![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Это так забавно :-))) "положить" "паровоз телеком" (ТТК) одного из основных магистральных провайдеров на РФ - это достойно ордена !!! А ещё часть РТК (Ебург, например) и часть Beeline.
В 18+ по Москве по всей стране легла сеть ТТК. А легла она потому что резолвит домены (т.е. самостоятельно определяет их актуальные IP адреса) из реестра запрещенных сайтов Роскомпозора. Начиная примерно с 16−17 по Москве 296 сайтов с курительными смесями из числа запрещенных начали отдавать по 2000—4000 _УНИКАЛЬНЫХ_ IP каждый. В 19:06 число уникальных IP во всем реестре превысило миллион. В 18:20 ТТК лег от Хабаровска до Санкт-Петербурга.
( Read more... )
UPD: подробности, что же произошло на самом деле:
Сервис блокировки запрещенной информации от Роскомнадзора в очередной раз стал оружием в руках злоумышленников. Если прошлые атаки через данный сервис были направлены на отдельные ресурсы (об этом можно почитать например раз , два и три, а также по ссылкам в этих статьях), то вчерашняя атака достаточно сильно ударила по всему Российскому сегменту Интернет. Особенно досталось ТрансТелекому.
Хронология атаки
■20 и 21 февраля некто зарегистрировал 2 домена из списка заблокированных tlpp.biz (данные whois) и piek.biz (данные whois), в последующем к этим двум доменам были созданы еще 296 поддоменов 3-го уровня.
■14 марта после 16-00 (время Московское) в DNS записях 296 доменов появились от 2 до 4 тысяч уникальных IP адресов в каждом
■14 марта после 18-00 в межоператорском чате в телеграмм, начали поступать первые сообщения о недоступности услуг ТТК в разных регионах.
■14 марта около 19:00 число уникальных IP адресов, связанных с запрещенными доменами, превысило миллион!!. К этому моменту ТТК в европейской части России практически не работал, также из отдельных регионов поступали сведения о проблемах с IP транзитом в сети Вымпелком.
■14 марта около 22:00 число уникальных IP адресов, связанных с запрещенными доменами, уменьшилось до 48 тыс. и сервисы ТТК постепенно восстановились. Связано восстановление с окончанием атаки или с действиями сотрудников ТТК — доподлинно неизвестно.
Суть проблемы
Пропускать весь трафик через DPI иногда достаточно накладно, в связи с тем, что устройства дороги, и их производительность ограничена.
Поэтому можно прибегнуть к следующему ухищрению: распарсить перечень доменов из списка блокировки РКН. Получить из DNS перечень IP адресов, сопоставленных с блокируемыми сайтами. Трафик на данные IP адреса признать подозрительным и смаршрутизировать данный его на DPI. Остальной трафик отправить в интернет минуя DPI, предполагая (обоснованно) что на запрещенные ресурсы он не попадет. Таким образом можно существенно сэкономить на производительности DPI.
После того, как злоумышленники занесли в DNS более миллиона IP адресов, связанных с заблокированными сайтами, на DPI сформировалось более миллиона маршрутов с маской /32, что в свою очередь вызвало дробление маршрутов на Пограничных маршрутизаторах и, в конечном итоге, привело к тому, что размер таблицы маршрутизации превысил объем памяти, что и привело к остановке сервиса.
Выводы каждый может сделать сам. Можно конечно пропускать весь трафик через инспектирующий модуль, но это дорого. Можно использовать схемы с зеркалированием, или с пред-фильтрацией (как описано выше) но это не надежно. В любом случае факт остается фактом — на законодательном уровне подорвана безопасность всего российского сегмента сети Интернет. И кто знает, чем обернется система блокировки запрещенных сайтов завтра, какие еще риски она в себе может нести.
Вся информация в данной статье является частным мнением автора и основана на ряде личных наблюдений, догадок и предположений, а также на информации сообщества операторов связи в чате https://t.me/nag_public и в открытых источниках, например, следующих:
https://www.facebook.com/phil.kulin/posts/1588695351184190
https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/
https://forum.nag.ru/index.php?/topic/138900-problema-rkn-i-ttk-15032018/
https://bgpstream.com/event/130738
https://bgpstream.com/event/130734
В 18+ по Москве по всей стране легла сеть ТТК. А легла она потому что резолвит домены (т.е. самостоятельно определяет их актуальные IP адреса) из реестра запрещенных сайтов Роскомпозора. Начиная примерно с 16−17 по Москве 296 сайтов с курительными смесями из числа запрещенных начали отдавать по 2000—4000 _УНИКАЛЬНЫХ_ IP каждый. В 19:06 число уникальных IP во всем реестре превысило миллион. В 18:20 ТТК лег от Хабаровска до Санкт-Петербурга.
( Read more... )
UPD: подробности, что же произошло на самом деле:
Сервис блокировки запрещенной информации от Роскомнадзора в очередной раз стал оружием в руках злоумышленников. Если прошлые атаки через данный сервис были направлены на отдельные ресурсы (об этом можно почитать например раз , два и три, а также по ссылкам в этих статьях), то вчерашняя атака достаточно сильно ударила по всему Российскому сегменту Интернет. Особенно досталось ТрансТелекому.
Хронология атаки
■20 и 21 февраля некто зарегистрировал 2 домена из списка заблокированных tlpp.biz (данные whois) и piek.biz (данные whois), в последующем к этим двум доменам были созданы еще 296 поддоменов 3-го уровня.
■14 марта после 16-00 (время Московское) в DNS записях 296 доменов появились от 2 до 4 тысяч уникальных IP адресов в каждом
■14 марта после 18-00 в межоператорском чате в телеграмм, начали поступать первые сообщения о недоступности услуг ТТК в разных регионах.
■14 марта около 19:00 число уникальных IP адресов, связанных с запрещенными доменами, превысило миллион!!. К этому моменту ТТК в европейской части России практически не работал, также из отдельных регионов поступали сведения о проблемах с IP транзитом в сети Вымпелком.
■14 марта около 22:00 число уникальных IP адресов, связанных с запрещенными доменами, уменьшилось до 48 тыс. и сервисы ТТК постепенно восстановились. Связано восстановление с окончанием атаки или с действиями сотрудников ТТК — доподлинно неизвестно.
Суть проблемы
Пропускать весь трафик через DPI иногда достаточно накладно, в связи с тем, что устройства дороги, и их производительность ограничена.
Поэтому можно прибегнуть к следующему ухищрению: распарсить перечень доменов из списка блокировки РКН. Получить из DNS перечень IP адресов, сопоставленных с блокируемыми сайтами. Трафик на данные IP адреса признать подозрительным и смаршрутизировать данный его на DPI. Остальной трафик отправить в интернет минуя DPI, предполагая (обоснованно) что на запрещенные ресурсы он не попадет. Таким образом можно существенно сэкономить на производительности DPI.
После того, как злоумышленники занесли в DNS более миллиона IP адресов, связанных с заблокированными сайтами, на DPI сформировалось более миллиона маршрутов с маской /32, что в свою очередь вызвало дробление маршрутов на Пограничных маршрутизаторах и, в конечном итоге, привело к тому, что размер таблицы маршрутизации превысил объем памяти, что и привело к остановке сервиса.
Выводы каждый может сделать сам. Можно конечно пропускать весь трафик через инспектирующий модуль, но это дорого. Можно использовать схемы с зеркалированием, или с пред-фильтрацией (как описано выше) но это не надежно. В любом случае факт остается фактом — на законодательном уровне подорвана безопасность всего российского сегмента сети Интернет. И кто знает, чем обернется система блокировки запрещенных сайтов завтра, какие еще риски она в себе может нести.
Вся информация в данной статье является частным мнением автора и основана на ряде личных наблюдений, догадок и предположений, а также на информации сообщества операторов связи в чате https://t.me/nag_public и в открытых источниках, например, следующих:
https://www.facebook.com/phil.kulin/posts/1588695351184190
https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/
https://forum.nag.ru/index.php?/topic/138900-problema-rkn-i-ttk-15032018/
https://bgpstream.com/event/130738
https://bgpstream.com/event/130734