«Яндекс» и сайты некоторых СМИ пострадали от DNS-атаки из Роскомнадзора

  • Новость
Специалистам хорошо известно, что в механизме блокировок есть серьёзная уязвимость, допускающая внедрение в реестр блокировки произвольных IP-адресов. Для проведения атаки нужно ввести в DNS-записи любого заблокированного домена целевые IP-адреса, которые вы хотите «заблокировать». Это легко сделать, потому что многие заблокированные домены освобождаются для новой регистрации. Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.

За последние пять лет данная уязвимость многократно эксплуатировалась, особенно большая волна атак прошла в 2017 году, а тема тогда обсуждалась на Хабре.

Несмотря на достаточно тривиальный характер атаки, Роскомнадзор до сих пор не закрыл уязвимость. Очередной жертвой ложных блокировок стал «Яндекс», стало известно РБК.

Представитель пресс-службы «Яндекса» подтвердил факт инцидента и сказал, что пострадать от подобных действий может любая компания: «Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок».

Технические специалисты «Яндекса» отражали атаку несколько суток, пишет РБК: «Блокировки сайтов удалось избежать, но атака не прошла незамеченной — активные пользователи сервисов компании заметили снижение скорости доступа к ним», — сказал источник в самой компании.

Роскомнадзор вносит в реестр какой-либо сайт, а запись в реестре состоит из трёх элементов: домен, URL, IP-адрес. Далее каждый провайдер сам решает, каким образом блокировать доступ к нему, при этом здесь отсутствует какое-либо регулирование. Например, провайдеры могут блокировать ресурс по его IP-адресу, указанному в записи DNS.

Сейчас это и произошло: ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы DPI, были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей.

Кроме «Яндекса», пострадали сайты нескольких крупных СМИ, в том числе РБК: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники, как и в 2017 году, воспользовались уязвимостью, позволяющей приписать домену из реестра запрещённых сайтов IP-адрес любого другого добропорядочного ресурса, и тем самым попытались заблокировать его. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него», — пояснил Digital-директор B2C направления РБК Кирилл Титов.
Поддержать автора
Поделиться публикацией

Комментарии 42

    +1
    При этом, в неофициальных разговорах источник из «Радиочастотного центра» утверждает, цитирую, «ни у одного крупного или среднего [оператора] [DNS-атака] не работает. я не беру в расчет оператора деревни, у которого 100 абонентов».

    Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.
    Очень странно. Зачем покупать домены в даркнете? Что мешает взять выгрузку, которую регулярно сливают на GitHub, самостоятельно обнаружить в ней «протухшие» домены и зарегистрировать их? Сдаётся мне, тут «учёный изнасиловад журналиста».
      +3
      Может быть потому что так придется регистрировать домен на себя, а в дакнете можно просто сказать «поставь туда вот такой IP».
        +2
        Можно искать «Протухшие». Но найти такие будет крайне сложно — ведь не один ты их ищеш.
        Другое дело — купить ещё не освобожденный домен, но выставленный на продажу именно для этих целей. Может быть даже без смены владельца, дабы не палиться самому (Как писали комментом выше).
        А некоторые вообще владельца не меняют, а лиш предоставляют возможность внести требуемые IP адреса в блокированный домен, между делом предоставляя гарантию, что в случае проблемы ваш список IP будет перенесен на другой домен (Тоже забаненый в Роскомпозоре).
        Словом — в даркнете это уже стало бизнесом…
          0
          Сложного там нет по словам тех, кто этим занимается: Неугомонный Фил сегодня посчитал
          На момент 14 марта 2019 года мне известны как минимум 3027 домена из реестра запрещенных сайтов, доступных для свободной регистрации любым лицом.

          Год назад он у себя на сайте чуть ли не каждый день обновлял эту статистику по свободным доменам.
          0
          потому что в даркнете продают домены зарегистрированные на чужие ворованные паспорта
            0

            Для регистрации домена паспорт не нужен %username%

              0
              Паспортные данные нужны на случай перепродажи домена или его возврата в результате кражи. Для осуществления «атаки» — и без них сойдёт. Не говоря уж о том, что если владелец не является резидентом РФ, то что ему сделают? Прописывать себе какие угодно IP-адреса не запрещено. Если кто-то вздумал отрезолвить мой домен и от того, что он получил, у него накрылась система, то он сам дурак, что так систему выстроил.

              image
            +9
            Технические специалисты «Яндекса» отражали атаку несколько суток

            Как они могли отражать «атаку»? Я понимаю, когда так пишет какой-нибудь новостной ресурс, но написать такое на хабре…
              +2
              Как я могу предполагать, их сервисы меняли IP как телеграмм.
                +2

                А недавняя новость про кубик Рубика, собранный ногами, как вам? Тоже, думаю, так себе статья на Хабре.

                  +2
                  Перекидывали домены на другие IP. Прям как ненавистный некоторым Телеграм бегали от карающего меча правосудия в руках слепой.
                    +4
                    от карающего меча правосудия в руках слепой

                    обезьянки.
                      +1
                      Вообще-то её зовут Фемида.
                        0
                        В другой юрисдикции.
                  –3
                  Что за бред они несут. Какая еще DNS атака? Купил домен и прописал записи — теперь это атака? LOL
                    0
                    Да, именно теперь это именно атака
                      0
                      А если вписать адреса какого-нибудь гос.ведомства, то вообще терроризмом попахивает.
                        0
                        Вот от такой киберугрозы нас защищают.
                      0

                      А почему нет? Ресурс заблокирован, цель достигнута, ущерб причинен. То, что это делается элементарно, вовсе не означает, что это не атака. Выдернуть из серверов провода — тоже тривиальное действие, но это тоже вполне себе атака с результатом.

                      +8

                      На мой взгляд, это неправильно называть "атакой". Давайте разберем ситуацию. Оператор некоего DNS сервера ("доброумышленник"), обслуживающего заблокированный домен, на законных основаниях вносит в него произвольные IP адреса, в том числе крупных популярных в РФ сайтов. Это, как я понимаю, абсолютно законно, более того, доброумышленник может не быть гражданином РФ и не находиться на ее территории.


                      Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу, получают с него IP-адреса и либо 1) ограничивают к ним доступ, либо 2) направляют трафик на них через DPI, отчего тот захлебывается. Видимо, такие провайдеры хотят выслужиться и показать более высокие показатели качества блокировки.


                      Я специально бегло проглядел списки блокировок за 10 марта и там следов "атаки" не обнаружил, то есть это не РКН передавал IP для блокировки, а именно чья-то нездоровая инициатива.


                      Получается, они же сами и виноваты: в первом случае, они виноваты, что вместо строгого следования списку, присланному РКН, проявляют инициативу и добавляют лишние адреса, ломая этим легитимные сервисы. Во втором случае они виноваты в том, что установили слишком слабый DPI и, опять же, направили на него лишний трафик по своей инициативе.


                      Я считаю, что то, что делают операторы таких DNS серверов — это благое дело и в наших интересах, и вот почему.


                      Во-первых, шум привлекает внимание к проблеме. Операторов ругают, в итоге у них появляется меньше желания проявлять инициативу и блокировать что-то за пределами реестра. DPI не справляется — и им приходится отказываться от него, используя более легкообходимые методы блокировки. Если такие "атаки" будут продолжаться, DPI придется отключать.


                      Во-вторых, такие вещи не позволяют РКН автоматически скриптом получать IP сайтов, а вынуждают их делать проверки, тратя на это время людей. Это замедляет работу РКН и ограничивает рост реестра.


                      В общем, то что делают операторы DNS серверов, несет пользу. Да, могут быть временные проблемы со связью, но в общем итоге это несет больше пользы, чем вреда. Чем больше ада, тем лучше.


                      Кстати, если вы скачаете новый Firefox, включите в настройках "DNS over HTTPS", и зайдете на сайт с TLS1.3, то DPI будет бесполезен — в такой конфигурации имя домена надежно маскируется и остается только вариант блокировки по IP (для которой DPI не требуется).


                      Тут еще пишут, что РКН как-то пытается автоматически вычислять прокси для Телеграм, анализируя трафик. Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.


                      В заключение, интересно посмотреть на мнение Яндекса о проблеме. Может быть, они против блокировок? Конечно, нет, тут они на стороне жуликов, при условии, что им выдадут привилегии:


                      Представитель пресс-службы «Яндекса» утверждает, что Роскомнадзор уже выработал несколько инструментов защиты компаний, в том числе «Яндекса», от случайного попадания в такие ситуации: ведомство предложило применять белые списки — перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. «Это правильный подход, но этого недостаточно. Необходимо сделать обязательным использование белых списков всеми операторами связи при формировании списка ресурсов для блокировки», — считает представитель «Яндекса».

                      Белые списки никак не решат проблему. Есть куча других URL, например, представьте, если доброумышленник укажет на своих DNS-серверах IP-адрес мобильного API Инстаграм, например. Это очень популярное приложение, и его блокировка конечно вызовет недовольство людей. Ну и непонятно, чем Яндекс лучше других компаний и почему он должен быть защищен от безумия РКН.

                        +2
                        Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.

                        Зачем указывать в нем IP Яндекса? Нужно указать IP роскомнадзора, чтобы он наконец уже заблокировал себе анус!
                          +1
                          Затем, что IP Роскомнадзора нужен только двум с половиной анонимам, которые либо работают в отрасли, либо следят за ней.
                          0
                          Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу


                          Это не «по собственной инициативе», это по велению Ревизора (это такой перепрошитый TP-Link, который сидит в сети провайдера и по велению РКН ходит по всяким нехорошим сайтам). Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.
                            +1
                            В тоже время я думаю представитель частотного центра прав. По ip крупные операторы не фильтруют.
                            В http, прям в теле запроса видно видно хост к которому пользователь хочет подключиться и можно сделать редирект на заглушку
                            в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться и чей сертификат просит и можно сбросить соединение.
                            Для этого надо проверять весь трафик. Но выбора нет.

                            Сейчас провел проверку, у меня провайдер ТТК. Внес в /etc/hosts следующую запись

                            195.82.146.214 test.tes

                            В итоге получил ошибку сертификата при подключении к http s://test.tes, но целевого сайта(который на самом деле заблокирован я достиг), в тоже время при попытке подключиться к http s://ru tracker org я просто получил сброс соединения.
                              +1
                              Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.

                              А почему меня это должно волновать? Пусть оспаривают штрафы в суде или платят их молча. Если требования не основаны на законе, то не надо их выполнять. Не надо устраивать неформальные блокировки.


                              В моих интересах, чтобы блокировок было как можно меньше, следовательно действия доброумышленника, ломающего Яндекс и РБК и поднимающего шум в прессе, в моих интересах.


                              в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться

                              Этого нет в TLS1.3, где имя домена шифруется (если есть нужный ключ в DNS) и шифруется сертификат. Владельцы сайтов должны переходить на TLS1.3, а пользователям стоит устанавливать поддерживающие TLS1.3 браузеры. Также, стоит включить DNS-over-HTTPS (есть в FF), который не позволит провайдеру смотреть ваши DNS-запросы.


                              С TLS1.3 и DoH остается только блокировка по IP.

                                0
                                Вас это не волнует. А оператора, у которого отберут лицензию и/или впаяют штраф нецензурных размеров — очень даже волнует. Нет у оператора выхода никакого. РКН одновременно говорит «вы не резолвьте домены» и «если стукачок(tp-link их) по адресу достучится до домена — оштрафую». Остаётся только закрыться и уходить в дворники всей конторой.
                                  +1
                                  Можно «стукача» поставить в отдельную подсеть с жесткой фильтрацией. Можно круглый год жаловаться судам, СМИ, депутатам, членам правительства и писать письма Президенту. Можно отказаться предоставлять услуги вообще. Но нет, эти жулики предпочитают подыгрывать РКН и блокировать сверх того, что требуется в реестре. Плевать им на пользователей. Никакого сочувствия к ним не испытываю, а если они разорятся, то порадуюсь за кармическую справедливость.
                                    0
                                    РКН прямым текстом говорит: «провайдер должен резолвить домены сам». А про «некорректный резолв» РКН только в прессе пишет, когда отмазывается после вот таких вот случаев, который в посте описан.

                                    Вот тут РКН пишет про «некорректный резолвинг». На этой же странице даётся ссылка на «Рекомендации по блокировке для операторов», при попытке перехода на которую отдаётся 404.

                                    В редакции «Рекомендаций» от 2013 года было указано, что оператор должен резолвить домены сам, и не полагаться на поле «IP» в списке блокировки.

                                    А теперь оператор должен изогнуться ещё хлеще:
                                    Рекомендации Роскомнадзора продиктованы интересами пользователей и направлены на исключение избыточной блокировки добропорядочных ресурсов. В частности, при самостоятельном определении оператором связи IP-адреса запрещенного интернет-ресурса, провайдерам рекомендовано проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса .
                              +3
                              РКН его заблокирует и получит по голове за ложную блокировку

                              Это вы сейчас смешную шутку сказали, да.

                                +1

                                Примерно любой взлом сайта — тоже всего лишь отправить какие-то байты по сокету. Причем отправка любого из этих 256 байт вполне добропорядочна)
                                А вот вместе — эксплоит.
                                По-моему, описанное в статье — вполне атака.

                                  0
                                  Это, как я понимаю, абсолютно законно
                                  То, что это законно, еще не означает, что атака перестаёт быть атакой. Это лишь означает, что закон слабоват, недоделан и в нём есть такие дырки.
                                  0
                                  Подобная атака уже была год назад
                                  Шо, опять ?
                                  image
                                    +1
                                    Роскомнадзор только добавляет адреса в черные списки, но никогда не освобождает их. Называть такую халатность уязвимостью? Ну не знаю…
                                      –1
                                      никогда не освобождает их

                                      Это не так.
                                      В полночь 24 апреля 2018 года в выгрузке находилось 5136 доменных имени, доступных для свободной регистрации неопределенным кругом лиц.

                                      С 23 апреля 2018 года Роскомнадзор начал актуализировать данные по доменам в реестре. Днем 10 мая 2018 года в выгрузке находилось 2254 доменных имени, доступных для свободной регистрации неопределенным кругом лиц
                                      .
                                        +1
                                        Это разовая акция по устранению безумной ошибки, когда в попытке заблокировать Телеграмм, РКН отрезал Россию от большой части мировых сервисов и ЦОДов. С тех пор количество заблокированных префиксов только растет, увеличиваясь каждый день.
                                      +1
                                      Сегодня с утра обнаружил, что доменное имя, привязанное к DNS серверам яндекса и настроенное в «Почте Для Домена», без всякого объявления войны перестало резолвиться. Интересно связаны ли эти два события и не является ли это последствием отрубания всего и вся для решения проблем?
                                        0
                                        FB & Instagram прилегли вчера под вечер, совпадение?
                                          0
                                          FB сбоил по всему миру. РКН не всемогущ.
                                            +3
                                            РКН всенемогущь)
                                          +2
                                          Это все больше попахивает пилотными проверками. Если у вас какие-то проблемы с доступом, то это просто хакеры-террористы.

                                          P.S.
                                          Надеюсь, вы сами поймете какое предложение обернуть тегом сарказм.
                                            –1

                                            Следователь разберется, собирайтесь, за вами выехали :)

                                          0
                                          > DNS-атаки из Роскомнадзора

                                          Роскомнадзор же не признал вину? Значит за этот заголовок вы пойдете по закону об фейках.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое