11.04.2022 21:11
eov 26 15000 Источник

NS-сервера доменов facebook.com и instagram.com внесены в реестр запрещенных ресурсов. Это явилось основанием для появления IP-адресов авторитативных DNS-серверов Facebook и Instagram в фильтре на оборудовании, которое, по иронии судьбы, должно противодействовать угрозам российскому сегменту сети Интернет.

Судя по тому, что соседние адреса в реестре отсутствуют, можно сделать вывод: блокировали осознано и очень точечно (не широкой маской, а именно по одному адресу). Подобное действие привело к тому, что DNS-резолверы больше не имеют возможности осуществлять преобразование доменных имен в зонах facebook.com и instagram.com в IP-адреса, а полученные ранее записи, хранящиеся в кэше, давно "испортились" (истек TTL). С учетом того, что приложения с телефонов мало кто удалил, а на многих, особенно "западных", сайтах висят логотипы Facebook и/или Instagram или вообще предусмотрен вход с использованием аккаунта Facebook, абонентские устройства не оставляют безуспешных попыток резолвить какой-нибудь graph.facebook.com или web.facebook.com. Ирония судьбы состоит в том, что "Технические средства противодействия угрозам" (ТСПУ), исходя из названия, должны были, видимо, бороться с угрозами в RuNET. В нашем же случае эффект получился обратный и блокировка, по сути, вызвала DDoS-атаку на DNS-сервера (резолверы) операторов: нагрузка на них выросла минимум в 3 раза, а показатель успешности резолвинга значительно упал.

Если дело дойдет-таки до блокировки Google или YouTube тем же варварским способом, то сети операторов будут забиты бесполезным DNS-трафиком — большим количеством маленьких пакетов, которые не только убивают резолверы операторов, но и неплохо так добавляют PPS (packet per second), как следствие снижая производительность сетей в целом. Это особенно плохо в условиях, когда развитие сетей — крайне непростая задача.

P.S.: "Таблетка", конечно, есть, но это уже совсем другая история...

Комментарии (26)


  1. max851
    11.04.2022 21:29
    #24253787

    Чисто из интереса, почему не отвечать как то типа 127.0.0.X ?


    1. eov Автор
      11.04.2022 21:41
      #24253801

      Блокировка к NS-ам осуществляется по IP (ответ не предполагается даже в теории). А вот про то, как отвечать конечным устройствам - это отдельная тема и требует дополнительной проработки... Спасение утопающих - дело рук самих утопающих...


    1. ifap
      11.04.2022 23:23
      #24254087

      как то типа 127.0.0.X

      Т.е. "искомое где-то у вас на localhost, поищите получше, не спешите". С больной головы на здоровую.


    1. Tarakanator
      12.04.2022 15:13
      #24256661

      Я не специалист в данной области, но для меня есть 2 большие разницы между
      а)не предоставить доступ к запрошенной информации.
      б)предоставить заведомо ложную информацию.


      1. max851
        12.04.2022 17:40
        #24257253

        Ну я не претендую тоже, но я видел что таким образом ставят заглушки в многих случаях ну и плюс есть такое понятие как https://en.wikipedia.org/wiki/Black_hole_(networking). Тоже IP адрес, куда перенапрявляют трафик по набору правил (например при ддос) и оно тоже не соотвествут IP запрошеному в соединении.


        1. Tarakanator
          12.04.2022 18:32
          #24257505

          и оно тоже не соотвествут IP запрошеному в соединении.

          Еслиб я был султан, я б за это судил. внезапное перенаправление и гадай что за вкладку ты потерял.


  1. Alexufo
    11.04.2022 22:04
    #24253863

    То то я думаю сайты пипец открываются последний месяц медленно


  1. ky0
    11.04.2022 22:08
    #24253871

    Помнится, когда в прошлом году тестировалось отключение гуглоднсов и всего такого, прямо в том письме, где рассказывалось про планируемое безобразие, рекомендовались некие православные DNS-серверы. Вот их и стоит ставить (или настраивать на них форвард), имхо, как можно большему числу народа — пусть на своей шкуре почувствуют последствия собственных решений.

    P.S. — использовать последние года три резолв без шифрования, имхо, крайне контрпродуктивно.


    1. eov Автор
      11.04.2022 22:12
      #24253883

      Сервера НСДИ вполне себе резолвят facebook.com - это и есть одна из "таблеток"...

      ~ dig @195.208.4.1 facebook.com

; <<>> DiG 9.10.6 <<>> @195.208.4.1 facebook.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18998
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;facebook.com.                  IN      A

;; ANSWER SECTION:
facebook.com.           264     IN      A       157.240.205.35

;; Query time: 52 msec
;; SERVER: 195.208.4.1#53(195.208.4.1)
;; WHEN: Mon Apr 11 22:11:00 MSK 2022
;; MSG SIZE  rcvd: 57


      1. dartraiden
        11.04.2022 22:28
        #24253927

        Поумнели, значит, я помню времена, когда условный navalny.com (и прочие "неугодные" домены) через них не резолвился.


        1. DaemonGloom
          12.04.2022 09:27
          #24254985

          Не поумнели, это и сейчас так. С нормальных ДНСов ответ есть, а с НСДИ — как-то так:


          a.res-nsdi.ru не удалось найти navalny.com: Non-existent domain


    1. izogfif
      12.04.2022 14:24
      #24256477
      +2

      пусть на своей шкуре почувствуют последствия собственных решений

      "Решений" в смысле "solutions" (т.е. программно-аппаратного комплекса, которые народ собственноручно установил и настроил) или же "decisions"? На всякий случай напомню, что обратной связи между "народом" и "тем, кто наверху" нет, так что говорить "вы сами так решили" это то же самое, что сказать "мышки, станьте ежиками. Что, не будете? Ну ладно, это ваше решение".


  1. Mishima_Zaibatsu
    11.04.2022 22:38
    #24253951
    +1

    Каким вы себе видите рунет через год, если блокировки будут продолжаться?


    1. PereslavlFoto
      12.04.2022 02:40
      #24254423
      +4

      Скажите, у вас есть домашняя веб-страница на своём сервере?


      1. namikiri
        12.04.2022 10:50
        #24255343
        +1

        Да.


      1. Mishima_Zaibatsu
        12.04.2022 16:18
        #24256917
        +1

        Нет.


    1. slayerhabr
      12.04.2022 11:45
      #24255599

      Печальный чебернет?


  1. romancelover
    12.04.2022 05:21
    #24254569
    +2

    провайдер МГТС
    локально IP NS-серверов FB недоступен (dig +trace не может достучаться)
    но провайдерский DNS (тем более Google, Yandex и прочие общедоступные) их резолвят
    скорее всего проблема надуманная, у большинства провайдеров это не вызовет лишней нагрузки на сеть.


    1. eov Автор
      12.04.2022 06:00
      #24254597
      +1

      Да, все верно, проблема не у всех операторов. Формально, по правилам пропуска трафика (https://base.garant.ru/403587972/) DNS-сервера - это не абоненты и такой трафик может не проходить через ТСПУ, однако, у присоединенных операторов, у которых нет своего ТСПУ (могут использовать от вышестоящего оператора), шансов нет совсем. Это еще один повод задуматься - какого черта это было сделано...?


  1. Zolg
    12.04.2022 05:56
    #24254595
    -2

    В нашем же случае эффект получился обратный и блокировка, по сути, вызвала DDoS-атаку на DNS-сервера (резолверы) операторов: нагрузка на них выросла минимум в 3 раза

    Да с фига ли ?

    Количество "дорогих" операций собственно рекурсивного резолвинга осталось плюс-минус тем же (и в абсолютных цифрах - крайне небольшим, поэтому тем, что "отвал по таймауту ожидания ответа" чуть более затратная по ресурсам операция, чем успешный резолвинг можно пренебречь).

    Отдать же клиенту ответ из (негативного) кэша - операция быстрая и дешевая.

    Ну и в довесок - раз уж мы говорим про операторские резолверы, то они почти наверняка сидят на нефильтрованных каналах. Цензурится интернет дальше, ближе к клиентам.

    а показатель успешности резолвинга ЗНАЧИТЕЛЬНО упал.

    Кого он волнует-то ? Или у админов резолверов к показателю успешности резолвинга KPI привязан ?


    1. eov Автор
      12.04.2022 06:43
      #24254639
      +3

      Ответ SERFAIL - дешевая операция, но если таких запросов увеличилось на СОТНИ тысяч в секунду - это не уже не очень смешно. Нечто подобное уже было из-за аварии на cloudflare (https://habr.com/ru/news/t/511506/), но тогда отделались легким испугом (авария была устранена относительно быстро). Нагрузкой на резолверы не плохо так накрыло.

      А на KPI не плохо бы смотреть, как минимум для понимания что происходит


  1. ComodoHacker
    12.04.2022 14:19
    #24256459

    Сейчас еще и фишеры прочухаются и станет совсем весело.

    Что-то мне подсказывает, что на NS-ах региональных провайдеров немало уязвимостей типа отравления кэша.


  1. z0mb
    12.04.2022 15:38
    #24256767

    Что я делаю не так?


    1. eov Автор
      12.04.2022 15:41
      #24256787

      https://blocklist.rkn.gov.ru


      1. z0mb
        14.04.2022 10:26
        #24262409

        Ну тут забавно другое.
        По идее прокуратура решила повторить сбой фб, инсты и вотсапа осени 2021, когда внезапно выяснилось что домены делегированы сами на себя.


  1. tchlgru
    13.04.2022 14:31
    #24260359

    у меня, кстати, где-то с десятых чисел марта на мобильном интернете (с резолверами провайдера) с небольшим шансом стали появляться ошибки днс (NX_DOMAIN, как они называются в Хромиуме), причём со второго раза, при попытке обновить страницу, всё загружалось нормально.

    совпадение?