NS-сервера доменов facebook.com и instagram.com внесены в реестр запрещенных ресурсов. Это явилось основанием для появления IP-адресов авторитативных DNS-серверов Facebook и Instagram в фильтре на оборудовании, которое, по иронии судьбы, должно противодействовать угрозам российскому сегменту сети Интернет.
Судя по тому, что соседние адреса в реестре отсутствуют, можно сделать вывод: блокировали осознано и очень точечно (не широкой маской, а именно по одному адресу). Подобное действие привело к тому, что DNS-резолверы больше не имеют возможности осуществлять преобразование доменных имен в зонах facebook.com и instagram.com в IP-адреса, а полученные ранее записи, хранящиеся в кэше, давно "испортились" (истек TTL). С учетом того, что приложения с телефонов мало кто удалил, а на многих, особенно "западных", сайтах висят логотипы Facebook и/или Instagram или вообще предусмотрен вход с использованием аккаунта Facebook, абонентские устройства не оставляют безуспешных попыток резолвить какой-нибудь graph.facebook.com или web.facebook.com. Ирония судьбы состоит в том, что "Технические средства противодействия угрозам" (ТСПУ), исходя из названия, должны были, видимо, бороться с угрозами в RuNET. В нашем же случае эффект получился обратный и блокировка, по сути, вызвала DDoS-атаку на DNS-сервера (резолверы) операторов: нагрузка на них выросла минимум в 3 раза, а показатель успешности резолвинга значительно упал.
Если дело дойдет-таки до блокировки Google или YouTube тем же варварским способом, то сети операторов будут забиты бесполезным DNS-трафиком — большим количеством маленьких пакетов, которые не только убивают резолверы операторов, но и неплохо так добавляют PPS (packet per second), как следствие снижая производительность сетей в целом. Это особенно плохо в условиях, когда развитие сетей — крайне непростая задача.
P.S.: "Таблетка", конечно, есть, но это уже совсем другая история...
Комментарии (26)
ky0
11.04.2022 22:08Помнится, когда в прошлом году тестировалось отключение гуглоднсов и всего такого, прямо в том письме, где рассказывалось про планируемое безобразие, рекомендовались некие православные DNS-серверы. Вот их и стоит ставить (или настраивать на них форвард), имхо, как можно большему числу народа — пусть на своей шкуре почувствуют последствия собственных решений.
P.S. — использовать последние года три резолв без шифрования, имхо, крайне контрпродуктивно.eov Автор
11.04.2022 22:12Сервера НСДИ вполне себе резолвят facebook.com - это и есть одна из "таблеток"...
~ dig @195.208.4.1 facebook.com ; <<>> DiG 9.10.6 <<>> @195.208.4.1 facebook.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18998 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;facebook.com. IN A ;; ANSWER SECTION: facebook.com. 264 IN A 157.240.205.35 ;; Query time: 52 msec ;; SERVER: 195.208.4.1#53(195.208.4.1) ;; WHEN: Mon Apr 11 22:11:00 MSK 2022 ;; MSG SIZE rcvd: 57
dartraiden
11.04.2022 22:28Поумнели, значит, я помню времена, когда условный navalny.com (и прочие "неугодные" домены) через них не резолвился.
DaemonGloom
12.04.2022 09:27Не поумнели, это и сейчас так. С нормальных ДНСов ответ есть, а с НСДИ — как-то так:
a.res-nsdi.ru не удалось найти navalny.com: Non-existent domain
izogfif
12.04.2022 14:24+2пусть на своей шкуре почувствуют последствия собственных решений
"Решений" в смысле "solutions" (т.е. программно-аппаратного комплекса, которые народ собственноручно установил и настроил) или же "decisions"? На всякий случай напомню, что обратной связи между "народом" и "тем, кто наверху" нет, так что говорить "вы сами так решили" это то же самое, что сказать "мышки, станьте ежиками. Что, не будете? Ну ладно, это ваше решение".
Mishima_Zaibatsu
11.04.2022 22:38+1Каким вы себе видите рунет через год, если блокировки будут продолжаться?
romancelover
12.04.2022 05:21+2провайдер МГТС
локально IP NS-серверов FB недоступен (dig +trace не может достучаться)
но провайдерский DNS (тем более Google, Yandex и прочие общедоступные) их резолвят
скорее всего проблема надуманная, у большинства провайдеров это не вызовет лишней нагрузки на сеть.eov Автор
12.04.2022 06:00+1Да, все верно, проблема не у всех операторов. Формально, по правилам пропуска трафика (https://base.garant.ru/403587972/) DNS-сервера - это не абоненты и такой трафик может не проходить через ТСПУ, однако, у присоединенных операторов, у которых нет своего ТСПУ (могут использовать от вышестоящего оператора), шансов нет совсем. Это еще один повод задуматься - какого черта это было сделано...?
Zolg
12.04.2022 05:56-2В нашем же случае эффект получился обратный и блокировка, по сути, вызвала DDoS-атаку на DNS-сервера (резолверы) операторов: нагрузка на них выросла минимум в 3 раза
Да с фига ли ?
Количество "дорогих" операций собственно рекурсивного резолвинга осталось плюс-минус тем же (и в абсолютных цифрах - крайне небольшим, поэтому тем, что "отвал по таймауту ожидания ответа" чуть более затратная по ресурсам операция, чем успешный резолвинг можно пренебречь).
Отдать же клиенту ответ из (негативного) кэша - операция быстрая и дешевая.
Ну и в довесок - раз уж мы говорим про операторские резолверы, то они почти наверняка сидят на нефильтрованных каналах. Цензурится интернет дальше, ближе к клиентам.
а показатель успешности резолвинга ЗНАЧИТЕЛЬНО упал.
Кого он волнует-то ? Или у админов резолверов к показателю успешности резолвинга KPI привязан ?
eov Автор
12.04.2022 06:43+3Ответ SERFAIL - дешевая операция, но если таких запросов увеличилось на СОТНИ тысяч в секунду - это не уже не очень смешно. Нечто подобное уже было из-за аварии на cloudflare (https://habr.com/ru/news/t/511506/), но тогда отделались легким испугом (авария была устранена относительно быстро). Нагрузкой на резолверы не плохо так накрыло.
А на KPI не плохо бы смотреть, как минимум для понимания что происходит
ComodoHacker
12.04.2022 14:19Сейчас еще и фишеры прочухаются и станет совсем весело.
Что-то мне подсказывает, что на NS-ах региональных провайдеров немало уязвимостей типа отравления кэша.
tchlgru
13.04.2022 14:31у меня, кстати, где-то с десятых чисел марта на мобильном интернете (с резолверами провайдера) с небольшим шансом стали появляться ошибки днс (NX_DOMAIN, как они называются в Хромиуме), причём со второго раза, при попытке обновить страницу, всё загружалось нормально.
совпадение?
max851
Чисто из интереса, почему не отвечать как то типа 127.0.0.X ?
eov Автор
Блокировка к NS-ам осуществляется по IP (ответ не предполагается даже в теории). А вот про то, как отвечать конечным устройствам - это отдельная тема и требует дополнительной проработки... Спасение утопающих - дело рук самих утопающих...
ifap
Т.е. "искомое где-то у вас на localhost, поищите получше, не спешите". С больной головы на здоровую.
Tarakanator
Я не специалист в данной области, но для меня есть 2 большие разницы между
а)не предоставить доступ к запрошенной информации.
б)предоставить заведомо ложную информацию.
max851
Ну я не претендую тоже, но я видел что таким образом ставят заглушки в многих случаях ну и плюс есть такое понятие как https://en.wikipedia.org/wiki/Black_hole_(networking). Тоже IP адрес, куда перенапрявляют трафик по набору правил (например при ддос) и оно тоже не соотвествут IP запрошеному в соединении.
Tarakanator
Еслиб я был султан, я б за это судил. внезапное перенаправление и гадай что за вкладку ты потерял.