W kwietniu 2008 było to ponad 10 000 serwerów. W listopadzie 2009 było to 30 000 serwerów. W lipcu 2010 mógł mieć 60 000 serwerów. A ile ma teraz czyli we wrześniu 2011? Postanowiłem to sprawdzić. Przyjąłem BARDZO luźne założenie, że zapytanie wysyłane do serwisu Facebook, które zwraca wewnętrzny adres IP serwerów tychże będzie miarodajnym narzędziem. Przykład zwróconego zapytania wygląda tak:
X-FB-Server: 10.150.188.48
Postanowiłem odpytać wiele razy serwis Facebook i sprawdzić jak wiele unikalnych adresów IP zwrócą ichnie maszyny. Oczywiście znów luźno założyłem, iż jeden adres IP = jeden serwer. Odpytałem ponad milion razy :] serwis Facebook i uzbierałem 79 965 różnych odpowiedzi czyli moim skromnym zdaniem Facebook ma aktualnie około 80 tysięcy serwerów :] Kto za, kto przeciw? ;]
Z perspektywy security można byłoby zadać sobie pytanie jak duży należałoby posiadać botnet by taką infrastrukturę położyć. Oczywiście znów abstrahuję od możliwości ataków serwerów DNS, łącz internetowych, serwerów proxy itd. Bo ostatnio nastolatka mi powiedziała, że grupa Anonymous zaatakuje kiedyś tam we wrześniu Fejsa i będą mogli zrobić tak, że będzie wyglądało, że to zrobiłem ja (jeśli mam konto na FB :). To nie był żart, to na prawdę nie był żart :]
A dla wariatów mała tabelka z wynikami najczęściej powtarzających się adresów IP:
1 – 73 – 10.150.197.51
2 – 73 – 10.150.66.42
3 – 72 – 10.53.95.61
4 – 71 – 10.151.25.31
5 – 71 – 10.150.169.21
6 – 71 – 10.150.198.24
7 – 70 – 10.150.248.46
8 – 69 – 10.150.66.41
9 – 68 – 10.150.248.45
10 – 68 – 10.150.153.22
11 – 67 – 10.150.66.40
12 – 67 – 10.150.153.26
13 – 65 – 10.150.197.54
14 – 64 – 10.151.25.33
15 – 64 – 10.150.169.22
16 – 64 – 10.150.169.30
17 – 63 – 10.150.198.25
18 – 63 – 10.150.169.28
19 – 63 – 10.150.119.32
20 – 62 – 10.150.66.37
21 – 62 – 10.151.25.32
22 – 62 – 10.150.153.24
23 – 62 – 10.151.25.29
24 – 61 – 10.150.96.27
25 – 61 – 10.150.119.29
26 – 60 – 10.151.40.55
27 – 60 – 10.150.153.27
28 – 60 – 10.150.198.26
29 – 59 – 10.150.96.30
30 – 59 – 10.150.119.27
31 – 59 – 10.150.152.56
32 – 59 – 10.150.169.27
33 – 59 – 10.150.96.26
34 – 58 – 10.53.24.23
35 – 58 – 10.151.25.35
36 – 58 – 10.150.119.25
37 – 58 – 10.150.169.29
38 – 57 – 10.150.66.39
39 – 57 – 10.53.95.51
40 – 56 – 10.53.95.83
41 – 56 – 10.151.40.54
42 – 56 – 10.150.96.25
43 – 56 – 10.150.153.21
44 – 56 – 10.150.169.25
45 – 55 – 10.150.198.23
46 – 54 – 10.150.66.38
47 – 54 – 10.53.24.25
48 – 54 – 10.150.33.22
49 – 53 – 10.151.67.51
50 – 53 – 10.150.248.40
51 – 53 – 10.52.20.33
52 – 53 – 10.151.25.34
53 – 53 – 10.150.152.54
54 – 53 – 10.150.152.55
55 – 53 – 10.151.51.37
56 – 53 – 10.150.58.27
57 – 52 – 10.53.95.63
58 – 52 – 10.150.96.29
59 – 51 – 10.53.24.33
60 – 51 – 10.150.119.31
61 – 51 – 10.53.24.39
62 – 51 – 10.150.24.45
63 – 51 – 10.150.248.47
64 – 51 – 10.151.8.31
65 – 51 – 10.150.169.23
66 – 50 – 10.150.16.42
67 – 50 – 10.150.66.35
68 – 50 – 10.52.90.57
69 – 50 – 10.150.236.55
70 – 50 – 10.150.119.30
71 – 50 – 10.151.60.21
72 – 50 – 10.150.248.44
73 – 50 – 10.150.171.41
74 – 50 – 10.150.96.28
75 – 50 – 10.150.213.35
76 – 50 – 10.52.192.63
77 – 49 – 10.150.39.55
78 – 49 – 10.150.119.28
79 – 49 – 10.150.59.40
80 – 49 – 10.52.20.53
81 – 49 – 10.150.197.52
82 – 49 – 10.52.90.79
83 – 49 – 10.150.96.31
84 – 48 – 10.150.237.35
85 – 48 – 10.150.196.31
86 – 48 – 10.150.208.33
87 – 48 – 10.150.186.37
88 – 48 – 10.150.248.43
89 – 48 – 10.150.214.52
90 – 48 – 10.150.78.36
91 – 48 – 10.52.90.75
92 – 48 – 10.151.0.51
93 – 48 – 10.150.31.39
94 – 48 – 10.150.25.52
95 – 48 – 10.151.51.27
96 – 48 – 10.151.13.26
97 – 47 – 10.150.124.46
98 – 47 – 10.151.63.36
99 – 47 – 10.150.138.42
100 – 47 – 10.150.119.26
8 komentarzy do
21 września, 2011 o godzinie 03:11
Cos tam mialo byc z tym atakiem na facebooka. Miesiac wczesniej czytalem, ze annonymous maja nowe narzedzie ktore mialo zastapic LOIC i dzialac w troche bardziej zaawansowany sposob, wykorzystujac bodajze inny wektor ataku. Skojarzylem dwie sprawy i bylem przekonany, ze o to chodzi. Mimo wszystko nie jestem az tak uparty zeby przegladac odmety internetu w poszukiwaniu informacji o tym narzedziu. Moze ktos z tutaj obecnych kojarzy o czym mowa?
Milion zapytan i 80 tys roznych IP, wychodzi 12,5 zapytania na serwer. Troche malo moim zdaniem zeby przyjac to za wiarygodny rezultat. Do szesc sigma w kazdym razie troche jeszcze brakuje. ;-)
21 września, 2011 o godzinie 07:32
z ciekawostek, to ich opis jako AS32934 mówi, że mają zewnętrznych IP 19200 i 100 prefixów BGP, biorąc pod uwagę, że już teraz – facebook odpowiada za około 10% calego ruchu na „zwykłym” DDoSem jak przy „operacji payback” cieżko byłoby ich obalić, chyba, że atak byłby bardzo precyzyjnie nakierowany i obciążający jakiś kluczowy element infrastruktury.
Borys – czy masz pewność że pukałeś do wszystkich 9/10 datacenter facebooka?
21 września, 2011 o godzinie 08:18
A przypadkiem Anonymous nie dementowało tej całej operacji obalania Facebooka?
21 września, 2011 o godzinie 12:14
tak zdementowali ta plotke jak i video na swoim oficjalnym kanelm na tweetku
21 września, 2011 o godzinie 13:42
Zupełnie nie mam tej pewności. Odpytywałem o domenę Facebook.com, która odpowiada trzema adresami IP: 69.63.189.16, 69.63.181.12, 69.63.189.11. Odpytałem kilkanaście serwerów DNS o tę domenę i otrzymywałem wyłącznie te adresy. Niestety odpytywałem wyłącznie z adresów IP z terenu Europy. Jeśli ktoś ma możliwość sprawdzenia jakie adresy IP zwraca domena facebook.com z Azji czy USA i będą inne od tychże – proszę o informację :]
29 września, 2011 o godzinie 10:23
Sorry za być może noobowy wpis, ale nie rozumiem jak można odpytać serwis aby zwrócił prywatne IP
29 września, 2011 o godzinie 14:15
To akurat specyfika rozwiązania serwisu Facebook. Odpytując normalnie, zwracają dodatkowy nagłówek z wewnętrznym adresem IP.
6 lipca, 2012 o godzinie 20:30
chcilam sie spytac jak moge odzyskac swoje haslo na facebook prosze nowe haslo