«Яндекс» и сайты некоторых СМИ пострадали от DNS-атаки из Роскомнадзора +22



Специалистам хорошо известно, что в механизме блокировок есть серьёзная уязвимость, допускающая внедрение в реестр блокировки произвольных IP-адресов. Для проведения атаки нужно ввести в DNS-записи любого заблокированного домена целевые IP-адреса, которые вы хотите «заблокировать». Это легко сделать, потому что многие заблокированные домены освобождаются для новой регистрации. Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.

За последние пять лет данная уязвимость многократно эксплуатировалась, особенно большая волна атак прошла в 2017 году, а тема тогда обсуждалась на Хабре.

Несмотря на достаточно тривиальный характер атаки, Роскомнадзор до сих пор не закрыл уязвимость. Очередной жертвой ложных блокировок стал «Яндекс», стало известно РБК.

Представитель пресс-службы «Яндекса» подтвердил факт инцидента и сказал, что пострадать от подобных действий может любая компания: «Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок».

Технические специалисты «Яндекса» отражали атаку несколько суток, пишет РБК: «Блокировки сайтов удалось избежать, но атака не прошла незамеченной — активные пользователи сервисов компании заметили снижение скорости доступа к ним», — сказал источник в самой компании.

Роскомнадзор вносит в реестр какой-либо сайт, а запись в реестре состоит из трёх элементов: домен, URL, IP-адрес. Далее каждый провайдер сам решает, каким образом блокировать доступ к нему, при этом здесь отсутствует какое-либо регулирование. Например, провайдеры могут блокировать ресурс по его IP-адресу, указанному в записи DNS.

Сейчас это и произошло: ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы DPI, были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей.

Кроме «Яндекса», пострадали сайты нескольких крупных СМИ, в том числе РБК: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники, как и в 2017 году, воспользовались уязвимостью, позволяющей приписать домену из реестра запрещённых сайтов IP-адрес любого другого добропорядочного ресурса, и тем самым попытались заблокировать его. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него», — пояснил Digital-директор B2C направления РБК Кирилл Титов.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (42):

  1. dartraiden
    /#19883638 / +1

    При этом, в неофициальных разговорах источник из «Радиочастотного центра» утверждает, цитирую, «ни у одного крупного или среднего [оператора] [DNS-атака] не работает. я не беру в расчет оператора деревни, у которого 100 абонентов».

    Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.
    Очень странно. Зачем покупать домены в даркнете? Что мешает взять выгрузку, которую регулярно сливают на GitHub, самостоятельно обнаружить в ней «протухшие» домены и зарегистрировать их? Сдаётся мне, тут «учёный изнасиловад журналиста».

    • Akuma
      /#19884122

      Может быть потому что так придется регистрировать домен на себя, а в дакнете можно просто сказать «поставь туда вот такой IP».

    • Fox_exe
      /#19884682

      Можно искать «Протухшие». Но найти такие будет крайне сложно — ведь не один ты их ищеш.
      Другое дело — купить ещё не освобожденный домен, но выставленный на продажу именно для этих целей. Может быть даже без смены владельца, дабы не палиться самому (Как писали комментом выше).
      А некоторые вообще владельца не меняют, а лиш предоставляют возможность внести требуемые IP адреса в блокированный домен, между делом предоставляя гарантию, что в случае проблемы ваш список IP будет перенесен на другой домен (Тоже забаненый в Роскомпозоре).
      Словом — в даркнете это уже стало бизнесом…

      • dartraiden
        /#19886314

        Сложного там нет по словам тех, кто этим занимается: Неугомонный Фил сегодня посчитал

        На момент 14 марта 2019 года мне известны как минимум 3027 домена из реестра запрещенных сайтов, доступных для свободной регистрации любым лицом.

        Год назад он у себя на сайте чуть ли не каждый день обновлял эту статистику по свободным доменам.

    • idart
      /#19885038

      потому что в даркнете продают домены зарегистрированные на чужие ворованные паспорта

      • shifttstas
        /#19885510

        Для регистрации домена паспорт не нужен %username%

      • dartraiden
        /#19886326

        Паспортные данные нужны на случай перепродажи домена или его возврата в результате кражи. Для осуществления «атаки» — и без них сойдёт. Не говоря уж о том, что если владелец не является резидентом РФ, то что ему сделают? Прописывать себе какие угодно IP-адреса не запрещено. Если кто-то вздумал отрезолвить мой домен и от того, что он получил, у него накрылась система, то он сам дурак, что так систему выстроил.

        image

  2. solalex
    /#19883704 / +3

    Технические специалисты «Яндекса» отражали атаку несколько суток

    Как они могли отражать «атаку»? Я понимаю, когда так пишет какой-нибудь новостной ресурс, но написать такое на хабре…

    • rogoz
      /#19883808

      Как я могу предполагать, их сервисы меняли IP как телеграмм.

    • Vest
      /#19883856 / -1

      А недавняя новость про кубик Рубика, собранный ногами, как вам? Тоже, думаю, так себе статья на Хабре.

    • roscomtheend
      /#19884406

      Перекидывали домены на другие IP. Прям как ненавистный некоторым Телеграм бегали от карающего меча правосудия в руках слепой.

      • tvr
        /#19884542 / +2

        от карающего меча правосудия в руках слепой

        обезьянки.

        • FSA
          /#19887422

          Вообще-то её зовут Фемида.

  3. akamajoris
    /#19883890 / -1

    Что за бред они несут. Какая еще DNS атака? Купил домен и прописал записи — теперь это атака? LOL

    • ArsenAbakarov
      /#19884730

      Да, именно теперь это именно атака

      • alexanster
        /#19889586

        А если вписать адреса какого-нибудь гос.ведомства, то вообще терроризмом попахивает.

        • Henry7
          /#19889686

          Вот от такой киберугрозы нас защищают.

    • TimsTims
      /#19884740

      А почему нет? Ресурс заблокирован, цель достигнута, ущерб причинен. То, что это делается элементарно, вовсе не означает, что это не атака. Выдернуть из серверов провода — тоже тривиальное действие, но это тоже вполне себе атака с результатом.

  4. Sabubu
    /#19883916 / +1

    На мой взгляд, это неправильно называть "атакой". Давайте разберем ситуацию. Оператор некоего DNS сервера ("доброумышленник"), обслуживающего заблокированный домен, на законных основаниях вносит в него произвольные IP адреса, в том числе крупных популярных в РФ сайтов. Это, как я понимаю, абсолютно законно, более того, доброумышленник может не быть гражданином РФ и не находиться на ее территории.


    Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу, получают с него IP-адреса и либо 1) ограничивают к ним доступ, либо 2) направляют трафик на них через DPI, отчего тот захлебывается. Видимо, такие провайдеры хотят выслужиться и показать более высокие показатели качества блокировки.


    Я специально бегло проглядел списки блокировок за 10 марта и там следов "атаки" не обнаружил, то есть это не РКН передавал IP для блокировки, а именно чья-то нездоровая инициатива.


    Получается, они же сами и виноваты: в первом случае, они виноваты, что вместо строгого следования списку, присланному РКН, проявляют инициативу и добавляют лишние адреса, ломая этим легитимные сервисы. Во втором случае они виноваты в том, что установили слишком слабый DPI и, опять же, направили на него лишний трафик по своей инициативе.


    Я считаю, что то, что делают операторы таких DNS серверов — это благое дело и в наших интересах, и вот почему.


    Во-первых, шум привлекает внимание к проблеме. Операторов ругают, в итоге у них появляется меньше желания проявлять инициативу и блокировать что-то за пределами реестра. DPI не справляется — и им приходится отказываться от него, используя более легкообходимые методы блокировки. Если такие "атаки" будут продолжаться, DPI придется отключать.


    Во-вторых, такие вещи не позволяют РКН автоматически скриптом получать IP сайтов, а вынуждают их делать проверки, тратя на это время людей. Это замедляет работу РКН и ограничивает рост реестра.


    В общем, то что делают операторы DNS серверов, несет пользу. Да, могут быть временные проблемы со связью, но в общем итоге это несет больше пользы, чем вреда. Чем больше ада, тем лучше.


    Кстати, если вы скачаете новый Firefox, включите в настройках "DNS over HTTPS", и зайдете на сайт с TLS1.3, то DPI будет бесполезен — в такой конфигурации имя домена надежно маскируется и остается только вариант блокировки по IP (для которой DPI не требуется).


    Тут еще пишут, что РКН как-то пытается автоматически вычислять прокси для Телеграм, анализируя трафик. Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.


    В заключение, интересно посмотреть на мнение Яндекса о проблеме. Может быть, они против блокировок? Конечно, нет, тут они на стороне жуликов, при условии, что им выдадут привилегии:


    Представитель пресс-службы «Яндекса» утверждает, что Роскомнадзор уже выработал несколько инструментов защиты компаний, в том числе «Яндекса», от случайного попадания в такие ситуации: ведомство предложило применять белые списки — перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. «Это правильный подход, но этого недостаточно. Необходимо сделать обязательным использование белых списков всеми операторами связи при формировании списка ресурсов для блокировки», — считает представитель «Яндекса».

    Белые списки никак не решат проблему. Есть куча других URL, например, представьте, если доброумышленник укажет на своих DNS-серверах IP-адрес мобильного API Инстаграм, например. Это очень популярное приложение, и его блокировка конечно вызовет недовольство людей. Ну и непонятно, чем Яндекс лучше других компаний и почему он должен быть защищен от безумия РКН.

    • Lookmorum
      /#19884102

      Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.

      Зачем указывать в нем IP Яндекса? Нужно указать IP роскомнадзора, чтобы он наконец уже заблокировал себе анус!

      • Areso
        /#19884570

        Затем, что IP Роскомнадзора нужен только двум с половиной анонимам, которые либо работают в отрасли, либо следят за ней.

    • AEP
      /#19884634

      Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу


      Это не «по собственной инициативе», это по велению Ревизора (это такой перепрошитый TP-Link, который сидит в сети провайдера и по велению РКН ходит по всяким нехорошим сайтам). Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.

      • swelf
        /#19885608 / +1

        В тоже время я думаю представитель частотного центра прав. По ip крупные операторы не фильтруют.
        В http, прям в теле запроса видно видно хост к которому пользователь хочет подключиться и можно сделать редирект на заглушку
        в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться и чей сертификат просит и можно сбросить соединение.
        Для этого надо проверять весь трафик. Но выбора нет.

        Сейчас провел проверку, у меня провайдер ТТК. Внес в /etc/hosts следующую запись

        195.82.146.214 test.tes

        В итоге получил ошибку сертификата при подключении к http s://test.tes, но целевого сайта(который на самом деле заблокирован я достиг), в тоже время при попытке подключиться к http s://ru tracker org я просто получил сброс соединения.

        • Sabubu
          /#19885904

          Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.

          А почему меня это должно волновать? Пусть оспаривают штрафы в суде или платят их молча. Если требования не основаны на законе, то не надо их выполнять. Не надо устраивать неформальные блокировки.


          В моих интересах, чтобы блокировок было как можно меньше, следовательно действия доброумышленника, ломающего Яндекс и РБК и поднимающего шум в прессе, в моих интересах.


          в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться

          Этого нет в TLS1.3, где имя домена шифруется (если есть нужный ключ в DNS) и шифруется сертификат. Владельцы сайтов должны переходить на TLS1.3, а пользователям стоит устанавливать поддерживающие TLS1.3 браузеры. Также, стоит включить DNS-over-HTTPS (есть в FF), который не позволит провайдеру смотреть ваши DNS-запросы.


          С TLS1.3 и DoH остается только блокировка по IP.

          • DaemonGloom
            /#19887000

            Вас это не волнует. А оператора, у которого отберут лицензию и/или впаяют штраф нецензурных размеров — очень даже волнует. Нет у оператора выхода никакого. РКН одновременно говорит «вы не резолвьте домены» и «если стукачок(tp-link их) по адресу достучится до домена — оштрафую». Остаётся только закрыться и уходить в дворники всей конторой.

            • Sabubu
              /#19887132

              Можно «стукача» поставить в отдельную подсеть с жесткой фильтрацией. Можно круглый год жаловаться судам, СМИ, депутатам, членам правительства и писать письма Президенту. Можно отказаться предоставлять услуги вообще. Но нет, эти жулики предпочитают подыгрывать РКН и блокировать сверх того, что требуется в реестре. Плевать им на пользователей. Никакого сочувствия к ним не испытываю, а если они разорятся, то порадуюсь за кармическую справедливость.

            • athacker
              /#19887692

              РКН прямым текстом говорит: «провайдер должен резолвить домены сам». А про «некорректный резолв» РКН только в прессе пишет, когда отмазывается после вот таких вот случаев, который в посте описан.

              Вот тут РКН пишет про «некорректный резолвинг». На этой же странице даётся ссылка на «Рекомендации по блокировке для операторов», при попытке перехода на которую отдаётся 404.

              В редакции «Рекомендаций» от 2013 года было указано, что оператор должен резолвить домены сам, и не полагаться на поле «IP» в списке блокировки.

              А теперь оператор должен изогнуться ещё хлеще:

              Рекомендации Роскомнадзора продиктованы интересами пользователей и направлены на исключение избыточной блокировки добропорядочных ресурсов. В частности, при самостоятельном определении оператором связи IP-адреса запрещенного интернет-ресурса, провайдерам рекомендовано проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса .

    • avost
      /#19885428 / +1

      РКН его заблокирует и получит по голове за ложную блокировку

      Это вы сейчас смешную шутку сказали, да.

    • MikailBag
      /#19885436

      Примерно любой взлом сайта — тоже всего лишь отправить какие-то байты по сокету. Причем отправка любого из этих 256 байт вполне добропорядочна)
      А вот вместе — эксплоит.
      По-моему, описанное в статье — вполне атака.

    • TimsTims
      /#19887250

      Это, как я понимаю, абсолютно законно
      То, что это законно, еще не означает, что атака перестаёт быть атакой. Это лишь означает, что закон слабоват, недоделан и в нём есть такие дырки.

  5. KonstantinSpb
    /#19884104

    Подобная атака уже была год назад

    Шо, опять ?
    image

  6. Henry7
    /#19884114

    Роскомнадзор только добавляет адреса в черные списки, но никогда не освобождает их. Называть такую халатность уязвимостью? Ну не знаю…

    • dartraiden
      /#19884754

      никогда не освобождает их

      Это не так.
      В полночь 24 апреля 2018 года в выгрузке находилось 5136 доменных имени, доступных для свободной регистрации неопределенным кругом лиц.

      С 23 апреля 2018 года Роскомнадзор начал актуализировать данные по доменам в реестре. Днем 10 мая 2018 года в выгрузке находилось 2254 доменных имени, доступных для свободной регистрации неопределенным кругом лиц
      .

      • Henry7
        /#19885584

        Это разовая акция по устранению безумной ошибки, когда в попытке заблокировать Телеграмм, РКН отрезал Россию от большой части мировых сервисов и ЦОДов. С тех пор количество заблокированных префиксов только растет, увеличиваясь каждый день.

  7. eisaev
    /#19884328

    Сегодня с утра обнаружил, что доменное имя, привязанное к DNS серверам яндекса и настроенное в «Почте Для Домена», без всякого объявления войны перестало резолвиться. Интересно связаны ли эти два события и не является ли это последствием отрубания всего и вся для решения проблем?

    • tvr
      /#19884594

      FB & Instagram прилегли вчера под вечер, совпадение?

      • Henry7
        /#19884644

        FB сбоил по всему миру. РКН не всемогущ.

    • Agel_Nash
      /#19884894

      Это все больше попахивает пилотными проверками. Если у вас какие-то проблемы с доступом, то это просто хакеры-террористы.

      P.S.
      Надеюсь, вы сами поймете какое предложение обернуть тегом сарказм.

      • ffs
        /#19888238 / -1

        Следователь разберется, собирайтесь, за вами выехали :)

  8. FloorZ
    /#19892978

    > DNS-атаки из Роскомнадзора

    Роскомнадзор же не признал вину? Значит за этот заголовок вы пойдете по закону об фейках.