За два месяца на индустрию высыпалось очень много неприятностей. Из голландского ЦОДа кто-то атаковал правительственные сервисы ЕС, и там сделали массовое изъятие примерно 800 серверов, как бы у нас сказали, почти по беспределу. Но, поскольку это Европа, — в соответствии с духом просвещённой демократии. Сам дата-центр, когда узнал, что произошло, утрируя, поспешно разорвал контракты с оставшимися русскими, теми, кто знаком с Россией, с ней работает или вообще что-то про неё слышал.

А второй ЦОД, где любили вставать хостинги, поплавился от жары. На самом деле это не совсем так, но на жару очень удобно списывать. Кто ж знал, что лето настанет!

Тут интересно то, что никто ничего нормально не рассказывал клиентам, и, собственно, поэтому посты этих хостингов на Хабре превратились в жалобную книгу на некоторое время. Поэтому постить некоторые перестали, чтобы не размывать репутацию своих славных брендов.

Мы было успели обрадоваться, что нас не задело, но тут же случилось изъятие уже наших серверов в Казани. Приехали в дата-центр типа на осмотр и выгребли всё подчистую — копали под одного клиента. И очень интересно грузили и возили. Но мы об этом узнали не сразу. В общем, там тоже феерическая история, сейчас расскажу.

И напоследок прилетел масштабный DDoS, а потом ещё память подорожала на 70%, притом что в потребительском сегменте за месяц всего на 1—5%.

И да, я тот человек, который считал, что 2023 был тяжёлым годом. Но теперь есть с чем сравнить!

Зачем я это пишу

Во-первых, я считаю себя обязанным всё же рассказать сообществу, что случилось и как это выглядит изнутри. Мы когда-то давно обещали так делать, и поэтому рассказываем и подробно разбираем крупные инциденты, которые нас касаются, — даже если это играет нам тактически в минус.

Во-вторых, хочется рассказать просто по существу, показать реальную картину того, как сейчас работает вся отрасль в целом, без упоминания конкретных конкурентов в негативном ключе. Хочется показать, насколько эта инфраструктура хрупка и почему привычные схемы резервирования иногда дают сбой, когда тебя подводит партнёр.

В-третьих, у нас под постами не про хостинг тоже начались обсуждения про хостинг, и я бы хотел снять все возможные вопросы разом. Потому что, в целом, их надо задавать мне, а не нашим авторам.

Начать стоит с того, что произошло в Нидерландах

Из-за санкций и ограничений очевидно, что далеко не все дата-центры сейчас работают с русскими. В итоге все русские компании, которые есть на рынке и предоставляют зарубежные локации, оказались сконцентрированы у одних и тех же партнёров. И когда там начались проблемы, это ударило веером почти по всем — пострадало, по сути, 90% всех хостингов в Амстердаме, работающих с российскими клиентами. Хостеров тут по факту жёстко подвели дата-центры.

Сначала по европейским дата-центрам ударила аномальная жара под 40 градусов. Европейские ЦОДы исторически проектировались под пиковые температуры около +32 °C. В итоге в дата-центре Qupra, который обслуживает зону ams-1, банально не справилась система охлаждения. Один за другим начали выходить из строя промышленные чиллеры.

Но! Они могли знать, что так будет. Этот дата-центр штормило не только в мае—июне, у некоторых ещё в январе уже был из-за этого серьёзный даунтайм. По некоторым не очень точным слухам, системы охлаждения Qupra не справлялись не первый раз, они и так работали в номинал или за расчётными мощностями, а жара их добила.

Чтобы серверы не сгорели, стойки начали автоматически отключаться. Это растянулось на два месяца, но кульминация пришлась на конец июня. Подрядчики ЦОДа действовали крайне медленно, им не хватало силовых кабелей и профильных специалистов даже для подключения внешних мобильных охладителей. Сильнее всего там пострадал российский хостинг-провайдер, который как раз в мае перевёз туда своё оборудование из другого закрывающегося ЦОДа. По их же собственным данным, суммарный даунтайм клиентских машин составил не менее 70 часов, а в некоторых случаях продолжается до сих пор (на момент написания данной статьи).

Плюс ещё в начале мая был сильный пожар в дата-центре NorthC в Алмере, где выгорела часть силовой и технической зоны, из-за чего в офлайн на несколько часов ушёл IBM Cloud.

18 мая нидерландская полиция и фискальная служба FIOD провели жёсткие рейды сразу по пяти адресам, включая ЦОДы в Дронтене и бизнес-парке Схипхол-Рейк. Причиной стало расследование обхода санкций ЕС, наложенных ещё в 2025 году на владельцев PQ.Hosting. Следователи посчитали, что подсанкционная инфраструктура просто переехала на свежее голландское юрлицо WorkTitans (бренд THE.Hosting), а аплинк им давал MIRhosting.

В рамках этого уголовного дела правоохранители просто приехали и физически изъяли около 800 серверов (!) — и арестовали двух человек. Это затронуло огромное количество компаний в России. В смысле, изъятие, а не аресты.

Упрощая, остальные серверы, которые не забрали, просто отключили.

2 июня владельцы дата-центра nLighten испугались юридических рисков и просто в одностороннем порядке, без единого предупреждения, полностью обесточили всё их оборудование, чтобы минимизировать свои риски после рейдов. Так как MIRhosting был оптовым поставщиком мощностей, сработал эффект домино. В один момент легли и крупные российские хостинг-провайдеры, и куча мелких хостеров, кто там хостился.

А хостился там много кто, возможно, потому что Нидерланды — одна из ведущих стран по русскоязычному трафику. Особенно по ютуб-трафику. Ну или эти два факта никак не связаны.

В общей сложности отключилось не менее 15 тысяч сайтов. И бекапы у них были внутрь площадки, то есть географически там же, и даже в тех же стойках. Люди просто потеряли всё без возможности восстановления в моменте. Не все вышли в аптайм — некоторые ищут, куда переехать, некоторые пытаются восстановить железо.

Казань

Как начался инцидент с нашим оборудованием в Казани. Но, глядя на Нидерланды и на нас, нельзя однозначно сказать, что это только наши правоохранители такие.

Всё началось в четверг 11 июня утром. У нас резко пропал аптайм на части казанского оборудования. Первая мысль — дурацкая неполадка сети. Мы начали связываться с оператором. Оператор говорит: «Связываюсь с ЦОДом, ну, типа, там техработы».

Мы подумали, что там техработы. На самом деле там сидела большая опергруппа, которая запретила связываться со внешним миром до окончания мероприятий по выемке данных.

В рамках ОРМ они установили, что интересующие их данные находятся по адресу дата-центра в Казани. Более точно понять, на каком именно сервере, они не могли и не пытались. В итоге забрали всё. Это вообще очень логично, такие попытки случаются раз в год-два примерно, но каждый раз удаётся объяснить автоматчикам, что происходит, и выдать один снапшот виртуальной машины. Дальше они изымают флешку с ней и уходят пытаться её расшифровать, потому что злоумышленники редко когда что-то хранят в открытую.

Так вот. В этот раз мы не понимали, что происходит, потому что нам всё это рассказали уже, когда всё изъятие по факту произошло. В гермозоне оперативно-разыскные мероприятия. Дело там было очень серьёзное, даже не по линии полиции. И это всё из-за одного-единственного клиента, который держал у нас какой-то VPN-сервер.

Мы не могли даже увидеть постановление, потому что допуск требовал личного вручения, а мы были не в Казани. Пришлось ехать.

Если что, обид никаких. Все в этой цепочке правильно сработали. Правоохранители нашли злоумышленника, поставили задачу оперативной группе, группа очень грамотно заехала в здание и не менее грамотно провела мероприятия. Естественно, в группе там специалисты по погоне за отстреливающимися людьми и выпрыгивающими в окна директорами, поэтому выполнили задачу ровно так, как поставили. Профессионализм действий можно оценить по тому, что реально, пока они были на объекте, никто ничего никому не сказал про то, что происходит. Чтобы сохранить тайну следственных действий. Это без шуток очень круто.

Если бы нам сказали об изъятии прямо в процессе, мы бы, возможно, смогли их остановить, объяснив, что, грубо говоря, «это не те дроиды, которые вам нужны» — им нужны были виртуалки и логи, а не физические серверы!

По-хорошему, есть же каналы взаимодействия, мы регулярно реагируем на запросы органов. Но, повторюсь, когда дело серьёзное, почему-то в крупных расследованиях они действуют наверняка и стараются изъять физическое оборудование.

Вероятно, этот клиент накосячил очень сильно.

Здесь я хочу подчеркнуть ключевую деталь того, как мы выстраиваем работу с клиентами. Как только мы выяснили, кто, как и почему всё забрал, мы не стали юлить, а сразу написали в телеграм-канал, где наши клиенты. Врать клиентам в такой ситуации — самое глупое, что может быть. Мы моментально выпустили уведомление, что серверы физически изъяты силовыми структурами.

Мы не знали горизонт их возвращения (в целом вообще не думали, что в какой-то разумный срок вернём), поэтому сразу запустили процесс экстренной закупки аналогичного объёма оборудования для казанского ЦОДа. Понятно, что у нас такого объёма просто лежащего без дела нет, а закупка — процесс длительный. Но мы готовились к худшему: полностью заместить утраченное железо, если оно намертво превратится в вещдоки. А такой риск всегда есть, тогда бы до конца судов его не отдали бы.

В четверг серверы увезли, и до понедельника мы не могли достучаться до руководителей отделов силовых структур из-за выходных. В понедельник с утра наш старший технический специалист и мой коллега приехали в Казань.

Удалось обсудить вопрос. Тут взаимодействие было достаточно приятным — ну, насколько это вообще возможно в этой ситуации. В смысле, они пошли нам навстречу, сделали тут же официальный запрос, мы помогли выгрузить виртуальную машину и данные по клиенту, они довольно быстро отдали оборудование. Одно дело забирать серверы подозреваемого, другое — серверы хостинга. Случилось некоторое непонимание, но в понедельник оно почти всё разрешилось. Мы со своей стороны оказали им полное содействие, и они это признали.

Я знаю случаи, когда в таких ситуациях оно застревало надолго в архиве вещдоков.

Два сервера не запустились.

Сотрудники органов искренне уверяли нас, что перевозили серверы с максимальной аккуратностью, якобы буквально сдувая с них пылинки. Но мы-то точно знаем, что в ЦОДе их никто с кнопки штатно не выключал — просто выдернули из розеток. И оборудование перенесло 3 транспортировки: сначала в четверг куда-то неизвестно куда, а потом в понедельник в то место, где наши ребята должны были помогать им с данными (везли аккуратно, но на обычной «Газели»). Визуально железки выглядели целыми. Сколов и крупных царапин не добавилось.

Тут могла сыграть как перевозка, так и просто само включение-выключение. Железо, которое годами работает в стойке, не переносит таких приключений. При физической вибрации и тряске банально отходят контакты. У нас даже была ситуация, когда мы внутри одного ЦОДа аккуратно перевозили оборудование из стойки в стойку, и четыре сервера не включились. По-хорошему, после каждого перемещения сервера нужно полностью редеплоить ноду: сносить операционку и накатывать всё заново.

Главная беда была с SSD-дисками, собранными в RAID-массивы. У нас везде используются качественные комплектующие Huawei, мы всё гарантируем и меняем, но физику не обманешь. Когда ты резко выдёргиваешь шнур питания, RAID-контроллер, работающий с файловой системой, теряет информацию о структуре дисков. Батарейка на контроллере у серверов старше одного года часто недостаточна для записи остаточных транзакций (точнее, там уровень типа 95% надёжности), поэтому всегда все используют внешние ИБП. Но серверы при отключении выдёргивали именно из них.

При следующем запуске система может не подцепить старый массив дисков и выдаёт ошибку о критическом повреждении файловой системы либо уходит в цикличную перезагрузку.

У нас в одном сервере так полностью повредился диск и потерялась загрузочная запись. К счастью, ребилд и удалённое шаманство админов помогли, избыточность там достаточная.

А вот второй оказался куда сложнее. Мы были страшно стеснены во времени, клиенты буквально обрывали нам поддержку. Мы до последнего пытались завести мёртвый сервер, уже даже было принято решение упаковывать его и везти с собой в Москву. В самый последний момент наш старший админ с настоящими танцами с бубнами смог достучаться до него через IBMC. Появилась небольшая робкая надежда, но мы понимали, что люди не ждут.

Поэтому, когда даунтайм стал большим, мы решили не пытаться его реанимировать, а накатить бекапы на другие машины. И начали разворачивать клиентов там. Конечно, это затянуло время восстановления доступности для некоторых клиентов, но зато в итоге. они гарантированно получили доступные серверы.

Сам пострадавший сервер мы отправили на глубокую диагностику.

Клиенты, конечно, писали в чатах в духе: «Вот, оборудование-то вернули, почему оно не включено?!» Ну вот примерно так. И я думаю, их возмущение понятно: они платят деньги, у них несколько дней даунтайма (с четверга, когда оборудование изъяли), а тут ещё мы говорим, что раскатить всё заново из бэкапов можно, но надо ещё чуть-чуть подождать.

Итоговый простой составил около пяти дней (с утра четверга до вечера понедельника). У нас есть х5 компенсация по SLA из-за наших проблем и нашей зоны ответственности. Увы, тут форс-мажор, действия силовых структур такого типа — это не наша зона ответственности. У нас в команде даже была дискуссия на этот счёт. По оферте, если пропадает связь от провайдера, — мы тоже можем не компенсировать, хотя обычно всегда идём навстречу практически во всём. Но тут причина падения принципиально другая. Чистейший, стопроцентный форс-мажор, который мы никак не могли гарантировать или предотвратить. В итоге компенсировали простой х1.

Мы работаем на рынке больше 20 лет. Все эти годы к нам постоянно приходят во время оперативно-разыскных мероприятий, пытаются забрать оборудование. Всё время получалось защитить оборудование, а тут вот не получилось.

И теперь в комментариях под статьями нам пишут: «Ничего себе, я работаю с сервером, там задержка… О, а у вас там в Краснодаре тоже забрали серверы?». Нам, конечно, не очень смешно от этого.

И до кучи DDoS!

Били по клиенту. Били сильно. Мощность атаки была такова, что у нас наглухо зависли сетевые коммутаторы и все виртуальные свитчи.

Стратегия таких атак строится на том, что сервер коммутируется между физическим портом и виртуальными свитчами. Виртуальные свитчи ложатся, начинают сильно переполнять стек машины. В итоге процессор уходит в 100% загрузку, вся эта машина полностью зависает и перестаёт реагировать на любые команды. Её нельзя перезагрузить программно, она уже не откликнется — помогает только хард-ребут по питанию.

А при хард-ребуте по питанию массивы RAID… Но вы уже помните, да?

Самая большая проблема с такими масштабными DDoS-атаками — это невозможность понять, кого именно бьют и откуда. Если бы доступ был, можно было бы сразу отправить IP-адрес жертвы в блэкхоул. Но нет.

У нас есть несколько слоёв защиты от DDoS, но бесплатные направлены больше на то, чтобы с нашей инфраструктуры не проходила атака на нашу же инфраструктуру или наружу. А вот проконтролировать внешний трафик можно только через центры очистки с очень широкими каналами (шире суммарного канала DDoS). Такая услуга усиленной защиты у нас тоже есть, но там стоимость около 150 тысяч рублей в сутки без НДС, очевидно, это для корпоративных клиентов по запросу, и клиент её брать и не планировал.

DDoS сам по себе тоже дорог, поэтому любая атака имеет свой период, в конце которого она рано или поздно прекратится. Но пережить это — тот ещё фокус.

Самое сложное — найти клиента, которого атакуют. Потому что пролезть на сервер за телеметрией тоже никак не выйдет при 100% загрузке процессоров и сети. Поэтому нам пришлось применять единственное рабочее в таких условиях, проверенное прикладное решение, которым пользуются вообще все хостеры в таких ситуациях. Надёжное, как швейцарские часы. Мы временно отключаем всех клиентов от виртуального свитча, а затем начинаем постепенно, по одному, восстанавливать подключения. Сначала включаем VIP-клиентов и юрлиц с известной историей авторизаций и большим количеством ответственных. И так, ранжируя по признаку доверия, перебираем всех, пока не наткнёмся на того, на кого реально идут атаки. Это долгий и болезненный процесс.

И самое страшное при DDoS-ах — это последствия. Серверы не находятся в 100% даунтайме, они периодически включаются-выключаются (какие-то клиенты даже в это время работают), но бесконечные циклы ребутов убивают массивы. Самое страшное — потом поднимать вот эти все ноды.

И общий фон

Добавлю пару слов о железе.

Дефицит оперативной памяти, комплектующих и рост цен никуда не делись, ценник продолжает расти дальше.

Розничные цены в магазинах за май—июль подросли где-то на 1—5% в месяц, но это обманчивая цифра. Импорт-прайс уровень всегда реагирует с задержкой из-за длинных дилерских контрактов (зимой розница начала расти и сейчас уже достигла пика, хотя 5% в месяц — это тоже прилично). А вот оптовая контрактная цена для заводов за второй квартал (апрель—июнь) взлетела на 70—85%. Сейчас, при текущих заказах, мы уже видим полный эффект этого подорожания.

С сентября прошлого года оборудование подорожало где-то в два раза: оперативная память за второй квартал подорожала суммарно на 90%, а SSD-накопители — на 75%. И аналитики спешат обрадовать, прогнозируя, что в третьем квартале (в июле—сентябре) цены могут вырасти ещё на 40—50%.

Что я могу в этой ситуации посоветовать?

Во-первых, расслабиться и получать удовольствие. Мне советовали потрогать траву и попить чай. Не знаю, нормальный ли это совет.

Во-вторых, не выбирайте bulletproof-хостинги, которые не отвечают на абузы и не оказывают взаимодействие на запросы правоохранительных органов. Потому что, если 100 раз отбиться по мелочи, потом прилетит по-крупному. У нас железо вернули, как разобрались в ситуации. У тех в Нидерландах, у кого изъяли 800 серверов, никто ничего не вернул и, очень вероятно, уже не вернёт.

Во-третьих, если у вас критически важный проект и суперсерьёзные данные — многократная репликация данных и диверсификация по локациям. Понятно, что это дороже, но, если у вас задача, чтобы всё время работало, нужно хранить резервные копии в совершенно разных ЦОДах. Это основа ведения ИТ-бизнеса.

От форс-мажоров не застрахован никто, ни в одной юрисдикции.

Всё, теперь готов ответить на ваши вопросы, но сразу говорю — по Казани там дело с грифом, поэтому деталей именно правонарушения и нашего взаимодействия с органами не будет.

Комментарии (232)


  1. rPman
    07.07.2026 08:42

    доступ к данным по суду, а изымают все, включая соседей, виновные, невиновные, побоку (пойди потом разберись, куда данные уехали.. весело было бы если бы криптовалюту кто-нибудь потерял бы).

    'хорошие' законы, и главное законы то не виноваты, проблема в исполнителях, которые поленились, не разобрались,.. и главное никакой ответственности нести не будут, потому что 'а что ты мне сделаешь'

    и это, европа!


    1. beliy1
      07.07.2026 08:42

      Если пострадали невиновные, значит система беззаконная, никто не отвечает, Европа лицемерна, правильно?


      1. Sanja4
        07.07.2026 08:42

        А Европа тут причем? Движуху не она начинала....


    1. Ox2A
      07.07.2026 08:42

      Знаете, а я, прям, заценил рулады автора профессионализму тех, кто ломает бизнес компании, в которой он работает. Вспомнился даже эпизод с вилкой из отличного советского фэнтези "Убить дракона" 1988 года.


      1. SerjV
        07.07.2026 08:42

        Знаете, а я, прям, заценил рулады автора профессионализму тех, кто ломает бизнес компании, в которой он работает.

        Ну так они ж всё-таки вернули оборудование, хотя могли бы пойти на принцип - т.к. закон действительно даёт им такой изъятие производить.

        А вот что закон написан еще во времена, когда роль у ЦОДов была совсем другой, и с тех пор не изменялся в этой части...

        И кстати говоря, ОРМ - это не единственный риск, при котором у хостера могут изъять серверы.


    1. oldDBA
      07.07.2026 08:42

      Вы не представляете широту этих полномочий. Когда к вам приходят с обыском в 6 утра, а в постановлении вы указаны как СВИДЕТЕЛЬ, хотя сами не знаете чего, потому что дело об уклонении от налогов заведено на юрлицо, с которым вы как физик 5 лет назад 1 раз заключили договор на смешную сумму. Логика - а вдруг чего-нить найдем. И да - легко можно изъять любое имущество и оно будет вещдоком до конца дела. Жаловаться оказалось бесполезно от слова совсем - это законно.

      На уровне физика это может лишить вас работы, а на уровне компании убить бизнес, дальше думайте сами. Не желаю никому пережить этот опыт, на всякий случай заведите себе контакты юриста, если работаете удаленно - имейте комп/ноут(-ы) в запасе и гео-отделенный бэкап, на всякий пожарный в том числе.

      Я, как и автор, сомневаюсь, что те 800 серверов NL использовались юридически чисто. Я тоже пострадал со всеми этими проблемами в NL, но имел резервирование + сейчас хостеры заметно поднимают цены, мой новый счет уже +25%.


  1. AleGen
    07.07.2026 08:42

    Было. У одного нашего хостинг-провайдера отвалился голландский сервак. Надпись "ведутся тех.работы". Мы сначала ждали, а потом начали связываться с ними. И каково же было наше удивление, что они ответили, что все сервера изъяли, а они всем клиентам сообщили по почте. У НАС НИЧЕГО НЕ БЫЛО! И да, не надо мне сейчас рекомендовать посмотреть папку "Спам".

    В итоге мы подняли наш сервис у другого провайдера на немецком сервере.

    Но ребята молодцы, спустя 2 недели всё-таки разрулили ситуацию с голландскими властями, подняли наш сервак, подключили без оплаты на месяц, и подкинули бонусов на ещё один месяц оплаты. ))


  1. MountainGoat
    07.07.2026 08:42

    Случилось некоторое непонимание, но в понедельник оно почти всё разрешилось. 

    На фоне загадочно прошуршала котлета.


  1. AKudinov
    07.07.2026 08:42

    Потрясающе. С одной стороны, группа заезжает в дата-центр изымать данные вполне конкретного клиента, но при этом

    Естественно, в группе там специалисты по погоне за отстреливающимися людьми и выпрыгивающими в окна директорами, поэтому выполнили задачу ровно так, как поставили.

    ...

    В четверг серверы увезли, и до понедельника мы не могли достучаться до руководителей отделов силовых структур из-за выходных.

    ...

    Два сервера не запустились.

    Сотрудники органов искренне уверяли нас, что перевозили серверы с максимальной аккуратностью, якобы буквально сдувая с них пылинки. Но мы-то точно знаем, что в ЦОДе их никто с кнопки штатно не выключал — просто выдернули из розеток

    С другой стороны,

    Если что, обид никаких. Все в этой цепочке правильно сработали.

    Окно Овертона, оно такое.


    1. OlegMax
      07.07.2026 08:42

      Окно Овертона, оно такое.

      Это стокгольмское окно


      1. Femistoklov
        07.07.2026 08:42

        Послушного холопа барин и плёткой бьёт не сильно, а скорее ласково, любя, по-отечески.


    1. hard_sign
      07.07.2026 08:42

      Окно Овертона, оно такое.

      Америка, хайвэй. Полицейский останавливает машину, подходит к водителю и бьёт его по лицу:

      — Когда полицейский подходит, документы должны лежать на торпеде, а руки на руле! Всё понятно?

      — Да, сэр!

      Полицейский обходит машину и точно так же бьёт пассажира:

      — И чтобы когда тронетесь, не смел говорить «попробовал бы он так со мной»! Всё понятно?


      1. Wesha
        07.07.2026 08:42

        ....И чего ты лыбишься, чудило?
        — Вы тоже улыбайтесь, сэр — нас снимает скрытая камера!


        1. aldekotan
          07.07.2026 08:42

          Учитывая, как регулярно выкладывают записи с подобным поведением, которые ведут полицейские… и им всё сходит с рук…


    1. mydigitalhabb
      07.07.2026 08:42

      Ну какие могуть быть обиды, если это уголовно наказуемо, могут запросто повесить дикредитацию органов власти, оправадание терроризма, клевета, противодействие следователей, покушение на территориальную целостность страны, госизмена (гриф секретно жеж!) и бог знает что ещё.


      1. peacemakerv
        07.07.2026 08:42

        Оскорбление чувств верующих в демократию ... да во что угодно


    1. SerjV
      07.07.2026 08:42

      Окно Овертона, оно такое.

      В Казани, в отличии от другого эпизода, формально исполнители поступили в строгом соответствии с законом при изъятии, если на то пошло.

      А вот что закон таков, что не учитывает реалии последних 20 лет и допускает непропорциональный общественной опасности сопутствующий ущерб - это проблема иного плана.

      Видимо, у хостеров недостаточно сильное лобби, чтобы продавить соответствующие поправки в закон...

      Ну или не созрело достаточно болей, чтобы они могли сдвинуть это самое окно Овертона с места.


      1. seregina_alya
        07.07.2026 08:42

        Но автор-то пишет, что они поступили профессионально, чего тут и близко не было) Всего лишь законно, но как младенцы в посудной лавке


        1. SerjV
          07.07.2026 08:42

          Но автор-то пишет, что они поступили профессионально, чего тут и близко не было)

          Тут надо сперва договориться о критерии профессиональности.

          Суда по намёкам автора, занималось этом не МВД, а другая контора. Вот МВД бы по критериям профессиональности для правоохранительных органов - накосячило бы сильно, как в процессуальном плане, так и в техническом - оборудование наверняка бы пострадало не только от выключения и тряски при перевозке.

          По критериям профессиональности для сферы ИТ - да, они изначально поступили неадекватно проблеме.

          Но тут в первую очередь проблема в самом законе (который должен защитить общество от избыточных последствий ОРМ), во вторую - в методическом обеспечении следственных мероприятий (чтобы сам правоохранитель "в случае чего" мог обосновать, что он действовал правильно, а не "нянчился с преступниками").


      1. ManulVRN
        07.07.2026 08:42

        допускает непропорциональный общественной опасности сопутствующий ущерб

        Сразу вспоминаются классические боевики, где главгерой в противостоянии со злодеем наносит городу и гражданам в 10 раз больший ущерб, чем тот злодей))


        1. SerjV
          07.07.2026 08:42

          ну вот как-то так, да...


    1. MorevPro
      07.07.2026 08:42

      Отдали серваки которые явно не один рубль стоят, а могли мурыжить до окончания следственных дел, например. Понятно, что малой кровью обошлось.


  1. PoganiniHot
    07.07.2026 08:42

    То есть, даже свой дедик не спасет? В любой момент в любом ЦОДе такое может произойти, потому что кто-то что-то где-то там чего-то? Это серьезнейший финансовый риск, который имеет смысл сразу закладывать в бюджет.


    1. Tuesok
      07.07.2026 08:42

      Если нужна надежность, то придется заморачиваться с несколькими серверами у разных хостеров, репликацией баз + балансировщик и обеспечение быстрой замены для него самого. )


      1. iamkisly
        07.07.2026 08:42

        Это называется георезервирование. Когда мы регистрировали наш мелкий, но важный продукт, у нас спросили что будет, если ракета прилетит в цод, мы такие.. ну мы умрем, а условно новое сетевое оборудование останется без лицензий (даже не спрашивайте меня почему). В итоге присвоили класс мишнкритикал и обязательное зервирование в цод разных регионов )


        1. Solenodont
          07.07.2026 08:42

          Это называется георезервирование

          Если кто-то хостится в РФ значит у него есть очень веская причина для этого. Также в РФ принято "заходить" одновременно на многие адреса

          Вывод: георезервирование не сработает


          1. iamkisly
            07.07.2026 08:42

            также в РФ принято "заходить" одновременно на многие адреса

            Если заходят одновременно на все адреса, где вы хоститесь, то их интересуете именно вы. Это critical missles и простои меньшее что должно вас волновать, лол )

            Я думаю, можно использовать датацентры разных провайдеров, и держать на одном из них "холодный" резерв, во всяком случае для баз данных. В любом случаи у вас должны быть план обеспечения надежности, сценарии восстановления, тренировки и все такое


    1. liquidgel
      07.07.2026 08:42

      Само собой. Если вы не владеете железом - есть риск потерять доступ к нему по миллиону разных причин и они с каждым годом только множатся. Да и даже владение не страховка, просто срезает много рисков.


      1. grvelvet
        07.07.2026 08:42

        Хотелось бы иметь карманный, никому неподконтрольный цодик, но увы.


    1. xSVPx
      07.07.2026 08:42

      Конечно не спасет. Толку от того дедика если пожар, наводнение, космоса черные дыры итп.

      Если нужна бесперебойность - только куча серверов в разных местах.

      Если данные - куча бэкапов.


      1. iamkisly
        07.07.2026 08:42

        Завтра где-то, кто знает где?
        Война, эпидемия, снежный буран,
        Космоса чёрные дыры…

        Следи за собой, будь осторожен!
        Следи за собой!


    1. vadimr
      07.07.2026 08:42

      Совместное ведение бизнеса всегда подразумевает риск от проблем контрагентов. Поэтому многие держат серверы у себя. Там, правда, другие издержки.


      1. AADogov
        07.07.2026 08:42

        Я много смеялся над шутками про сервер в машине, пока реально не увидел у одного комерса газель с работающими серверами.


        1. MesoPrism
          07.07.2026 08:42

          Странно считать это шуткой. Мне один раз люди историю рассказывали про газельку, которая по факту шухера просто отъезжала от здания, отключая сетевые и кабеля питания и считали что это анекдот, при том что я это лично наблюдал.


          1. DikSoft
            07.07.2026 08:42

            Про Газельку много раз слышал , правда всегда от второго лица "у моего друга вот такая штука сделана ..."
            А вот про съемную квартиру на левого бомжа и стойку с серверами с бухгалтерией и почтой в ней - не сказки, принимал кога-то давно участие в такой схеме.


        1. mydigitalhabb
          07.07.2026 08:42

          Я слышал похожие байки про майнинг-фермы в контейнере. Да, примерно как ниже и написано, с отключением и отъездом.


          1. LiamBlue
            07.07.2026 08:42

            В майнинг-ферме главная ценность наверное - это намайненная криптовалюта. А её-то как раз проще всего обезопасить. А майнинговое оборудование наверное не слишком важно и ценно.


            1. Mayurifag
              07.07.2026 08:42

              Ничего себе не слишком важно/ценно…

              Окупаемость оборудования сама по себе несколько лет исторически при обычной коммерческой покупке в не самых плохих и не самых хороших условиях. То есть, грубо говоря, вы сейчас сказали, что год-два-три (а бывает и больше) майнинга коту под хвост это не слишком важно и ценно.

              А ещё очень важна розетка. И допустим если вас загребают на, так сказать, локации с почему-то бесплатным электричеством (да ещё и на всё оборудование). Вторую такую локацию пойди поищи ещё, ведь доступ к изначальной, вероятно, будет утерян. Вот розетка ценна очень тоже. И розетка обычно как раз бывает изначальным катализатором маски-шоу, насколько я понимаю.


              1. redfox0
                07.07.2026 08:42

                Зачем розетка, если можно замаскировать потребление электроэнергии под ТЭЦ? https://archive.baikal24.ru/text/18-08-2021/006/


                1. mydigitalhabb
                  07.07.2026 08:42

                  По секрету сказу, тот же Газпром-нефть сейчас вполне официально продаёт крупным майнерам розетку прямо на генерации хоть на мегаватт, но по 5р, не бесплатно. У них есть излишки, и майнеры нужны чтобы эти излишки утилизировать, и выровнять кривую потребления. Единственное условие - иногда, в редкие часы пик, оборудование будет выключено, если не будет хватать генерации для основных обычных потребителей.


              1. LiamBlue
                07.07.2026 08:42

                И как получится упрятать майниноговое оборудование так, чтобы можно было бы спокойно его вывезти в случае облавы?

                Оно же шумит, греется, привлекает внимание. К нему провода ведут. А ещё его банально много.

                А если на вас устроили облаву, про розетку сразу забудьте.


        1. LiamBlue
          07.07.2026 08:42

          Наверное, не все данные и не все сервера требуют такой вот заботы. Возможно, если отделять чувствительные данные от прочих, можно порядком сократить объём оборудования под размещение в газельку.

          А обычные вещи держать у себя в офисе или дата-центре, и пусть их забирают, если что.


    1. Rikimortuy
      07.07.2026 08:42

      Свой дедик спасет только от проблем с гипервизором. От изъятия соседней стойки или пожара в цоде он не защитит


  1. AlexVRud
    07.07.2026 08:42

    В итоге процессор уходит в 100% загрузку, вся эта машина полностью зависает и перестаёт реагировать на любые команды. Её нельзя перезагрузить программно, она уже не откликнется — помогает только хард-ребут по питанию.

    А выдернуть сетевой кабель?


    1. RTFM13
      07.07.2026 08:42

      Я вообще не понимаю в чем проблема.

      Отзеркалить канал на циске на порт сервера подключенного через другой канал в инет зашейпить его до удобоваримой скорости и посмотреть tcpdump'ом. Дальше погасить на циске (или что там у них) интерфейс.

      До недавнего времени для этого достаточно было сервера с usb свистком от любого опсоса. Но у приличного хостера гарантировано будет запасной/второй канал.

      Не понятно только как отключение клиента поможет с входящим трафиком. Это только по старинке просить аплинка прибить адрес клиента у себя.


      1. mayorovp
        07.07.2026 08:42

        Не понятно только как отключение клиента поможет с входящим трафиком.

        Предположу, что реальное железо с атакой справляется, а упало лишь виртуальное из-за оверпровижнинга. При использовании протоколов динамической маршрутизации или их L2-аналогов связь с “упавшей” виртуальной железкой периодически теряется, после чего реальная железка перестаёт пересылать ей пакеты, далее виртуальная железка без нагрузки восстанавливается и сразу же падает снова. Отключение клиента в такой ситуации разрывает цикл.


        1. RTFM13
          07.07.2026 08:42

          Тогда не совсем понятно зачем сервер грузить сетевыми задачами, а не просто прокинуть VLAN на виртуалку и разроутить всё на цисках.

          И это не отменяет других возможностей посмотреть dst ip.


          1. jinn50k
            07.07.2026 08:42

            Я могу ошибаться, но ты просто не напасешься вланов и офигеешь от роутинга на цисках, а вот на виртуальном свиче динамически можешь управлять сетью в условиях когда часть виртуалок создается, а часть удаляется.


            1. RTFM13
              07.07.2026 08:42

              не напасешься вланов

              если в лоб, то 4к на сервер. мало?

              циска от транзитного трафика не валится

              вот на виртуальном свиче динамически можешь управлять сетью в условиях когда часть виртуалок создается, а часть удаляется.

              Это всё наскриптить можно.


              1. mayorovp
                07.07.2026 08:42

                Наскриптить-то можно, но вот все известные мне готовые решения так или иначе сводятся к виртуальным роутерам, которые цепляются к реальным по BGP. В лучшем случае этот виртуальный роутер состоит из одного BGP демона, в худшем там реальный роутер со своей осью запущен на виртуалке.


                1. RTFM13
                  07.07.2026 08:42

                  Я именно хостингом промышленно не занимался, но причем тут BGP мне вообще не понятно.


                  1. mayorovp
                    07.07.2026 08:42

                    Я тоже хостингом не занимался, но когда я интересовался современным состоянием сетей - BGP я встречал просто всюду.

                    MPLS? BGP - штатный способ настройки маршрутов. Предоставление приватных сетей клиентам? В BGP есть расширение для этого. Маршрутизация в k8s? Там скорее всего BGP трудится.

                    Так что я уверен, что на современном хостинге либо BGP, либо MSTP.


                    1. RTFM13
                      07.07.2026 08:42

                      Если у клиента своя автономка, то окей. Но автономка на впс-ке? Типичная конфигурация впс-ки это /30 (/32) статиком.


                      1. mayorovp
                        07.07.2026 08:42

                        Топовые хостинги дают виртуальную локалку просто по умолчанию, а остальные тянутся за топами.

                        Отказаться от внутренней сети обычно можно, но у некоторых хостеров даже прямое подключение виртуалки наружу не работает без добавления роутера. Буду дома - покажу схему сети если не забуду…


                      1. mayorovp
                        07.07.2026 08:42

                        Да, вот вам фрагмент топологии сети:

                        На ней ext-net - это Интернеt, ext-subnet6 - это диапазон белых адресов. Справа видна виртуалка соединённая с ext-subnet6 - это означает прямой выход в Интернет и наличие белого адреса. Снизу роутер, подключенный к ext-subnet6 и имеющий отдельный белый IP адрес. Без этого роутера виртуалка недоступна, мы проверяли.


                  1. Xelld
                    07.07.2026 08:42

                    Если платформа не совсем на коленке собрана, то в том или ином виде в ней будет какой-то SDN для организации сети VM.

                    BGP в таких системах используется для доставки трафика на VM.

                    Собирать сети на растянутых L2 доменах в масштабах хостинга/облака - это собирать огромный домен отказа, бороться со штормами и прочими приколами L2.


              1. jinn50k
                07.07.2026 08:42

                Ну так то 4к мало, да. Да и вообще не очень хорошая идея постоянно менять конфигурацию динамически скриптами.


                1. RTFM13
                  07.07.2026 08:42

                  Есть прецеденты размещения на одном сервере более 4к VPS?

                  не очень хорошая идея постоянно менять конфигурацию динамически скриптами

                  Настолько не очень хорошая, что аж специальный протокол (SNMP) придумали.


        1. ildarz
          07.07.2026 08:42

          По контексту там из-за хард-ребутов падают рейды (в том числе аппаратные с батарейками), то есть проблемы все-таки на реальном железе.


          1. mayorovp
            07.07.2026 08:42

            Я так понял, проблемы на реальном железе возникли из-за оверпровижнинга виртуального. Виртуальные железки запросили слишком много памяти и реальная железка (сервер с виртуалками, не роутер!) ушла в вечный своп.

            Заявления о падении рейдов зто подтверждают, поскольку какие нафиг рейды у цисок?


      1. jinn50k
        07.07.2026 08:42

        Видимо это слишком сложные технологии древних, в современных ЦОДах могут только выдёргивать сервер из розетки.

        А отключение клиента помогает тк ддосеры ддосят целенаправленно чей-то бизнес, а не хостера целиком, поэтому тактика зарубить клиента у себя решает проблему


        1. vadimr
          07.07.2026 08:42

          Так входящий трафик клиента один фиг маршрутизируется на хостера. Включён там клиент или выключен, неважно.

          В нормальном случае, конечно, никто не будет посылать много на выключенный компьютер. Но смысл DDOS именно в том и заключается.


          1. mayorovp
            07.07.2026 08:42

            Ну, дидос - дорогое удовольствие для заказчика, его могут и остановить для экономии бюджета если сервер выключен.


            1. RTFM13
              07.07.2026 08:42

              смысл дидоса в том, что сервис не работает на протяжении атаки. сколько атакуют - столько не работает. раньше остановили - раньше поднялся.


              1. mayorovp
                07.07.2026 08:42

                Так надо мониторить поднятие сервера и возобновлять атаку.


          1. jinn50k
            07.07.2026 08:42

            Для сетевого оборудования хостера гораздо дешевле дропать траф до неактивного адреса, чем роутить виртуальным свитчем, который от нагрузки постоянно то поднимается то отваливается, канал хостера вы можете хоть обддоситься, он всё равно не ляжет, у вас денег не хватит.


          1. RTFM13
            07.07.2026 08:42

            В комментариях какое-то адовое количество нейронок которые вообще контекст не держат.

            В заглавной статье хостер вырубил сервер целиком чтобы
            1. найти атакуемого клиента
            2. отключить клиента чтобы заработали соседи по серверу

            И с его слов это помогло. К этому есть вопросы (они были заданы выше), но пока исходим из этого.

            И вот в этом контексте
            1. найти атакуемого клиента есть другие способы
            2. для его изоляции не надо гасить весь сервер.
            всё это делается на сетевом оборудовании в два с половиной клика.

            Но смысл DDOS именно в том и заключается.

            Ну строго говоря ддос бывают разные. Можно не валить трафиком, а инициировать какие-то сложные сценарии подключения к сервису чтобы например SQL сервер перегрузить. Тогда количество потребных запросов уменьшается на порядки. Но от таких методов есть защита, по этому самое надёжное валить трафиком. И далеко не у всякого хостера канала хватит (емкость ботнета может терабитами/сек измеряться).


    1. MesoPrism
      07.07.2026 08:42

      Скорее сделать механический размыкатель, который по сигналу (да хоть с симки внутри) просто выщелкивает кабель из гнезда.


  1. Gansterito
    07.07.2026 08:42

    Если что, обид никаких. Все в этой цепочке правильно сработали.

    Зачем это писать? Вас что, заставили извиняться?


    1. AKudinov
      07.07.2026 08:42

      заставили

      Ну что Вы так сразу-то? Просто попросили.


      1. vmpg
        07.07.2026 08:42

        А может даже и без этого, просто на всякий случай, как бы чего не вышло. Чтобы потом не заставляли/просили.


    1. vadimr
      07.07.2026 08:42

      Люди по кромке прошли (наверное). Вот и рады. Вменить хостеру соучастие в преступной работе сервера – как два пальца об асфальт.


      1. mSnus
        07.07.2026 08:42

        как два байта переслать


    1. ntsaplin Автор
      07.07.2026 08:42

      А на кого обижаться? Система так сработала, конкретно к людям вопросов нет. Обижаться тут примерно так же продуктивно, как мстить корпорации.


      1. u007
        07.07.2026 08:42

        Я тоже не понял. У них вообще ордер был на что? На данные? А забрали железки? И владельца железок не пригласили и не уведомили? К тому же, в результате следственных мероприятий нанесли материальный ущерб на стоимость двух серверов и недельного простоя. Есть, на что обидеться. А что юрист говорит?


      1. Mayurifag
        07.07.2026 08:42

        А у меня всё же вопрос остаётся. Как в идеале дальше поступить, чтобы с минимум затрат привести к тому, чтобы в будущем ситуации такой не возникало. Куда будет двигаться индустрия? Повсеместно заставят отслеживалку трафика от полиции делать хостерам, к этому всё идёт?

        Каждый такой случай надо освещать и не говорить, что вопросов нет, чтобы правоохранительные органы этим не увлекались, осознавали какой ущерб они наносят.


        1. SerjV
          07.07.2026 08:42

          чтобы правоохранительные органы этим не увлекались, осознавали какой ущерб они наносят.

          У правоохранителей другие проблемы ( И ОРМ - не единственный риск, когда правоприменительные последствия могут быть больше общественной опасности.

          Тут всё-таки надо корректировать законодательство. А освещать - надо, но просто освещения - мало.


          1. vadimr
            07.07.2026 08:42

            Тут у разных сторон могут быть разные представления о степени общественной опасности.


            1. SerjV
              07.07.2026 08:42

              О да... В частности, ст.273 УК РФ написана так, что под неё подпадают сотрудники Лаборатории Касперского и DrWeb'а заодно. Что аж не так давно ВС РФ занялся нормотворчеством (формально у него нет такой функции, правда, "но есть нюанс"), чтобы это скорректировать.

              Но всё равно исходя из формулировок получается, что наркотики остаются менее общественно опасным явлением, чем это.


        1. clicky
          07.07.2026 08:42

          Как в идеале дальше поступить, чтобы с минимум затрат привести к тому, чтобы в будущем ситуации такой не возникало

          не заниматься хостингом


          1. Wesha
            07.07.2026 08:42

            Нулевое правило ведения бизнеса в России?


            1. VADemon
              07.07.2026 08:42

              Правило ведения нулевого бизнеса в России.


        1. AKudinov
          07.07.2026 08:42

          Повсеместно заставят отслеживалку трафика от полиции делать хостерам

          Так уже давно. СОРМ называется. Сейчас уже второе (или третье?) поколение ставят.


  1. VladSmir
    07.07.2026 08:42

    Мы временно отключаем всех клиентов от виртуального свитча, а затем начинаем постепенно, по одному, восстанавливать подключения

    Я не особо разбираюсь, но нельзя ли например отключить только половину? Если атаки прекратились, значит атакуют кого-то из отключенной половины. И так далее "половинить" пока не дойдете до проблемного. При такой схеме время отключения клиентов гораздо меньше


    1. RTFM13
      07.07.2026 08:42

      Найти кого атакуют можно гораздо проще ничего не отключая. Меня больше интересует как отключение клиента прекращает атаки? Это может помочь если только развесить сервер на котором живут другие клиенты кроме атакуемого.


      1. mirwide
        07.07.2026 08:42

        Меня больше интересует как отключение клиента прекращает атаки?

        Предположу, у каждой виртуалки своя подсеть, она перестает анонситься на ближайшую сетевую железку.


    1. ntsaplin Автор
      07.07.2026 08:42

      Нет. Так как сервер физически подключен к сетевому оборудованию целиком, то сначала его целиком отключают от сети, по менеджмент порту заходят и отключают сеть на всех клиентских машинах — и потом включают сервер назад и постепенно поднимают клиентов. Отключить часть здесь просто не получится, так как просто зайти на сервер не выйдет.


      1. RTFM13
        07.07.2026 08:42

        На сетевой железке (сервер вообще не трогать).

        1. посмотреть dsp ip ddos

        2. добавить access list на этот IP


        1. Cas_on
          07.07.2026 08:42

          1. Не факт, что сетевая железка принадлежит хостеру.

          2. "dsp ip ddos" - это новая команда на какой модели коммутатора?

          3. Чаще всего в ДЦ используется VxLAN, а никак не "чистый" VLAN. Вычислить dst.ip будет сложновато.


          1. RTFM13
            07.07.2026 08:42

            1. аплинк сразу в сервер с виртуалками? "сомнительно, но ок."(с). можно конечно делегировать это аплинку ну тогда пусть он и флуд отфильтрует. с технической точки зрения распределение прав собственности тут мало на что влияет.

            2. выше написано всё. наймите админа он вам всё сделает если у вас гугл забанили.

            3. VLAN это L2, а dst ip это L3. друг к другу прямого отношения не имеют. VLAN я написал как пример проброса интерфейса. Это принципиальной роли не играет. Не понятно на кой надо использовать VxLAN внутри ДЦ и тем более внутри стойки с общим аплинком? Это больше похоже на какой-то корпоративный легаси-колхоз для соединения L2 в разных дц.


            1. mayorovp
              07.07.2026 08:42

              Не понятно на кой надо использовать VxLAN внутри ДЦ и тем более внутри стойки с общим аплинком?

              Это как раз понятно и очевидно.

              1. У хостинга есть разные клиенты

              2. У каждого клиента может быть несколько виртуалок, которым нужна изолированная общая сеть, и чтобы её не слушали соседи

              3. Эти виртуалки могут быть в разных стойках

              4. Клиентов у нормального хостинга точно более 4096, и даже если их меньше - плох тот хостинг который не мечтает стать нормальным

              Вот и получается, что можно либо долго, нудно и с возможностью неприятно ошибиться настраивать файерволы - либо просто раздать каждому клиенту свой VxLAN и радоваться.


              1. RTFM13
                07.07.2026 08:42

                которым нужна изолированная общая сеть

                ну т.е. я и говорю - легаси-колхоз.

                кстати, не попадалась такая услуга пока что... обычно все сами колхозят. да и вместо пачки впс-ок проще взять дедик.

                Клиентов у нормального хостинга точно более 4096, и даже если их меньше - плох тот хостинг который не мечтает стать нормальным

                в подразумеваемой мной конфигурации это количество клиентов на 1 сервер (физический порт). 4к впс-ок вряд ли получится поднять по ограничениям оператики, как минимум. на самый худой конец есть q-in-q, но я бы не стал на L2 это всё строить.

                Туннелить же L2 через интернет и вообще через L3 это моветон и колхоз. Хотя средства есть, да. Но это только если сильно припекло.


                1. mayorovp
                  07.07.2026 08:42

                  С чего бы легаси-колхоз-то? Наоборот же, современная сетевая архитектура так выглядит. Микросервисы там, их оркестрация, балансировщики, автоскелинг. Хостеры готовятся хостить всё вот это, а единичные виртуалки идут просто как частный случай и на тех же технологиях.

                  в подразумеваемой мной конфигурации это количество клиентов на 1 сервер (физический порт)

                  Ну вот вы завели клиенту виртуалку на первом сервере с vlan 5, на втором с vlan 8, а на третьем - с vlan 9. Как настраивать сетевое обородование будете между ними, да ещё и чтобы с ума не сойти? Вот уж где легаси колхоз получается!

                  Да, q-in-q тут альтернатива vxlan. Однако оно вынуждает сетевое оборудование помнить про все мак-адреса всех виртуалок, в то время как vxlan разгружает ядро сети, перенося нагрузку на слой доступа. В идеале стоило бы использовать vxlan поверх ethernet или mpls, без уровня ip, но такого протокола я не нашёл.


        1. Gedeonych
          07.07.2026 08:42

          2. добавить access list на этот IP

          ??? Это сработает, вероятно только на каком-нибудь узле, который атакует школьник младших классов в целях обучения. "на этот ip" и " ddos", это уже слабо совместимые понятия. Вероятно вы хотели написать "на эти ip" или "dos" ? В наше время полноценные атаки на отказ нивелируются уже совсем другими способами.


          1. RTFM13
            07.07.2026 08:42

            Читайте внимательней, речь про dst ip (на входящем трафике).

            Если помогает погасить клиентскую виртуалку значит поможет зафильтровать адрес(а) клиента. Обычно это 1-2 подсети (V4+ V6).


            1. Gedeonych
              07.07.2026 08:42

              Заблокировать dst ip клиента в ACL на входящем трафике — это не защита от ddos, а саморуб топором по причинному месту. Вы буквально выполняете задачу атаки, устраивая клиенту 100% отказ в обслуживании и полностью отрезая его от легитимных пользователей. Лечить ddos полным отключением жертвы — это не "фильтрация".

              Исходный тезис про блокировку "этого IP" (в единственном числе) противоречит вашей новой версии про "1–2 подсети IPv4/IPv6". Подсеть IPv6 — это миллиарды адресов, их не админят ручным ACL поштучно. Взрослый ddos нивелируют на Anycast/Scrubbing-узлах или через BGP Flowspec.


              1. alexerisov
                07.07.2026 08:42

                Лечить ddos полным отключением жертвы — это не "фильтрация".

                Насколько я понял, в статье как раз именно это и было описано. Разница только в подходе: в статье просто по одному отрубали вообще всех клиентов, наблюдая, когда атака пройдёт (выключили ли уже жертву или нет), а автор комментария выше предлагает, сразу определить жертву и выключить её. Результат в любом случае один - отключение жертвы, но collateral damage меньше. Поправьте, если не прав.


              1. RTFM13
                07.07.2026 08:42

                Попробуйте дочитать сообщение на которое вы отвечали до конца, там не так много текста.


      1. Xelld
        07.07.2026 08:42

        А почему не используется хотя бы netflow для определения цели атаки?

        И какой у вас будет алгоритм действий, если это будет не простой TCP/HTTP флуд в адрес, а какой-нибудь UDP volumetric/DNS amplification и прочие разновидности? А если уже не на одного клиента, а целенаправленно на вашу инфраструктуру?

        Думаю, что на ваших масштабах минимальная автоматика для diversion/RTBH необходима. В конце-концов, есть gatekeeper.


  1. dmlogv
    07.07.2026 08:42

    Вы молодцы, а я передаю привет господам из компании с названием, начинающейся на VD и заканчивающейся на Sina, которая кормит клиентов уведомлениями в ЛК с обещаниями «починить через неделю» уже… месяц? Или больше?


    1. valera_efremov
      07.07.2026 08:42

      Тут скорее всего про компанию ВремяВеб


  1. gotch
    07.07.2026 08:42

     Мне советовали потрогать траву и попить чай.

    Если не помогает, попробуйте попить траву и потрогать чай.


    1. Patrick139
      07.07.2026 08:42

      можно еще покурить их вместе или по отдельности


      1. habranon
        07.07.2026 08:42

        Но это уже после того, когда их использовали для ванны. (Потом естественно собрали из ванны и выслушали.)


        1. ManulVRN
          07.07.2026 08:42

          Выслушать чай - это после курения травы)?


      1. yahooyaks
        07.07.2026 08:42

        зеленый чай курится очень аутентично


  1. UplandDivan
    07.07.2026 08:42

    А зачем кушать кактус использовать российские хостинги за рубежом? Удалённо оформить банковские карты восточных стран, позволяющие платить за границей, вроде бы проблем не составляет. В наше время для живущих в России это просто must have. А имея такую карту можно и зарубежные хостинги оплачивать - они и дешевле, и их не штормит. Или я чего-то не понимаю?


    1. vtal007
      07.07.2026 08:42

      экономика не сходится. Карту Киргистана предлагают покупать за 20к. Хостинг простого VPS стоит ну пусть 500р (бывает дешевле)


      1. AiR_WiZArD
        07.07.2026 08:42

        Есть довольно популярные сервисы, позволяющие оформить дебетовую карту в Европе за пару тыс.рублей в год. Да, комиссии, но оформить можно и это не слишком дорого, если действительно надо 500р в месяц, а не десятки тыс рублей. А ещё есть хостинги, принимающие в крипте, обычно чуть дороже, но зато карты не надо.


        1. vtal007
          07.07.2026 08:42

          про такие не знаю, сервисы. Надеюсь они также, как и "дорогие за 20к" позволяют пополнять рублями - если можно, просьба прислать в личку

          а крипта, да это головняк, обычный человек не станет с этим связываться

          (за 20 примерно тысяч предлагали пару банков известных. типа все будет хорошо, бери, пополняй). Я помню даже были спец-туры в Минск за белорусскими картами :)


          1. vmpg
            07.07.2026 08:42

            как и "дорогие за 20к" позволяют пополнять рублями

            Тинькофф, например, умеет переводить по номеру карты в том числе на зарубежные карты чтобы пополнить нерублями. Комиссии/курсы - вопрос отдельный, но когда речь про 500р в месяц - это мелочи.


          1. AiR_WiZArD
            07.07.2026 08:42

            Да смысл в личку, "плати по миру" самый рекламированный, им пользуюсь, возможно не самый лучший/выгодный, но пару десятков тыс. рублей через них прогнал, никаких проблем. Стоит учитывать, что если в евро, то многие сервисы европейский НДС дополнительно в стоимость услуг включают (~20%). С долларовыми картами хз.


    1. dmchmk
      07.07.2026 08:42

      В наше время для живущих в России это просто must have

      ну, честно говоря, вообще не "маст хэв", действительно нужна именно карточка прямо очень редко

      А вот ради этого самого "очень редко" раз в полгода-год думать, в какой юрисдикции всё ещё не душат русских, когда очередную карточку прикрыли в КЗ, Армении и т.д. - какое-то слишком уж накладное по мозговым нагрузкам приключение, проще друга попросить, которому почему-то было не лень)


      1. Wesha
        07.07.2026 08:42

        в какой юрисдикции всё ещё не душат русских

        Простите, но давайте всё‑таки не путать русских с россиянами. Это всё равно что путать англоговорящих с американцами.

        Я вот как американский русский свидетельствую — никто меня не душит и не ожидает от меня, что я волшебным образом что-то сделаю с ситуацией в России чисто потому, что я умею говорить на русском языке.


        1. RTFM13
          07.07.2026 08:42

          Простите, но давайте всё‑таки не путать русских с россиянами. Это всё равно что путать англоговорящих с американцами.

          один хрен, для англоязычных оба russians


          1. Wesha
            07.07.2026 08:42

            один хрен, для англоязычных оба russians

            Какие-то у нас с Вами разные англоязычные. Например, моя русскоязычность уже десять лет совершенно не мешает мне избираться в домоправление чуть ли не в сердце США.


          1. 0xInnominatus
            07.07.2026 08:42

            Для англоязычных может и нет разницы, но мир вроде не только ими населён? В испанском русских (rusos) и россиян (rossiyane) вполне себе отличают без проблем, равно как и в дойчеязычных странах, где эти слова различаются (Russischer и Russlander соответственно). И да, подтверждаю свидетельство г-на @Weshaчто вроде русский, а никто не душит,‑ ЧЯДНТ?


            1. altaastro
              07.07.2026 08:42

              То есть у вас с господином такая же нога, и не болит, правильно?


              1. Wesha
                07.07.2026 08:42

                Вам уже предъявлено две ноги, которые не болят. А ноги, которые болят, пока что так предъявлены и не были — только разговоры о том, что «где‑то там есть ноги, которые, говорят, болят».

                Из серии «я всего‑то обогнал автобус — а меня полицейские как узнали, что я русский, сразу прав лишили»

                Если кто ещё не в курсе: в США обгон школьного автобуса, который остановился, мигает лампочками и выдвинул знаки «STOP» (что именно это и означает — «ВСЕМ ОСТАНОВИТЬСЯ, сейчас малолетние дебилы побегут дети пойдут!») является одним из страшнейших нарушений ПДД, и если вас не лишат за это прав — это будет чудо. И национальность тут совершенно ни при чём.


                1. altaastro
                  07.07.2026 08:42

                  Дискуссия русский/россиянин, конечно, интересная, но бьют ведь по морде, а не по паспорту. А сам факт битья как-то странно отрицать.

                  P.S. "Если мне не будет лень, если я буду в силах, я приду поплясать на ваш"ем домовом собрании где-то почти в сердце америки. Но скорее всего нет


                  1. Wesha
                    07.07.2026 08:42

                    но бьют ведь по морде, а не по паспорту. А сам факт битья как-то странно отрицать.

                    Повторяю: в цитадели демократии факт состоит в том, что меня не бьют ни по тому, ни по другому. Несмотря на то, что ни ФИО, ни морду лица я не менял. Если у Вас есть кто-то, кого побили — будьте так добры, предъявите его нам, а мы вопросы позадаём. Как я написал комментарием выше, немалое количество таких обиженных на самом деле нарушило что-то другое — за что так много сочувствующих обиженке набрать не получится.


                    1. VADemon
                      07.07.2026 08:42

                      Не, товарисч Веша. Так на репарации не наработать.


                    1. altaastro
                      07.07.2026 08:42

                      Госпади, да выйдите вы немного за пределы своего информационного облака. У вас нет никаких проблем, и это замечательно. Но другим россиянам, вашим бывшим согражданам, регулярно вставляются всевозможные палки в колеса.

                      Я присоединился к обсуждению на вопросе банкинга. Мы всерьез будете утверждать, что у россиян нет проблем с открытием счетов в европейских банках?

                      Вы может быть не в курсе, но в страны ЕС запрещен въезд автомобилей с российскими номерами. Но это же мелочи, правда?

                      Отказ всем россиянам в выдаче шенгенских мультивиз тоже не беда.

                      Депортация антивоенных уклонистов и дезертиров обратно в Россию, в тюрьму или на фронт, это вообще фигня.

                      Да блин, я даже телефон на +7 не могу привязать к аккаунту battle.net чтобы в WoW себя второсортным человеком не чувствовать.

                      Никаких проблем россиянам не создаётся, ноль.


                      1. 0xInnominatus
                        07.07.2026 08:42

                        Мы всерьез будете утверждать, что у россиян нет проблем с открытием счетов в европейских банках?

                        Нет, не будем. Но причём тут россияне? В оригинальном комментарии г-на @dmchmk, с которого началась дискуссия, речь шла про русских (то есть всех этнических русских людей, вне зависимости от их гражданства/гражданств). Цитирую:

                        в какой юрисдикции всё ещё не душат русских

                        По моим данным в большинстве юрисдикций людей не «душат» за то, что они русские.

                        Да блин, я даже телефон на +7 не могу привязать к аккаунту battle.net чтобы в WoW себя второсортным человеком не чувствовать.

                        Внезапно, то есть они ещё и резидентов Казастана блокируют? У них же тоже номера на +7?


                      1. altaastro
                        07.07.2026 08:42

                        Хорошо, извините, у русских никаких проблем нет. Только у россиян. Множество "россияне" с множеством "русские", очевидно, не пересекается


                      1. Wesha
                        07.07.2026 08:42

                        Множество "россияне" с множеством "русские", очевидно, не пересекается

                        Вы слышали про множество «селёдок» и множество «рыб»?

                        Представьте себе, далеко не все русские по национальности являются подданными российского царя государства.


                      1. vmpg
                        07.07.2026 08:42

                        Отказ всем россиянам в выдаче шенгенских мультивиз тоже не беда.

                        Это просто неправда. Мультивизы россиянам не дают только на территории РФ. При получении россиянами шенгенских виз в других странах их вполне могут давать до сих пор.

                        я даже телефон на +7 не могу привязать

                        И это, строго говоря, не про россиян в целом, а про тех, кто проживает в РФ.
                        "Русские", "россияне" и "проживающие в России" - это три разных множества людей, которые отчасти (но только отчасти) пересекаются. Но все же не стоит их путать и мешать в кучу.


                      1. Wesha
                        07.07.2026 08:42

                        СтопЭ, стопЭ, Вы же сами подтверждаете то, что я сказал: проблемы не у русских — проблемы у россиян! Иными словами, «дело не в роже — дело в паспорте»!

                        я даже телефон на +7 не могу привязать к аккаунту battle.net

                        Прикиньте, я тоже «телефон на +7 не могу привязать» никуда (а он у меня есть — когда приезжал отца хоронить, купил). Но не потому, что я «неправильной национальности», а потому что номер на +7 начинается.


                      1. altaastro
                        07.07.2026 08:42

                        Не помню, чтобы я где-то писал о притеснении по признаку национальности, и от меня в целом ускользает предмет спора


                      1. vmpg
                        07.07.2026 08:42

                        Предмет спора, насколько мне видится, в том, что "душат" не русских (о чем писалось выше) и, если разобраться, даже не россиян, а резидентов РФ.

                        В случае с россиянами, являющимися резидентами других стран, все перечисленные вами вопросы: счета в банках, въезд в ЕС на автомобиле, зарегистрированном в стране проживания, и даже мультишенген (не говоря уж про такие мелочи как регистрация в battle.net) вполне решаются.


                      1. RTFM13
                        07.07.2026 08:42

                        Российский паспорт много чего усложняет. Но это старая проблема, она лишь усугубилась. Но есть паспорта и похуже.


                      1. vmpg
                        07.07.2026 08:42

                        Вот да, есть паспорта хуже, и тут вопрос в том, что брать за baseline. Если по упомянутым шенгенским визам сравнивать с упрощенным режимом, который много лет действовал для россиян - то сейчас "усложняет". Если же сравнивать со стандартным (не упрощенныем) порядком выдачи виз - то (если запрашивать визу за пределами РФ) большинством стран Шенгена примерно он сейчас к россиянам и применяется.


                      1. Wesha
                        07.07.2026 08:42

                        Вы не писали — топикстартер писал:

                        в какой юрисдикции всё ещё не душат русских

                        на что ему было предложено

                        давайте всё‑таки не путать русских с россиянами.

                        Далее дискуссия танцует вокруг этих посылок.


            1. VADemon
              07.07.2026 08:42

              Про немецкий: может быть, в словаре найти отличие можно, но в повседневности второе слово (уж точно по назначению) ни разу не слышал.

              Можно было бы проводить ликбезы про Russe != russischer Staatsbürger, да но даже это по праву преемственности жителей РСФСР это не корректный дискриминатор из-за поздних переселенцев. Итого как бы требуется еще отсечка по времени 2014-м годом.

              "russischer" вообще прилагательное и отдельно использоваться как в русском не может.


              1. 0xInnominatus
                07.07.2026 08:42

                "russischer" вообще прилагательное и отдельно использоваться как в русском не может.

                Согласен, моя ошибка, правильно всё‑таки Russe(n). Мой немецкий уже давно не так хорош, как был раньше. Впрочем в Цюрихе Russlander вполне себе понимают и используют, а я только там лично с немцами общался в основном. Если в Германии/Австрии/других дойчеязычных странах не так, то тут уже извините,‑ там пока не побывал, но было интересно узнать про такое языковое отличие.


                1. VADemon
                  07.07.2026 08:42

                  Интересно. Швейцарский диалект вообще классный, как по мне. А тут Hochdeutsch.


        1. rombell
          07.07.2026 08:42

          Азиатам тоже было неплохо в США до 39го.


    1. LF69ssop
      07.07.2026 08:42

      Проблема составляет. Либо нужен как минимум узбекский номер, либо нужно ехать в условный Узбекистан.
      Или платить мутным личностям 20-30тыр.

      Если я не прав покажите мне не проблемный способ удаленно оформить карту восточных стран.


    1. xSVPx
      07.07.2026 08:42

      Знаю человека, который уже больше ста тысяч заплатил за эти карты. Ну т.е. это не за один раз, а в следствии того, что вначале съездил открыл, ее закрыли, потом через посредников итп.

      Это прям реально недешевый совершенно путь и если не повезет заморочный крайне. Ну т.е. только ради хостинга смысла немного...


    1. mydigitalhabb
      07.07.2026 08:42

      Многие известные крупные зарубежные хостинги уже заблокированы из РФ по HTTPS. Hetzner, OVH. Cloudflare CDN, которым можно было обойти блокировку - тоже.


  1. musicman3
    07.07.2026 08:42

    Теперь только свой сервак на выделенном IP, только хардкор... Все эти баталии и перепетии "демократической" жизни по всему миру, воровство и эксплуатация данных, изъятия по щелчку пальцев серверов, лишение доступа к проекту и данным по клику мышки - все это зашло слишком далеко.


    1. vtal007
      07.07.2026 08:42

      свой сервер - который под кроватью? (тут много вопросов по резервированию и вниманию к нему). А еще... вот этот закон про хостеров. Он ж не разделяет домашних от недомашних. Не то чтобы "придут", а просто закон так составлен, что заведомо нарушаю, если сам хостю собственный сайт (ну или я так понимаю)

      а если не собственный сайт хостить (даже бесплатно)? то уже оказываю услуги и точно являются хостером со всеми вытекающими


      1. musicman3
        07.07.2026 08:42

        там под словом хостинг - это предоставление услуг кому то... а так сам себе - это не предоставление услуг хостинга, на сколько я помню когда читал закон и обсуждали его тут же... так что уже наступает такое время, что под кроватью надежнее и безопаснее, особенно если еще делать раз в неделю бэкап на мини-сервер в деревню к бабушке


        1. vtal007
          07.07.2026 08:42

          я ж писал, себе ладно. а если жене, другу. Даже бесплатно. Все равно уже предоставление. Или что, сайты жены, друга, тещи - выгнать


          1. vadimr
            07.07.2026 08:42

            В законодательстве обычно используется понятие "деятельность" или "коммерческая деятельность". Жене и другу - не оно.


            1. vtal007
              07.07.2026 08:42

              надо же не "вроде", надо читать глазами закон. Я не помню указаний на "коммерческую"

              вот прям нашел
              "18) провайдер хостинга - лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет"; "

              где тутова что-то про "коммерческую" ?


              1. vadimr
                07.07.2026 08:42

                Может быть, я недостаточно понятно написал. Слово "деятельность" подразумевает определённую организационную форму, помощь жене и другу не является "деятельностью" в правовом смысле.


                1. vtal007
                  07.07.2026 08:42

                  конечно непонятно, нужна ссылка на закон, где дается такое понимание деятельности. Что это "только за деньги". А если бесплатно, то это и не деятельность вовсе


                  1. vadimr
                    07.07.2026 08:42

                    Это не "только за деньги".

                    Если хотите, можете проконсультироваться у LLM по теории права и практике правоприменения. Я вам указал на вашу ошибку, не более. То, о чём вы пишете, это "действия", а не "деятельность".


                    1. vtal007
                      07.07.2026 08:42

                      Вы совершенно правы, надо было сразу у ЛЛМ спрашивать. Ведь штраф тоже будет ЛЛМ платить. Ну а че, ЛЛМ ж у нас юрист с правом отсидки и выплаты штрафа за меня


                      1. vadimr
                        07.07.2026 08:42

                        Вы совершенно правы, для минимизации нежелательных правовых последствий вам целесообразно обратиться к юристу, который вас проконсультирует на коммерческой основе.


                      1. vtal007
                        07.07.2026 08:42

                        причем тут юрист, я к ЛЛМ уже обращаюсь. Как Вы и посоветовали


                      1. Dzzzen
                        07.07.2026 08:42

                        ЛЛМ в законы не умеет.
                        Открываем ручками ГК, и читаем:

                        "Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг. Лица, осуществляющие предпринимательскую деятельность, должны быть зарегистрированы в этом качестве в установленном законом порядке ..."


                      1. vtal007
                        07.07.2026 08:42

                        а зачем Вы мне это пишите, это не я советовал к ЛЛМ обратится по юридическим вопросам

                        и Вы цитируете определение "предпринимательская деятельность". А обсуждали "осуществляющее деятельность"


            1. SerjV
              07.07.2026 08:42

              Скорее "предпринимательская деятельность" (которая может быть и у "некоммерческой организации"), слово "предпринимательская" часто в законодательстве опускается (да, всё верно - остаётся просто "деятельность"). Требует регистрации, и в некоторых случаях - лицензирования.

              И нюанс - занятие деятельностью без регистрации и (при необходимости) лицензирования - это тоже правонарушение.

              А вот граница "не деятельности - деятельности" - критерий не очень чёткий в общем случае, к сожалению.

              Упрощенно говоря, если вы что-то продадите - то это еще не делает вас предпринимателем (а продажу - деятельностью). Но если продавать будете часто - то это уже вполне может оказаться деятельностью. А если что-то сделали бесплатно - это может оказаться "подарком", а не отсутствием деятельности.


              1. vadimr
                07.07.2026 08:42

                Деятельность может не быть предпринимательской.


                1. SerjV
                  07.07.2026 08:42

                  Может в общем случае. Научная деятельность, например. Которая может быть предпринимательской, а может и не быть.

                  Замечание относилось к "коммерческой деятельности", вы не совсем корректно это назвали.

                  В остальном вы правы - когда речь идёт об "деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе", то речь идёт о предпринимательской деятельности... А нюанс в том, что просто "не брать денег" - еще не гарантия непопадания в предпринимательскую деятельность.

                  И еще один нюанс - наш законодатель иногда забывает (или делает вид, что забывает), что регулируемый им технический аспект может возникнуть не только из предпринимательской деятельности. Вот, например, напишет, что перед блокировкой сайта надо направить уведомление оператору хостинга - и не учтёт, что таковой у сайта может вообще отсутствовать...


      1. LiamBlue
        07.07.2026 08:42

        Ты через фронтовый IP пускай трафик по VPN до своего сервера под кроватью.


  1. DrMefistO
    07.07.2026 08:42

    Фраза "больше не пишут на Хабре" напомнила мне, что у меня на домашнем провайдере в НН перестал открываться Хабр в принципе. Мобильный ок, с впн ок, а просто так - нет. Тех поддержка Хабра молчит.


    1. vert0let
      07.07.2026 08:42

      А что должна ответить техподдержка Хабра в данном случае, что вы от неё хотите? Они за действия РКН не отвечают, а РКН вертела все законы на детородном органе и блокирует все подряд. У меня половина зарубежного интернета не открывается на домашнем интернете, провайдер говорит, что ничего сделать не может.


      1. DrMefistO
        07.07.2026 08:42

        Ну, одно дело зарубежный ресурс. А другое - типа российский техно-ресурс. Они могут направить запрос хотя бы в ркн или провайдера, мол, почему наш ресурс у вас блочится


        1. ShadF0x
          07.07.2026 08:42

          Да давно он уже не российский.


      1. AndyCravec
        07.07.2026 08:42

        Да может и ответить. У меня в начале мая со служебного Ростелкома перестали открываться нужные по работе базы данных на сайте Минэка. 3 недели переписки с техподдержкой - "это у вас, у нас был сбой, но сейчас все работает". В конечном счете, "давайте пробуем поменять ваш постоянный IP на другую подсеть" и чудо - все работает. Как выяснилось, после "сбоя" в процессе которого была DDOS атака на gov.ru ИТ службы домена просто отключили целые подсети Ростелекома от доступа. И достучаться до них невозможно. Точнее Ростелеком даже и не думает это делать


    1. ManulVRN
      07.07.2026 08:42

      О! У меня Хабр последние дни работает через раз. Часть ссылок на сайте рабочая, по некоторым перейти невозможно и т.п. Комментарии то отправляются, то нет.


  1. legolegs
    07.07.2026 08:42

    Когда маскишоу дёргают сервер из питания и везут в околоток на газели - это же по факту уничтожение вещдоков: даже если сервер с данными злоумышленника не умрёт физически, то, если злоумышленник использовал шифрование, то расшифрованные данные и ключи пропадают из памяти в момент обесточивания машины. Мне кажется, что человека, который написал такую инструкцию для следаков надо высечь на Красной Площади за саботаж розыскной деятельности.


    1. musicman3
      07.07.2026 08:42

      не подсказывай, активист


    1. vadimr
      07.07.2026 08:42

      К тому времени, когда выдёргивают сервер из питания, розыскная деятельность уже фактически закончена. А там дальше уже будет забота злоумышленника – объяснять суду, почему и зачем у него ключи пропали из памяти. А может комфортнее окажется ключ вспомнить до суда.


      1. Arioch
        07.07.2026 08:42

        Да порнушка там был, гейская. Вот такой у меня стыдный интерес, только жене не говорите.
        А шифрование - это чтобы дети не смотрели, вы же знаете какие сейчас дети, всё сломают, везде пролезут.
        А дети и гейская порнуха - это уже статья. Вот и пришлось шифровать.

        Эх, сколько же теперь заново качать, да и всё ли найти удастся...


        1. vadimr
          07.07.2026 08:42

          Вряд ли это убедит суд. И без гейской порнушки доля обвинительных приговоров высока. Тут весь вопрос будет в том, пошёл обвиняемый на сотрудничество со следствием или нет.


          1. Sly_tom_cat
            07.07.2026 08:42

            Есть такие шифро-контейнеры с двумя ключами...
            Теоретически доказать наличие скрытого раздела там не возможно.
            На практике уже само использование такого крипто-контенера может обернутся требованием сразу двух пароей, даже если там нет скрытого раздела...


            1. Hlad
              07.07.2026 08:42

              Есть такие терморектальные криптоанализаторы. Которые при наличии физического доступа к лицу, знающему ключ, обеспечивают восстановление ключа любой длины за одно и то же время.


              1. ManulVRN
                07.07.2026 08:42

                (С ученым видом) О(1) по времени!


              1. Sly_tom_cat
                07.07.2026 08:42

                Это очень крепко заиграет красками во втором случае, когда на таком крипто-контейнере человек не додумался создать скрытый раздел :)


              1. viiprogrammer
                07.07.2026 08:42

                Ключа может уже и не быть, важно чтоб люди использующие терморектальные криптоанализаторы не сомневались в этом.

                Были вроде ролики где прямо на видео у задерживаемого из ноутбука вынули флешку с Linux Live CD и все "стерлось"... Его вроде отпустили и не смогли предъявить ничего, по крайней мере в рамках конкретно этой ситуации, вряд ли там кто-то будет пробовать Cold boot, от которого сейчас часто и хардварные защиты через вайп при старте (особенно если говорить за сервера)


          1. viiprogrammer
            07.07.2026 08:42

            Чистосердечное признание в основном только облегчает работу следователя.


        1. ManulVRN
          07.07.2026 08:42

          Проблема в том, что все эти отмазки прикольно звучат, пока человек реально не окажется в кабинете следователя. А там ему могут сказать, что "ну ладно, пока что мы тебя арестовываем на два месяца, а сокамерники могут случайно узнать, что ты любитель гейской порнушки". Таких умных там видали-перевидали.


  1. vmpg
    07.07.2026 08:42

    массовое изъятие примерно 800 серверов, как бы у нас сказали, почти по беспределу. ... утрируя, поспешно разорвал контракты с оставшимися русскими, теми, кто знаком с Россией, с ней работает или вообще что-то про неё слышал.

    Если вдруг кто-то хочет более подробно и не утрируя, вот тут был подробный разбор про эти 800 серверов и почему в действительности их изъяли.


  1. Grikhan
    07.07.2026 08:42

    Чувствуется некоторое лукавство в предложении Заказчику отказаться от ЕГО кроилова и заняться диверсификацией и репликацией. Макаете голландцев ("Но! Они могли знать, что так будет") с их переподпиской по инженерке, когда у самих такая же шляпа по инфраструктуре.

    Хочется, чтобы хостер не расслаблялся при ЧП и что-то там пил, а что-то гладил, а чтобы нашел какой-то резерв, который можно было бы привезти из соседних ЦОД (тем более, когда их 5 в 10 часах езды) или предложил временно разместиться в другом ЦОД, а может даже в этом ЦОДе пошевелился с субподрядом. Но таких хостеров в наших Палестинах не видали. У нас только такие, у кого тоже "не нашлось кабелей".

    Чтобы повысить лояльность клиентов, гладить нужно не траву.


    1. xSVPx
      07.07.2026 08:42

      Ну вы же сами понимаете, что если в точке Х изъяли почти тысячу серверов (к примеру), то физически замены не найти. Нет ее в природе. Боюсь и десяток никто в запасе не держит.

      Подобные катаклизмы невозможно никак предусмотреть и быстро разрулить.

      Хостер мог бы продублировать всё? Да, мог бы. Но и вы ведь могли бы ? Причем совершенно с тем же эффектом удвоения издержек.

      Как по мне удваивать их из коробки не очень всем надо, скорее всем не надо, лучше в двух точках размещаться...


      1. Dreams_and_magic
        07.07.2026 08:42

        А зачем физически? Ведь хостеры это по сути реселлеры, закажут в другом месте.


        1. xSVPx
          07.07.2026 08:42

          Где в другом ? Их нигде нет в таком количестве вот прям сразу. Ресселить что попало во время кризиса "такое себе".

          Упало и упало. Если резервирования нет - терпите, это ваше решение в том числе. Если есть, то особо проблем нет.


          1. Dreams_and_magic
            07.07.2026 08:42

            Когда у Cloudflare физически разбомбили дата центр в Бахрейне, они перезапустили клиентские аккаунты через несколько часов в другой локации.
            Никакого "терпите", никакого хамства. Просто сделали свою работу.


            1. xSVPx
              07.07.2026 08:42

              Даже не пойму, вы это серьезно или нет. Ещеб aws привели как пример.


              1. Dreams_and_magic
                07.07.2026 08:42

                Речь про ответственное отношение к своей работе. А не "что-то сломалось, да и х.. с ним, клиентов у нас и так полно".


                1. Cerberuser
                  07.07.2026 08:42

                  Есть разница между “да и хвост с ним” и “мы здесь физически ничего не можем сделать прямо сейчас”, не? Или вы исходите из того, что “физически не можем” здесь не бывает?


                1. xSVPx
                  07.07.2026 08:42

                  Ответственное отношение не у них, а у вас должно быть. Если надо.

                  Если вы беспокоитесь о бесперебойной работе, то у вас не должно быть проблем при выходе из строя одного из поставщиков услуг. По любым причинам. Любого.

                  Если вы беспокоитесь, а проблемы есть, то вы совершенно безответственно подошли к делу. Кое как его сделали. Не справились.

                  И выглядит всё так, будто вы при этом ищите на кого свалить ответственность.

                  ***

                  А вот амазон, обещая надежность смог в своем геораспрелеленном и вроде бы очень надежном хранилище повредить мои базы. Просто угробили некоторые тома. Должен ли я вместо раскручивания баз из бэкапов рассказывать о том, что надо было им в амазоне сделать ?

                  Надежность эфемерна. И если она обеспечивается не ВАМИ - она эфемерна вдвойне.

                  ЗЫ. Отдельный привет тем, кто бэкапится туда же где основные копии. Некогда я был вынужден не пользоваться амазон глазьером по причине того, что его предоставляет та же компания. Не здание одно, не континент, а просто в цепочке отказа есть один и тот же биллинг...


                  1. Grikhan
                    07.07.2026 08:42

                    Надежность ВАШЕЙ услуги - это ВАША забота. Если вы не обеспечиваете никакого уровня сервиса, то да, к вашему сервису у заказчика завышенные ожидания. Поэтому умные клиенты непременно скорректируют ожидания, а вы останетесь с остальными. Так работает закон гостеприимства.


                    1. xSVPx
                      07.07.2026 08:42

                      Безусловно. И уровень этой надежности и сервиса регулируется sla который стоит денег. Лично мне совершенно не нужно дублирование силами провайдера услуги за прайс*3. Зачем вы пропагандируете это как единственный вариант ведения дел ?

                      Умные клиенты знают, что ничего бесплатного не бывает. Всё придется оплатить. Им.

                      Надежность силами одного провайдера - это в любом случае не надежность, а профанация. Контрагент со всеми рисками остается один.

                      Разумный уровень надежности совершенно не должен покрывать визиты омона или стихийные бедствия нетипичные для данной местности.


      1. Grikhan
        07.07.2026 08:42

        Никто не говорит "дублировать". Базовая отказоустойчивость при n+1. С этого только начинаются слова про надёжность. Если ее нет, то сервис ненадёжен.


  1. fugal-fringe-0p
    07.07.2026 08:42

    "В итоге процессор уходит в 100% загрузку, вся эта машина полностью зависает и перестаёт реагировать на любые команды."

    Ничего в этом не понимаю, но разве нет способов намертво ограничить загрузку целевой деятельностью 95-99%, оставив НЗ под связь/системные команды?


    1. vadimr
      07.07.2026 08:42

      Способы есть, но в операционных системах для PC они не реализованы.


      1. mirwide
        07.07.2026 08:42

        Всё есть. Нужна только диагностика получше, что конкретно утилизировало ЦП. Можно через ethtool ограничить количество ядер обрабатывающих сетевой трафик на физическом интерфейсе. Виртуальный коммутатор, зависит от того как реализован. Либо выставить адекватные лимиты виртуалке под него, либо прибить к ядрам, если без виртуалки на ноде.


        1. vadimr
          07.07.2026 08:42

          Тут проблема с вводом-выводом, а не с ЦП.


          1. mirwide
            07.07.2026 08:42

            Виртуальные свитчи ложатся, начинают сильно переполнять стек машины. В итоге процессор уходит в 100% загрузку, вся эта машина полностью зависает и перестаёт реагировать на любые команды.

            Вот же написано в статье: сеть -> процессор.


            1. RTFM13
              07.07.2026 08:42

              Там много странного написано.


    1. mayorovp
      07.07.2026 08:42

      Конкретно для CPU такой способ есть, правда настраивать его лучше бы заранее, а не после начала атаки. Но вот когда система упирается в память…


  1. valera_efremov
    07.07.2026 08:42

    И это всё из-за одного-единственного клиента, который держал у нас какой-то VPN-сервер.

    И посадят его, не найдя кто реально использовал vpn, если он не вёл лог ip адресов. А если и вёл, то следствию это может быть не интересно.


  1. SkifDS
    07.07.2026 08:42

    Эмм, мне одному кажется, что ссылка на "аномальную жару в Европе" несколько протухла? Поскольку эта самая "аномальная жара в Европе" регулярно приключается уже лет 10 как.


    1. czz
      07.07.2026 08:42

      Это как снег в Питере. Ежегодно выпадает, когда его никто не ждёт, и путает коммунальным и транспортным службам все карты.


      1. vmpg
        07.07.2026 08:42

        Это как если бы в Питере прошел самый сильный снегопад за всю историю наблюдений, а потом этот рекорд обновлялся бы еще пару дней подряд все более и более сильным снегопадом. По крайней мере в некоторых странах с жарой в этом году случилось примерно так.


  1. Void-Cowboy
    07.07.2026 08:42

    "не пишут на хабре" в первую очередь по вине самого хабра

    вон недавно думал выпустить статью, потратил время написать (сам написать, без нейронок которые задолбали откровено говоря) и нормально сверстать в этом уебишном редакторе хабра - пост с песочницы просто снесли

    самое мега ироничное в том что у меня в песочнице "на доработку" ранее вернули статтью которую я просто по приколу сгенерировал за 10 мин и не сильно ожидал что она пройдет

    с таким подходом не удивительно что хабр забит нейрошлаком - это видимо сейчас основной фокус сейчас для хабра


    1. musicman3
      07.07.2026 08:42

      не только нейронки но и рекламные статейки еще 50/50 уже


  1. Rikimortuy
    07.07.2026 08:42

    Очень мило звучит "мы не стали юлить и честно сказали, что сервера забрал ОМОН". А какие еще были варианты? Сказать, что сервера улетели в теплые края?)


  1. maxsaf
    07.07.2026 08:42

    Силовики конфисковали серверы, чтобы гарантированно получить с них данные, но при этом выдергивая кабели питания, чтобы что? Чтобы был шанс потерять данные на рэйде и не возиться со всем этим? Пытаюсь понять логику действий.


    1. Arioch
      07.07.2026 08:42

      Да ладно RAID, они же оперативку обнулили! Был бы я тем злоумышленникам - свечку бы мужикам поставил, или просто взятку дал :-D


    1. Anorx
      07.07.2026 08:42

      Опергруппа это руки. Мозги, понимающие логику, сидят в кабинетах.
      Почему мозги не объяснили рукам как безопасно извлекать железо, уже другой вопрос.


      1. dartraiden
        07.07.2026 08:42

        Вовсе нет, мозги и руки это просто разные составные части группы.

        Вот пример с обыска в России: сначала в квартиру вломились мускулы, выпилившие дверь и уложившие хозяина на пол, а уже потом вошли следователь и некий паренек, который и подсказывал, какую технику изымать. То есть, каждый специализируется на своем деле, это проще, чем готовить универсального солдата, который и сопротивляющегося обезвредит, и в технике шарит, и в юриспруденции.


  1. Arioch
    07.07.2026 08:42

    Виртуальные свитчи ложатся, начинают сильно переполнять стек машины. В итоге процессор уходит в 100% загрузку, вся эта машина полностью зависает и перестаёт реагировать на любые команды

    А нельзя не дожидаться коллапса, а заранее действовать?
    Начали расти стеки свитчей - сбросить гистограмму количества пакетов на внешний лог-сервер?
    Или даже просто каждые 5 минут сбрасывать, скользящее окно, и сутки хранить.

    DDoS как вы его описываете просто обязан быть Top 1 по количеству пакетов, и с большим отрывом.


  1. maxsaf
    07.07.2026 08:42

    У нас в одном сервере так полностью повредился диск и потерялась загрузочная запись. К счастью, ребилд и удалённое шаманство админов помогли, избыточность там достаточная.

    Если это зеркало, то что там шаманить? А если любой другой уровень RAID - то что там делает загрузочная запись?


  1. aal27
    07.07.2026 08:42

    Очень интерестная статья. Спасибо!


  1. Sitro23
    07.07.2026 08:42

    По этой статье можно фильм снимать)


  1. ifap
    07.07.2026 08:42

    Естественно, в группе там специалисты по погоне за отстреливающимися людьми и выпрыгивающими в окна директорами, поэтому выполнили задачу ровно так, как поставили.

    Вы это серьезно? Специалисты по погоне - это группа силовой поддержки, которая выпиливает двери, кладет мордой в пол и обеспечивает на захваченном объекте режим наибольшего благоприятствования заходящим прямо следом за ней следакам. Сама она кроме силовой поддержки не делает вообще ничего, даже постановление не предъявляет, не говоря уже о следственных действиях типа опроса, выемки и т.д. А на серьезные дела запросто могут приехать и следаки из главка, в усиление к местным, которые прекрасно знают, что надо изъять, а не "от забора и до заката". Если серваки вывозили грузовиками, на то была причина, возможно, лежащая несколько за пределами УПК.


    1. qwe101
      07.07.2026 08:42

      Знать-то знают, но берут всё.


  1. Dreams_and_magic
    07.07.2026 08:42

    Серверный проц и с 99% нагрузкой нормально работает. Я в некотором недоумении от написанного)


  1. whitekoldun
    07.07.2026 08:42

    Мне, как вашему клиенту, было неприятно обнаружить свою впску просто молча выключенной. Даже уведомления никакого не прислали, или предупреждения "мы сегодня будем шатать ваш сервер, готовьтесь".


  1. Solenodont
    07.07.2026 08:42

    группа очень грамотно заехала в здание и не менее грамотно провела мероприятия.

    @

    Но мы-то точно знаем, что в ЦОДе их никто с кнопки штатно не выключал — просто выдернули из розеток. 


    Выходит, выезжают когда клиент - "свой слон". Мотайте на ус!


  1. r23232r
    07.07.2026 08:42

    можно ёрничать сколько угодно и на пятый год удивляться чему-то, а жара действительно жара что аж светофоры плавились, можно найти видева по этому поводу


    1. dartraiden
      07.07.2026 08:42

      Но всё равно глобальное потепление это выдумки европейских леваков /s

      К слову, жара такая, что даже работу АЭС пришлось приостанавливать. Оказывается, они при очень высокой температуре работать не могут.


      1. elmirius
        07.07.2026 08:42

        А одна из самых холодных зим в Прибалтике за четверть века в этом году - это глобальное похолодание?


        1. SukharevAndrey
          07.07.2026 08:42

          Это новый термин – "изменения климата".
          И ледниковый период был, потому что костры неправильно жгли, неправильными дровами топили.


        1. rPman
          07.07.2026 08:42

          глобальное потепление - это про изменение СРЕДНЕЙ температуры на условный градус. (это много, если океан к примеру потеплеет на пару градусов, там пиздец начнется, со дна полезут мегатонны углерода, которые сейчас там захоронены, читать про метангидраты, да процесс сильно инертный, но значимый).

          но при резких изменениях температуры (текущие изменения как раз такие) начинается сильный расколбас, условно min/max меняется, температура начинает скакать в бОльших пределах чем в раньше. Собственно это мы и наблюдаем, одни места жарит под 40 и сушит, другие морозит и топит.


        1. Wesha
          07.07.2026 08:42

          А одна из самых холодных зим в Прибалтике за четверть века в этом году - это глобальное похолодание?

          (Горько вздыхая:) Вот перевёл же какой‑то надмозг нам на голову...

          Понимаете, в английском языке слово «global» означает не только «везде» — оно также может означать «по всему глобусу (globe)». То есть средняя температура по больнице. Утрируя, в Африке потепелело на 2 градуса, в Сибири похолодало на 1 градус — в среднем по больнице Земле потеплело на 1 градус, однако сибиряки бегают с воплями «у меня на крыше метровые сугробы, выффсйоврёти!!!»

          А правильное название было бы «общемировое потепление». С глобальным нарушением погодных структур (global disruption of weather patterns).

          Меня одно радует: я копыта откину раньше, чем начнётся самое веселье.

          А вот вам придётся помучиться!

          Запомните этот твит.

          P.S.

          «Когда я был маленьким» © у нас несколько раз отменяли занятия в школе, потому что мороз был ниже -25.

          В последние пару лет в городе, где стоит моя школа, температура зимой отказывалась падать ниже ноля.


      1. sundmoon
        07.07.2026 08:42

        Выдумки леваков это всеобщий моральный долг жрать жуков и сокращать производство говядины, потому что коровы пукают, а поголовью морских котиков угрожает таяние льдов.

        Потепления - чередующееся с похолоданиями - просто геофизический факт. Экономическим субъектам следует вкладываться в адаптацию к нему, а не кивать на форс-мажор.


  1. Limping
    07.07.2026 08:42

    Но тут причина падения принципиально другая. Чистейший, стопроцентный форс-мажор, который мы никак не могли гарантировать или предотвратить. 

    А как юридически оформляется форс-мажор?
    Его ведь невозможно объявить просто от своего лица?

    Требуется какое-то официальная нотификация торговой палаты, что в это время в этом регионе имел место форс-мажор? (ну или что-то подобное)


  1. r23232r
    07.07.2026 08:42

    там значится сработали "по беспределу", а у нас "если что никаких обид" ясно понятно


  1. DarkHost
    07.07.2026 08:42

    Вы язык не стёрли столько нализывать? Сначала вброс про Амстердам, типа "не все так однозначно". Затем нахваливание того, что, как я понял, идиоты с автоматами приехали в ЦОД. Ну да, сотрудники ЦОД ведь знамениты тем, что отстреливаются до последней капли крови, когда у них изымают сервера. *sarcasm* Ну и конечно "сердечки" за то, что быстро сервера вернули. Грубо изъять сервера, нанеся огромный ущерб бизнесу, чтобы затем мило и с улыбкой вернуть. Так и хочется спросить, во сколько обошелся быстрый возврат?


  1. azgnetov
    07.07.2026 08:42

    При следующем запуске система может не подцепить старый массив дисков и выдаёт ошибку о критическом повреждении файловой системы либо уходит в цикличную перезагрузку

    Я конечно не ДЦ, но из-за жары свет рубят почти каждую неделю и сервак за 15 лет ни разу не потребовал особого внимания. Диски пару раз менял, тоже все собиралось без проблем. Потому что ZFS.


  1. Frankenstine
    07.07.2026 08:42

    При физической вибрации и тряске банально отходят контакты. У нас даже была ситуация, когда мы внутри одного ЦОДа аккуратно перевозили оборудование из стойки в стойку, и четыре сервера не включились. По-хорошему, после каждого перемещения сервера нужно полностью редеплоить ноду: сносить операционку и накатывать всё заново.

    Вот тут не понял: как переустановка ОСи и восстановление данных из бэкапов фиксит отошедшие от тряски контакты? Я бы понял пассаж про техобслуживание - перед включением разобрать-прочистить-смазать-собрать, но не представляю зачем вместо этого, сносить операционку. Байты от тряски могли переставиться местами, штоле? :/

    Стратегия таких атак строится на том, что сервер коммутируется между физическим портом и виртуальными свитчами. Виртуальные свитчи ложатся, начинают сильно переполнять стек машины. В итоге процессор уходит в 100% загрузку, вся эта машина полностью зависает и перестаёт реагировать на любые команды. Её нельзя перезагрузить программно, она уже не откликнется — помогает только хард-ребут по питанию.

    А при хард-ребуте по питанию массивы RAID… Но вы уже помните, да?

    Так сервер завис или продолжает работать? Если завис - все буферы уже записаны, новых данных на запись нет, хард ребут ничего не ломает. А если не завис - есть софт ребут.


  1. select26
    07.07.2026 08:42

    Красиво Цаплин пишет. Всегда читаю с удовольствием.
    Но аудитория немного не та, что у телевизионщиков.

    процессор уходит в 100% загрузку, вся эта машина полностью зависает и перестаёт реагировать на любые команды. Её нельзя перезагрузить программно, она уже не откликнется — помогает только хард-ребут по питанию.

    А при хард-ребуте по питанию массивы RAID… Но вы уже помните, да?

    Вот не верю, что нет IPMI и Out of band management в серверах у хостера такого уровня.
    Не верю, что нельзя погасить dataplain ports и через IPMI получить доступ к уже нормальному, отключенному от атаки серверу.
    Это знает любой junior admin, переживший DoS атаку.

    Или все-таки самосборные серверы без IPMI и OOBM?

    Надёжное, как швейцарские часы. Мы временно отключаем всех клиентов от виртуального свитча, а затем начинаем постепенно, по одному, восстанавливать подключения. Сначала включаем VIP-клиентов и юрлиц с известной историей авторизаций и большим количеством ответственных. И так, ранжируя по признаку доверия, перебираем всех, пока не наткнёмся на того, на кого реально идут атаки.

    Это вообще пять! Круто быть коиентом, которого отключат, чтобы проверить ни его ли атакуют?
    Netflow collector и analyzer были придуманы лет 20 назад. Или вы будете аппелировать к

    Потому что пролезть на сервер за телеметрией тоже никак не выйдет при 100% загрузке процессоров и сети.

    Так нужно делать как положено: OOB management и такие вопросы просто не возникают в принципе.

    Люблю читать сказки Цаплина. Прямо из моей телекомовской юности.
    Но ощущения какие-то смешанные. Страшновато быть вашим клиентом. Думал такой подход уже в прошлом.


  1. kneaded
    07.07.2026 08:42

    Молодцы, что пишете о таких моментах. Но обо всей ситуации я бы высказался по-другому, типа

    • С точки зрения оперативных мероприятий, о том, что серверы изъяты мы узнали по факту, - это прекрасная работа. Действительно добились изоляции информации, чтоб ничего никуда никого

    • С точки зрения клиентов - всем плевать на всё происходящее, дайте нам работающий сайт и прочее, мы же к вам за этим обратились и этой услугой пользуемся. То есть несмотря на всё, вы плохие

    • С вашей же точки зрения вы понимаете, что делаете плохо клиентам, но вы это делаете косвенно, а напрямую корень такого... Эммм... Неудобства? В оперативных мероприятиях. И вы сделали всё напрямую, чтоб это "плохо" прекратить.

    Что по итогу? Волна недовольств есть. Вы как компания возместили денежно простои и это плюс к доверию. Дальше посмотрим, потому что в нынешних реалиях сложно что-то кому-то гарантировать, хотя очень хочется сделать чтоб всё у всех всегда работало и было готово ко всем негативным сценариям.

    Отдельно отмечу минус в этой истории, что попытались оправдать всех - себя, оперативников, клиентов. По итогу как будто никто ни в чём не виноват, так бывает, живите с этим


  1. flower9
    07.07.2026 08:42

    Интересно, я правда заметил что Хабр сильно просел по количеству и качеству контента (и как-будто аудитория сильно меньше стала). Но думал, что просто его олдскульное время уходит


    1. Wesha
      07.07.2026 08:42

      А что Вы хотите? Снежинки выпинывают олдскулов, ничего необычного — тренд тенденция сейчас такая.