Master
Модератор
Злоумышленники нашли новый способ использовать Реестр запрещенных сайтов для противоправных целей. На этот раз сбой испытала сеть «Транстелекома», которой пришлось заблокировать 1 млн IP-адресов, фиктивно привязанных к внесенным в Реестр доменам.
Найден новый способ выводить из строя сеть провайдеров
В то же время, с 2015 г. Роскомнадзор стал устанавливать у интернет-провайдеров оборудование системы «Ревизор», которое автоматически проверяет исполнение требований о блокировках сайтов. В случае выявления нарушений Роскомнадзор составляет административные протоколы о наложение штрафов. Такой подход вынудил многих провайдеров самостоятельно определять IP-адреса заблокированных сайтов.
Как атаковать провайдера через Реестр запрещенных сайтов
По мнению Филиппа Кулина, злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов – tlpp.biz и piek.biz - заблокированных ранее за распространение наркотических средств.
Далее на двух вышеупомянутых доменах было создано 296 поддомена третьего уровня. Затем в системе DNS (отвечает за соответствие доменов и IP-адресов) к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Отметим, что владелец домена может в системе DNS приписать к нему любой, в том числе и не используемый им IP-адрес.
Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать.
Суть проблемы: переполнение таблицы маршрутизации
Как отмечает ресурс «VAS-эксперт», суть проблемы в том, что «Транстелеком», как и ряд других провайдеров, экономят ресурсы и не пропускают через DPI-системы весь трафик абонентов. Вместо этого провайдер сначала самостоятельно определяет IP-адреса, относящиеся к доменам заблокированных сайтов, а затем передает их на фильтрацию в DPI-систему.
В результате на DPI-системе сформировалось более 1 млн маршрутов с маской «.32». Маска подсети – параметр, упрощающий маршрутизацию трафика за счет группировки IP-адресов в подсети. Чем больше значение данного параметра – тем меньше размер подсети.
Обычно для маршрутизации трафика используется маска подсети значением не более «24». «32» - это максимально возможное значение, означающее, что в данной подсети находится только один IP-адрес. Такой параметр используется, например, когда нужно заблокировать какой-то IP-адрес.
Как пишет «VAS-эксперт», итогом всего произошедшего стало то, что размер таблицы маршрутизации превысил допустимый объем памяти. Именно и привело к остановке сервиса.
Источник, близкий к «Транстелекому», подтвердил CNews, что проблема с доступом в сеть у абонентов оператора была вызвана ситуацией с Реестром запрещенных сайтов. В то же время источник добавляет, что перебои наблюдались и у других крупных провайдеров.
Пресс-служба Роскомнадзора заявила, что служба действительно зафиксировала сбои на маршрутизаторах отдельных операторов связи, но эта проблема была оперативно решена и она не была связана с работой Реестра запрещенных сайтов.
Как в прошлый раз устраивался сбой с помощью Реестра запрещенных сайтов
Это уже не первый случай, когда злоумышленники пытаются устроить сбои, используя механизм автоматического определения провайдерами IP-адресов заблокированных сайтов. В 2017 г. к ряду доменов заблокированных ресурсов были добавлены IP-адреса известных сайтов.
В результате начались проблемы с доступом к Facebook, Instagram, mc.yandex.ru (счетчик «Яндекса») и другим ресурсам. Аналогичным образом злоумышленники пытались подставить и IP-адреса социальных сетей «Одноклассники» и «ВКонтакте», «Первого канала» и даже самого Роскомнадзора.
Роскомнадзор заподозрил автора Telegram-канала «ИТ уголовные дела СОРМ россиюшка» Владимира Здольникова, первого рассказавшего о данной проблеме, в том, что он и стоял за этой «атакой». В связи с этим ведомство направило соответствующий запрос в МВД.
Тогда же Роскомнадзор составил «белый список» популярных сайтов, которых провайдерам было рекомендовано не блокировать. Теперь же злоумышленники смогли с помощью Реестра запрещенных сайтов создать проблемы уже не отдельным ресурсам, а целому крупному интернет-провайдеру.
Подробнее: http://www.cnews.ru/news/top/2018-03-19_kak_v_rossii_vyveli_iz_stroya_provajderazablokirovav
Найден новый способ выводить из строя сеть провайдеров
В то же время, с 2015 г. Роскомнадзор стал устанавливать у интернет-провайдеров оборудование системы «Ревизор», которое автоматически проверяет исполнение требований о блокировках сайтов. В случае выявления нарушений Роскомнадзор составляет административные протоколы о наложение штрафов. Такой подход вынудил многих провайдеров самостоятельно определять IP-адреса заблокированных сайтов.
Как атаковать провайдера через Реестр запрещенных сайтов
По мнению Филиппа Кулина, злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов – tlpp.biz и piek.biz - заблокированных ранее за распространение наркотических средств.
Далее на двух вышеупомянутых доменах было создано 296 поддомена третьего уровня. Затем в системе DNS (отвечает за соответствие доменов и IP-адресов) к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Отметим, что владелец домена может в системе DNS приписать к нему любой, в том числе и не используемый им IP-адрес.
Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать.
Суть проблемы: переполнение таблицы маршрутизации
Как отмечает ресурс «VAS-эксперт», суть проблемы в том, что «Транстелеком», как и ряд других провайдеров, экономят ресурсы и не пропускают через DPI-системы весь трафик абонентов. Вместо этого провайдер сначала самостоятельно определяет IP-адреса, относящиеся к доменам заблокированных сайтов, а затем передает их на фильтрацию в DPI-систему.
В результате на DPI-системе сформировалось более 1 млн маршрутов с маской «.32». Маска подсети – параметр, упрощающий маршрутизацию трафика за счет группировки IP-адресов в подсети. Чем больше значение данного параметра – тем меньше размер подсети.
Обычно для маршрутизации трафика используется маска подсети значением не более «24». «32» - это максимально возможное значение, означающее, что в данной подсети находится только один IP-адрес. Такой параметр используется, например, когда нужно заблокировать какой-то IP-адрес.
Как пишет «VAS-эксперт», итогом всего произошедшего стало то, что размер таблицы маршрутизации превысил допустимый объем памяти. Именно и привело к остановке сервиса.
Источник, близкий к «Транстелекому», подтвердил CNews, что проблема с доступом в сеть у абонентов оператора была вызвана ситуацией с Реестром запрещенных сайтов. В то же время источник добавляет, что перебои наблюдались и у других крупных провайдеров.
Пресс-служба Роскомнадзора заявила, что служба действительно зафиксировала сбои на маршрутизаторах отдельных операторов связи, но эта проблема была оперативно решена и она не была связана с работой Реестра запрещенных сайтов.
Как в прошлый раз устраивался сбой с помощью Реестра запрещенных сайтов
Это уже не первый случай, когда злоумышленники пытаются устроить сбои, используя механизм автоматического определения провайдерами IP-адресов заблокированных сайтов. В 2017 г. к ряду доменов заблокированных ресурсов были добавлены IP-адреса известных сайтов.
В результате начались проблемы с доступом к Facebook, Instagram, mc.yandex.ru (счетчик «Яндекса») и другим ресурсам. Аналогичным образом злоумышленники пытались подставить и IP-адреса социальных сетей «Одноклассники» и «ВКонтакте», «Первого канала» и даже самого Роскомнадзора.
Роскомнадзор заподозрил автора Telegram-канала «ИТ уголовные дела СОРМ россиюшка» Владимира Здольникова, первого рассказавшего о данной проблеме, в том, что он и стоял за этой «атакой». В связи с этим ведомство направило соответствующий запрос в МВД.
Тогда же Роскомнадзор составил «белый список» популярных сайтов, которых провайдерам было рекомендовано не блокировать. Теперь же злоумышленники смогли с помощью Реестра запрещенных сайтов создать проблемы уже не отдельным ресурсам, а целому крупному интернет-провайдеру.
Подробнее: http://www.cnews.ru/news/top/2018-03-19_kak_v_rossii_vyveli_iz_stroya_provajderazablokirovav