За последние пять лет данная уязвимость многократно эксплуатировалась, особенно большая волна атак прошла в 2017 году, а тема тогда обсуждалась на Хабре.
Несмотря на достаточно тривиальный характер атаки, Роскомнадзор до сих пор не закрыл уязвимость. Очередной жертвой ложных блокировок стал «Яндекс», стало известно РБК.
Представитель пресс-службы «Яндекса» подтвердил факт инцидента и сказал, что пострадать от подобных действий может любая компания: «Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок».
Технические специалисты «Яндекса» отражали атаку несколько суток, пишет РБК: «Блокировки сайтов удалось избежать, но атака не прошла незамеченной — активные пользователи сервисов компании заметили снижение скорости доступа к ним», — сказал источник в самой компании.
Роскомнадзор вносит в реестр какой-либо сайт, а запись в реестре состоит из трёх элементов: домен, URL, IP-адрес. Далее каждый провайдер сам решает, каким образом блокировать доступ к нему, при этом здесь отсутствует какое-либо регулирование. Например, провайдеры могут блокировать ресурс по его IP-адресу, указанному в записи DNS.
Сейчас это и произошло: ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы DPI, были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей.
Кроме «Яндекса», пострадали сайты нескольких крупных СМИ, в том числе РБК: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники, как и в 2017 году, воспользовались уязвимостью, позволяющей приписать домену из реестра запрещённых сайтов IP-адрес любого другого добропорядочного ресурса, и тем самым попытались заблокировать его. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него», — пояснил Digital-директор B2C направления РБК Кирилл Титов.
Комментарии (42)
solalex
14.03.2019 15:35+3Технические специалисты «Яндекса» отражали атаку несколько суток
Как они могли отражать «атаку»? Я понимаю, когда так пишет какой-нибудь новостной ресурс, но написать такое на хабре…
Vest
14.03.2019 15:56-1А недавняя новость про кубик Рубика, собранный ногами, как вам? Тоже, думаю, так себе статья на Хабре.
roscomtheend
14.03.2019 17:11Перекидывали домены на другие IP. Прям как ненавистный некоторым Телеграм бегали от карающего меча правосудия в руках слепой.
akamajoris
14.03.2019 16:02-1Что за бред они несут. Какая еще DNS атака? Купил домен и прописал записи — теперь это атака? LOL
ArsenAbakarov
14.03.2019 17:57Да, именно теперь это именно атака
alexanster
15.03.2019 14:37А если вписать адреса какого-нибудь гос.ведомства, то вообще терроризмом попахивает.
TimsTims
14.03.2019 17:58А почему нет? Ресурс заблокирован, цель достигнута, ущерб причинен. То, что это делается элементарно, вовсе не означает, что это не атака. Выдернуть из серверов провода — тоже тривиальное действие, но это тоже вполне себе атака с результатом.
Sabubu
14.03.2019 16:05+1На мой взгляд, это неправильно называть "атакой". Давайте разберем ситуацию. Оператор некоего DNS сервера ("доброумышленник"), обслуживающего заблокированный домен, на законных основаниях вносит в него произвольные IP адреса, в том числе крупных популярных в РФ сайтов. Это, как я понимаю, абсолютно законно, более того, доброумышленник может не быть гражданином РФ и не находиться на ее территории.
Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу, получают с него IP-адреса и либо 1) ограничивают к ним доступ, либо 2) направляют трафик на них через DPI, отчего тот захлебывается. Видимо, такие провайдеры хотят выслужиться и показать более высокие показатели качества блокировки.
Я специально бегло проглядел списки блокировок за 10 марта и там следов "атаки" не обнаружил, то есть это не РКН передавал IP для блокировки, а именно чья-то нездоровая инициатива.
Получается, они же сами и виноваты: в первом случае, они виноваты, что вместо строгого следования списку, присланному РКН, проявляют инициативу и добавляют лишние адреса, ломая этим легитимные сервисы. Во втором случае они виноваты в том, что установили слишком слабый DPI и, опять же, направили на него лишний трафик по своей инициативе.
Я считаю, что то, что делают операторы таких DNS серверов — это благое дело и в наших интересах, и вот почему.
Во-первых, шум привлекает внимание к проблеме. Операторов ругают, в итоге у них появляется меньше желания проявлять инициативу и блокировать что-то за пределами реестра. DPI не справляется — и им приходится отказываться от него, используя более легкообходимые методы блокировки. Если такие "атаки" будут продолжаться, DPI придется отключать.
Во-вторых, такие вещи не позволяют РКН автоматически скриптом получать IP сайтов, а вынуждают их делать проверки, тратя на это время людей. Это замедляет работу РКН и ограничивает рост реестра.
В общем, то что делают операторы DNS серверов, несет пользу. Да, могут быть временные проблемы со связью, но в общем итоге это несет больше пользы, чем вреда. Чем больше ада, тем лучше.
Кстати, если вы скачаете новый Firefox, включите в настройках "DNS over HTTPS", и зайдете на сайт с TLS1.3, то DPI будет бесполезен — в такой конфигурации имя домена надежно маскируется и остается только вариант блокировки по IP (для которой DPI не требуется).
Тут еще пишут, что РКН как-то пытается автоматически вычислять прокси для Телеграм, анализируя трафик. Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.
В заключение, интересно посмотреть на мнение Яндекса о проблеме. Может быть, они против блокировок? Конечно, нет, тут они на стороне жуликов, при условии, что им выдадут привилегии:
Представитель пресс-службы «Яндекса» утверждает, что Роскомнадзор уже выработал несколько инструментов защиты компаний, в том числе «Яндекса», от случайного попадания в такие ситуации: ведомство предложило применять белые списки — перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. «Это правильный подход, но этого недостаточно. Необходимо сделать обязательным использование белых списков всеми операторами связи при формировании списка ресурсов для блокировки», — считает представитель «Яндекса».
Белые списки никак не решат проблему. Есть куча других URL, например, представьте, если доброумышленник укажет на своих DNS-серверах IP-адрес мобильного API Инстаграм, например. Это очень популярное приложение, и его блокировка конечно вызовет недовольство людей. Ну и непонятно, чем Яндекс лучше других компаний и почему он должен быть защищен от безумия РКН.
Lookmorum
14.03.2019 16:32Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.
Зачем указывать в нем IP Яндекса? Нужно указать IP роскомнадзора, чтобы он наконец уже заблокировал себе анус!
Areso
14.03.2019 17:32Затем, что IP Роскомнадзора нужен только двум с половиной анонимам, которые либо работают в отрасли, либо следят за ней.
AEP
14.03.2019 17:41Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу
Это не «по собственной инициативе», это по велению Ревизора (это такой перепрошитый TP-Link, который сидит в сети провайдера и по велению РКН ходит по всяким нехорошим сайтам). Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.swelf
14.03.2019 20:40+1В тоже время я думаю представитель частотного центра прав. По ip крупные операторы не фильтруют.
В http, прям в теле запроса видно видно хост к которому пользователь хочет подключиться и можно сделать редирект на заглушку
в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться и чей сертификат просит и можно сбросить соединение.
Для этого надо проверять весь трафик. Но выбора нет.
Сейчас провел проверку, у меня провайдер ТТК. Внес в /etc/hosts следующую запись
195.82.146.214 test.tes
В итоге получил ошибку сертификата при подключении к http s://test.tes, но целевого сайта(который на самом деле заблокирован я достиг), в тоже время при попытке подключиться к http s://ru tracker org я просто получил сброс соединения.Sabubu
14.03.2019 21:47Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.
А почему меня это должно волновать? Пусть оспаривают штрафы в суде или платят их молча. Если требования не основаны на законе, то не надо их выполнять. Не надо устраивать неформальные блокировки.
В моих интересах, чтобы блокировок было как можно меньше, следовательно действия доброумышленника, ломающего Яндекс и РБК и поднимающего шум в прессе, в моих интересах.
в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться
Этого нет в TLS1.3, где имя домена шифруется (если есть нужный ключ в DNS) и шифруется сертификат. Владельцы сайтов должны переходить на TLS1.3, а пользователям стоит устанавливать поддерживающие TLS1.3 браузеры. Также, стоит включить DNS-over-HTTPS (есть в FF), который не позволит провайдеру смотреть ваши DNS-запросы.
С TLS1.3 и DoH остается только блокировка по IP.
DaemonGloom
15.03.2019 07:41Вас это не волнует. А оператора, у которого отберут лицензию и/или впаяют штраф нецензурных размеров — очень даже волнует. Нет у оператора выхода никакого. РКН одновременно говорит «вы не резолвьте домены» и «если стукачок(tp-link их) по адресу достучится до домена — оштрафую». Остаётся только закрыться и уходить в дворники всей конторой.
Sabubu
15.03.2019 08:44Можно «стукача» поставить в отдельную подсеть с жесткой фильтрацией. Можно круглый год жаловаться судам, СМИ, депутатам, членам правительства и писать письма Президенту. Можно отказаться предоставлять услуги вообще. Но нет, эти жулики предпочитают подыгрывать РКН и блокировать сверх того, что требуется в реестре. Плевать им на пользователей. Никакого сочувствия к ним не испытываю, а если они разорятся, то порадуюсь за кармическую справедливость.
athacker
15.03.2019 10:26РКН прямым текстом говорит: «провайдер должен резолвить домены сам». А про «некорректный резолв» РКН только в прессе пишет, когда отмазывается после вот таких вот случаев, который в посте описан.
Вот тут РКН пишет про «некорректный резолвинг». На этой же странице даётся ссылка на «Рекомендации по блокировке для операторов», при попытке перехода на которую отдаётся 404.
В редакции «Рекомендаций» от 2013 года было указано, что оператор должен резолвить домены сам, и не полагаться на поле «IP» в списке блокировки.
А теперь оператор должен изогнуться ещё хлеще:
Рекомендации Роскомнадзора продиктованы интересами пользователей и направлены на исключение избыточной блокировки добропорядочных ресурсов. В частности, при самостоятельном определении оператором связи IP-адреса запрещенного интернет-ресурса, провайдерам рекомендовано проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса .
avost
14.03.2019 20:03+1РКН его заблокирует и получит по голове за ложную блокировку
Это вы сейчас смешную шутку сказали, да.
MikailBag
14.03.2019 20:04Примерно любой взлом сайта — тоже всего лишь отправить какие-то байты по сокету. Причем отправка любого из этих 256 байт вполне добропорядочна)
А вот вместе — эксплоит.
По-моему, описанное в статье — вполне атака.
TimsTims
15.03.2019 09:18Это, как я понимаю, абсолютно законно
То, что это законно, еще не означает, что атака перестаёт быть атакой. Это лишь означает, что закон слабоват, недоделан и в нём есть такие дырки.
KonstantinSpb
14.03.2019 16:32Подобная атака уже была год назад
Шо, опять ?
Henry7
14.03.2019 16:34Роскомнадзор только добавляет адреса в черные списки, но никогда не освобождает их. Называть такую халатность уязвимостью? Ну не знаю…
dartraiden
14.03.2019 18:01никогда не освобождает их
Это не так.
В полночь 24 апреля 2018 года в выгрузке находилось 5136 доменных имени, доступных для свободной регистрации неопределенным кругом лиц.
.
С 23 апреля 2018 года Роскомнадзор начал актуализировать данные по доменам в реестре. Днем 10 мая 2018 года в выгрузке находилось 2254 доменных имени, доступных для свободной регистрации неопределенным кругом лицHenry7
14.03.2019 20:36Это разовая акция по устранению безумной ошибки, когда в попытке заблокировать Телеграмм, РКН отрезал Россию от большой части мировых сервисов и ЦОДов. С тех пор количество заблокированных префиксов только растет, увеличиваясь каждый день.
eisaev
14.03.2019 17:01Сегодня с утра обнаружил, что доменное имя, привязанное к DNS серверам яндекса и настроенное в «Почте Для Домена», без всякого объявления войны перестало резолвиться. Интересно связаны ли эти два события и не является ли это последствием отрубания всего и вся для решения проблем?
Agel_Nash
14.03.2019 18:29Это все больше попахивает пилотными проверками. Если у вас какие-то проблемы с доступом, то это просто хакеры-террористы.
P.S.Надеюсь, вы сами поймете какое предложение обернуть тегом сарказм.FloorZ
16.03.2019 04:44> DNS-атаки из Роскомнадзора
Роскомнадзор же не признал вину? Значит за этот заголовок вы пойдете по закону об фейках.
dartraiden
При этом, в неофициальных разговорах источник из «Радиочастотного центра» утверждает, цитирую, «ни у одного крупного или среднего [оператора] [DNS-атака] не работает. я не беру в расчет оператора деревни, у которого 100 абонентов».
Очень странно. Зачем покупать домены в даркнете? Что мешает взять выгрузку, которую регулярно сливают на GitHub, самостоятельно обнаружить в ней «протухшие» домены и зарегистрировать их? Сдаётся мне, тут «учёный изнасиловад журналиста».Akuma
Может быть потому что так придется регистрировать домен на себя, а в дакнете можно просто сказать «поставь туда вот такой IP».
Fox_exe
Можно искать «Протухшие». Но найти такие будет крайне сложно — ведь не один ты их ищеш.
Другое дело — купить ещё не освобожденный домен, но выставленный на продажу именно для этих целей. Может быть даже без смены владельца, дабы не палиться самому (Как писали комментом выше).
А некоторые вообще владельца не меняют, а лиш предоставляют возможность внести требуемые IP адреса в блокированный домен, между делом предоставляя гарантию, что в случае проблемы ваш список IP будет перенесен на другой домен (Тоже забаненый в Роскомпозоре).
Словом — в даркнете это уже стало бизнесом…
dartraiden
Сложного там нет по словам тех, кто этим занимается: Неугомонный Фил сегодня посчитал
Год назад он у себя на сайте чуть ли не каждый день обновлял эту статистику по свободным доменам.
idart
потому что в даркнете продают домены зарегистрированные на чужие ворованные паспорта
shifttstas
Для регистрации домена паспорт не нужен %username%
dartraiden
Паспортные данные нужны на случай перепродажи домена или его возврата в результате кражи. Для осуществления «атаки» — и без них сойдёт. Не говоря уж о том, что если владелец не является резидентом РФ, то что ему сделают? Прописывать себе какие угодно IP-адреса не запрещено. Если кто-то вздумал отрезолвить мой домен и от того, что он получил, у него накрылась система, то он сам дурак, что так систему выстроил.
