"Elég nehéz összeszedni az információmorzsákat, hogy akkor mi is volt, mert konkrétumok, és ok-okozati összefüggés alig derül ki bárhonnan, hogy mi mikor történt és miért, de ha jól értem ennyi volt az egész:"
Az elején igen, csak közben lett egy elemzés az esetről. Ez alapján már sokkal több az információ.
"Véletlenül kiderültek a cloudflare mögötti backend infra IP címei
Ezért le lehetett DDoS-olni az egész backendet, a támadók kitömték a backend szerverek 1Gbit linkjét
Nyilván ettől megfeküdt a cucc, és mivel ez ellen nem nagyon volt mit tenni, úgy döntöttek elköltöztetik a backendet, ezért kellett leállítani két napra a szavazást, hogy meg tudják csinálni a költöztetést"
A legfontosabb megállapítás, hogy nem volt DDoS, egy +70% forgalom növekedés miatt feküdt meg a rendszer:
"Kijelenthető, hogy a rendszer a nem tervezett hálózati terhelés miatt nem tudott kiszolgálni.
Támadási minták tapasztalhatóak a forgalomban, de ezek egyike sem hálózati túlterhelés, sokkal inkább a kiszolgálók és az alkalmazás sérülékenységeit letapogató próbálkozások voltak.
A megnövekedett forgalom, melynek 41%-a nem rendeltetés szerű volt, valamint a szerverek internet kapcsolatának alul méretezésé és a belső szinkronizáció hiányának együttese okozta a leállást."
A teljes forgalomban volt 41% nem tervezett és ez miatt nem tudott kiszolgálni. Mivel a 41% nem tervezett, így 59% a tervezett adatforgalom.
Ebből az következik, hogy a 41% azt jelenti, hogy +70%-al növekvő terhelés miatt omlott össze. Ez finoman fogalmazva nem az a kifejezett DDoS adatmennyiség:
41/(100-41) = 41/59 = 0,6949 = 0,7 = 70%