Comments 42
Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.Очень странно. Зачем покупать домены в даркнете? Что мешает взять выгрузку, которую регулярно сливают на GitHub, самостоятельно обнаружить в ней «протухшие» домены и зарегистрировать их? Сдаётся мне, тут «учёный изнасиловад журналиста».
Другое дело — купить ещё не освобожденный домен, но выставленный на продажу именно для этих целей. Может быть даже без смены владельца, дабы не палиться самому (Как писали комментом выше).
А некоторые вообще владельца не меняют, а лиш предоставляют возможность внести требуемые IP адреса в блокированный домен, между делом предоставляя гарантию, что в случае проблемы ваш список IP будет перенесен на другой домен (Тоже забаненый в Роскомпозоре).
Словом — в даркнете это уже стало бизнесом…
На момент 14 марта 2019 года мне известны как минимум 3027 домена из реестра запрещенных сайтов, доступных для свободной регистрации любым лицом.
Год назад он у себя на сайте чуть ли не каждый день обновлял эту статистику по свободным доменам.
Для регистрации домена паспорт не нужен %username%
Технические специалисты «Яндекса» отражали атаку несколько суток
Как они могли отражать «атаку»? Я понимаю, когда так пишет какой-нибудь новостной ресурс, но написать такое на хабре…
На мой взгляд, это неправильно называть "атакой". Давайте разберем ситуацию. Оператор некоего DNS сервера ("доброумышленник"), обслуживающего заблокированный домен, на законных основаниях вносит в него произвольные IP адреса, в том числе крупных популярных в РФ сайтов. Это, как я понимаю, абсолютно законно, более того, доброумышленник может не быть гражданином РФ и не находиться на ее территории.
Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу, получают с него IP-адреса и либо 1) ограничивают к ним доступ, либо 2) направляют трафик на них через DPI, отчего тот захлебывается. Видимо, такие провайдеры хотят выслужиться и показать более высокие показатели качества блокировки.
Я специально бегло проглядел списки блокировок за 10 марта и там следов "атаки" не обнаружил, то есть это не РКН передавал IP для блокировки, а именно чья-то нездоровая инициатива.
Получается, они же сами и виноваты: в первом случае, они виноваты, что вместо строгого следования списку, присланному РКН, проявляют инициативу и добавляют лишние адреса, ломая этим легитимные сервисы. Во втором случае они виноваты в том, что установили слишком слабый DPI и, опять же, направили на него лишний трафик по своей инициативе.
Я считаю, что то, что делают операторы таких DNS серверов — это благое дело и в наших интересах, и вот почему.
Во-первых, шум привлекает внимание к проблеме. Операторов ругают, в итоге у них появляется меньше желания проявлять инициативу и блокировать что-то за пределами реестра. DPI не справляется — и им приходится отказываться от него, используя более легкообходимые методы блокировки. Если такие "атаки" будут продолжаться, DPI придется отключать.
Во-вторых, такие вещи не позволяют РКН автоматически скриптом получать IP сайтов, а вынуждают их делать проверки, тратя на это время людей. Это замедляет работу РКН и ограничивает рост реестра.
В общем, то что делают операторы DNS серверов, несет пользу. Да, могут быть временные проблемы со связью, но в общем итоге это несет больше пользы, чем вреда. Чем больше ада, тем лучше.
Кстати, если вы скачаете новый Firefox, включите в настройках "DNS over HTTPS", и зайдете на сайт с TLS1.3, то DPI будет бесполезен — в такой конфигурации имя домена надежно маскируется и остается только вариант блокировки по IP (для которой DPI не требуется).
Тут еще пишут, что РКН как-то пытается автоматически вычислять прокси для Телеграм, анализируя трафик. Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.
В заключение, интересно посмотреть на мнение Яндекса о проблеме. Может быть, они против блокировок? Конечно, нет, тут они на стороне жуликов, при условии, что им выдадут привилегии:
Представитель пресс-службы «Яндекса» утверждает, что Роскомнадзор уже выработал несколько инструментов защиты компаний, в том числе «Яндекса», от случайного попадания в такие ситуации: ведомство предложило применять белые списки — перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. «Это правильный подход, но этого недостаточно. Необходимо сделать обязательным использование белых списков всеми операторами связи при формировании списка ресурсов для блокировки», — считает представитель «Яндекса».
Белые списки никак не решат проблему. Есть куча других URL, например, представьте, если доброумышленник укажет на своих DNS-серверах IP-адрес мобильного API Инстаграм, например. Это очень популярное приложение, и его блокировка конечно вызовет недовольство людей. Ну и непонятно, чем Яндекс лучше других компаний и почему он должен быть защищен от безумия РКН.
Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу
Это не «по собственной инициативе», это по велению Ревизора (это такой перепрошитый TP-Link, который сидит в сети провайдера и по велению РКН ходит по всяким нехорошим сайтам). Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.
В http, прям в теле запроса видно видно хост к которому пользователь хочет подключиться и можно сделать редирект на заглушку
в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться и чей сертификат просит и можно сбросить соединение.
Для этого надо проверять весь трафик. Но выбора нет.
Сейчас провел проверку, у меня провайдер ТТК. Внес в /etc/hosts следующую запись
195.82.146.214 test.tes
В итоге получил ошибку сертификата при подключении к http s://test.tes, но целевого сайта(который на самом деле заблокирован я достиг), в тоже время при попытке подключиться к http s://ru tracker org я просто получил сброс соединения.
Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.
А почему меня это должно волновать? Пусть оспаривают штрафы в суде или платят их молча. Если требования не основаны на законе, то не надо их выполнять. Не надо устраивать неформальные блокировки.
В моих интересах, чтобы блокировок было как можно меньше, следовательно действия доброумышленника, ломающего Яндекс и РБК и поднимающего шум в прессе, в моих интересах.
в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться
Этого нет в TLS1.3, где имя домена шифруется (если есть нужный ключ в DNS) и шифруется сертификат. Владельцы сайтов должны переходить на TLS1.3, а пользователям стоит устанавливать поддерживающие TLS1.3 браузеры. Также, стоит включить DNS-over-HTTPS (есть в FF), который не позволит провайдеру смотреть ваши DNS-запросы.
С TLS1.3 и DoH остается только блокировка по IP.
Вот тут РКН пишет про «некорректный резолвинг». На этой же странице даётся ссылка на «Рекомендации по блокировке для операторов», при попытке перехода на которую отдаётся 404.
В редакции «Рекомендаций» от 2013 года было указано, что оператор должен резолвить домены сам, и не полагаться на поле «IP» в списке блокировки.
А теперь оператор должен изогнуться ещё хлеще:
Рекомендации Роскомнадзора продиктованы интересами пользователей и направлены на исключение избыточной блокировки добропорядочных ресурсов. В частности, при самостоятельном определении оператором связи IP-адреса запрещенного интернет-ресурса, провайдерам рекомендовано проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса .
РКН его заблокирует и получит по голове за ложную блокировку
Это вы сейчас смешную шутку сказали, да.
Примерно любой взлом сайта — тоже всего лишь отправить какие-то байты по сокету. Причем отправка любого из этих 256 байт вполне добропорядочна)
А вот вместе — эксплоит.
По-моему, описанное в статье — вполне атака.
Это, как я понимаю, абсолютно законноТо, что это законно, еще не означает, что атака перестаёт быть атакой. Это лишь означает, что закон слабоват, недоделан и в нём есть такие дырки.
никогда не освобождает их
Это не так.
В полночь 24 апреля 2018 года в выгрузке находилось 5136 доменных имени, доступных для свободной регистрации неопределенным кругом лиц..
С 23 апреля 2018 года Роскомнадзор начал актуализировать данные по доменам в реестре. Днем 10 мая 2018 года в выгрузке находилось 2254 доменных имени, доступных для свободной регистрации неопределенным кругом лиц
Роскомнадзор же не признал вину? Значит за этот заголовок вы пойдете по закону об фейках.
«Яндекс» и сайты некоторых СМИ пострадали от DNS-атаки из Роскомнадзора