule-of-law. Легистское то есть.
>>Ну для обысков и слежки же в гос-ве, претендующем на статус правового, должно быть юридическое основание
> Оно не правовое, а rule-of-law. Легистское то есть.Та замовкны вжэ, легистом тут он стал. "Не правовое, а rule-of-law", я же говорил в предыдущем сообщении, что у тебя сущая неразбериха в голове.
Коробки РКН тоже уже делают подмену сертификатов забугорных сайтов самоподписанными.
Так что MITM передаёт привет вашему шифрованию.
Трындите, батенька, т.к. не понимаете, что для MITM у клиента должен быть установлен CA authority, подконтрольный РКН. А такого нет...
Hetzner Online GmbH is a company and data center operator based in Gunzenhausen, Bavaria, in Germany
Дальше думаю не нужно объяснять про немецкие профсоюзы и их нежелание работать в праздники и выходные и в рабочие после 17:00
Индусско-пакистанский саппорт сидит у себя на родине и обычно принимают только звонки и работают передастами.
> Дальше думаю не нужно объяснять про немецкие профсоюзы и их нежелание работать в праздники и выходные и в рабочие после 17:00А при чём тут профсоюзы, если хозяева хостинга не предусмотрели никакой возможности решать такие проблемы в праздничные дни? Это же не первый случай, и не последний.
>но в праздничные дни возможность обращения в службу поддержки оказалась проблематичной.Может быть еще по немецким законам нельзя больше определённого количества человек привлекать на работу в выходные/праздники. Для безопасности и блага конечно, чтоб не перетрудились.
А есть какие-то сервисы, чтобы попасть на сайт, не имея ipv6 ?
Teredo
Погиб смертью храбрых
Давно не работает.
он только между xboxами. И сделан исключительно для того, чтобы в винде игры работали. Всяких "зайцев" M$ содержать не будет, поэтому до сайтов ты через виндовое тередо не достучишься. А кроме MS ныне никто серверов не держит.
>А есть какие-то сервисы, чтобы попасть на сайт, не имея ipv6 ?Любой ipv6 tunnel broker.
Если по-рабочекрестьянски пыщь-пыщь и ехать, без претензий на бензоопасТность и космическую скорость, то miredo ещё шевелится. Даже в debian есть.
Hurricane Electric Tunnel Broker
Хочешь продолжить DDOS-атаку, но у тебя в стране нет IPv6?
Индия впролете, вот так их хаха, индийских кодеров, больше не будут Ддосить Arch).
Tor. Только надо убедится, что в конфиге выход через IPv6 ноды не забанен.
Claudflare WARP. Можно самому сгенерировать конфиг для WG или установить домохозяичную утилиту, которая работает нажав одну кнопку.
а может подрубить Cloudflare и не страдать на каждый чих?
Там, где я живу, Cloudflare заблокирован.
Почему мы должны беспокоиться о тех, кто живёт где-то там, где ты.
Почему кого-то должно беспоить твоё мнение.
А где вы живете?
ды скорее всего он живёт в Нижних Землях :-)(ну если не считать моменты когда временно требуется отключить VPN)
как и остальные 140 миллионов человек.
и кстати нет там ни каких проблем с ipv6
Дак она там есть... Сайты из-под Херцнера постоянно Клаудей блокируются.
Вотъ те и Арч! Да, уж бывает-же такое, взяли и рубанули рубильник, как старый добрый электрик дядя Вася из ЖилКомХоза. Да еще под Новый Год!Всех, кстати с Наступающим! И чтобы всех поменьше отключали и блокировали в Новом Году!
>И чтобы всех поменьше отключали и блокировали в Новом Году!Наивный. Это было только начало.
Буква "н" в "Арч" означает "надёжность".
а что не так с надёжностью?в 2025 (2026) году до сих порт у кого ещё нет ipv6 ?
У 50% этой страны, держу в курсе
Вот такие нынче айтишники-линуксоиды. Если дядя провайдер в клювике что-то не принёс и в роутер не положил, то сами не пошевелятся, лапки мешают. А когда-то приходилось ядро собирать под железо. Не потому, что гентушник, а потому что иначе ничего не работает.
Практически ни у кого, он не нужен ни для чего.
В Западном мире его нет примерно у всех. Распространён только в Китае.
у "ч" (н) там ножки одной нет :)
Стало быть таки надёжный. Нога вон отвалилась, а всё равно стоит. Хорошие сапоги, надо брать.
отключили ipv4 — ни кто даже не заметил ,если бы не эта новость
Да. Всё работает. Сайты открываются. Не вижу проблем никаких. Запись типа A вроде на месте.
Никто не заметил, потому что аудитория арча это ~100 человек со всей планеты.
17 тысяч, зарегистрированых на AUR, сопроводителей пакетов, посмотрели на тебя как на умалишенного.
> 17 тысяч, зарегистрированых на AUR, сопроводителей пакетов, посмотрели на тебя как на
> умалишенного.То что они сопровождают пакеты не значит что они сидят на линуксе. Я тоже являюсь коммитером FreeBSD с 2008 года, но сидел, сижу и буду сидеть на маках.
У кого-то жестко дымится задудосить Арч с осени.
Самый неудобный rolling дистрибутив, потому что если обновлять через полгода без обнов - гарантированные проблемы при pacman -Su. На сайте часто встречаются новости с "package requires manual intervention". Плюс ко всему, он потерял свой KISS принцип, когда перешёл на монструозный SystemD. Если кто подумывает переходить на это, посмотрите лучше в сторону Void. Намного стабильнее как rolling release, и безпроблемный.
Я на линуксах и бсд сижу более 20 лет и ВСЕГДА и ВЕЗДЕ проблемы при обновлении мажорных версий. Поэтому опытные рекомендуют не заморачиваться и все ставить с нуля каждый раз (и чем старше становишься, тем понятнее эта истина). Про роллинги даже говорить не буду — там ломается все и всегда.
> Поэтому опытные рекомендуют не заморачиваться и все ставить с нуля каждый разНапоминает переустановку Винды - очень популярный способ конца 90-х начала нулевых. Ещё лет двадцать и глядишь дистрозоопарк доростёт хотя бы до Windows 7. Пишу из Fedora 43, если что. ;-)
Я и сейчас на своём ноутбуке с Windows минимум раз в год её переустанавливаю. Механизм отлажен и частично автоматизирован, времени занимает пару часов, а профит огромен.
> Я на линуксах и бсд сижу более 20 лет и ВСЕГДА и ВЕЗДЕ проблемы при обновлении мажорных версий.Сидеть на линуксе не пробовал, но пользуюсь им более 20 лет и в проде, и на локалхостах. Есть один Дебиан, который я "ношу" с собой примерно со времён potato, и он до сих пор жив. Я даже не буду пытаться вспомнить, сколько виртуальных и железных машин, он пережил. Но обновления между релизами ломали только то, что обещали сломать, и не более того.
> и беспроблемныйИ перманентно сломанный.
> Если кто подумывает переходить на это, посмотрите лучше в сторону Void. Намного стабильнее как rolling release, и безпроблемный.К мейнтейнерам воукистам? Нет, спасибо) Прошу прощения, если это не так. Эта информация получена лишь из того, что слышал от Void-юзеров.
Да и исходя из блога Дэвида Вилсона (System Crafters), он первоначально испытал некоторые негодования при знакомстве с Void-комьюнити, после того как решил попробовать Void для перехода. Не знаю как далее изменилось у него мнение, недавно слежу. Похоже он таки перешел на Void и сейчас пишет на своем языке программирования Sigil (https://codeberg.org/sigil/sigil) новый инструмент для декларативного управления системой в Guix-стиле.
У меня опыт же общения с русскоязычным Void-комьюнити крайне негативный.
> Самый неудобный rolling дистрибутив, потому что если обновлять через полгода без обнов - гарантированные проблемы при pacman -Su.
Если нет возможности обновляться чаще, то может вам не на rolling?
Кому могло потребоваться атаковать арчлинукс?
Мелкомягким индусам, т.к. это основа для Valve.
Тем, кто понимает, что Арч не нужен (и даже вреден в условиях набора популярности Линуксом) и лучше оставить две главные адекватные базы: Дебиан и Федору.
> Тем, кто понимает, что Арч не нужен (и даже вреден в условиях набора популярности Линуксом)Этот комментатор не нужен (и даже вреден, в условиях перенакопления бреда в комментариях на Опеннете).
Почему бы не оставить доступ _только_ по IPv6 ?
> Почему бы не оставить доступ _только_ по IPv6 ?Идея, кстати, неплохая. Пользователи Archlinux люди опытные. Будут долбить провайдров, чтобы те давали доступ в интернет нормально.
Ещё бы какой-нибудь порносайт исключительно по IPv6 бы работал с эксклюзивными видео. Вот тогда точно внедрять начнут.
> Будут долбить провайдровДаже не линуксоиды пробовали долбить провайдеров, но увы - там сидят эффективные манагеры, которые скорее последнюю копейку из уже существующей базы пользователей выжмут и пролетят мимо кормушки для "поддержки (штанов) отечественной инфраструктуры связи", которая обязательно грядёт, чем пошевелятся и перенастроют свой _уже_ работающий IPv6 с /128 или /64 slaac on-link для роутера на dhcp-pd routed via fe80::
> Ещё бы какой-нибудь
Не начнут - в вк уже всё зазеркалили, а идиотам невдомёк кто вместе с ними что смотрит.
с эксклюзивными видеопоперек?
Тогда аудитория арча сузится с нынешних ~100 человек, до ~1.5 человека.
А как будут в африке индие качать. У некоторых итернет то 400Kb/s странах.
Ты о них подумал ты о них подумал)
Как ни крути, Arch Linux один из лучших, если не лучший дистрибутив из всех ныне существующих.
Их и по IPv6 DDoS-ят$ ping archlinux.org
PING archlinux.org (2a01:4f9:c012:16e3::1) 56 data bytes
64 bytes from archlinux.org (2a01:4f9:c012:16e3::1): icmp_seq=1 ttl=46 time=110 ms
64 bytes from archlinux.org (2a01:4f9:c012:16e3::1): icmp_seq=2 ttl=46 time=106 ms
64 bytes from archlinux.org (2a01:4f9:c012:16e3::1): icmp_seq=6 ttl=46 time=106 ms
^C
--- archlinux.org ping statistics ---
7 packets transmitted, 3 received, 57.1429% packet loss, time 6086ms
rtt min/avg/max/mdev = 106.057/107.259/109.588/1.646 ms
Мб это на твоей стороне? Проверь wiki.archlinux.org, они на другом хосте. Или вообще что-то ещё в интернете кроме серваков хетзера.
> Мб это на твоей стороне? Проверь wiki.archlinux.org, они на другом хосте. Или
> вообще что-то ещё в интернете кроме серваков хетзера.Нет, wiki.archlinux.org пингуется без проблем. Пинг archlinux.org сейчас работает чуть лучше, но всё равно, хотя бы один пакет теряется.
А что вообще за прикол с Hetzner?
Я просто не понимаю, почему там надо размещать свои сервисы....:D
Я, конечно понимаю, что, возможно в этом есть какой-то свой смысл, но когда ты каждый день видишь, что тебя из их подсети пытаются постукивать и твоих соседей, то просто доверие до нуля скатывается=^•з•^=
-
Мб это из-за.. у меня идей нет, ибо даже если натянуть valve и их политику, то это вообще звучит как дикий аргумент:D
-
Одним словом ужас, скоро будем донатить арчу на норм хостинг и защиту от доса
кому вообще пришла идея дрючить арч... он же вообще не представляет никакой ценности. а точно ли была ддос атака, а не очередное рукожопие админов или проблема с сетью в хецнере?