![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
slava68Это так забавно :-))) "положить" "паровоз телеком" (ТТК) одного из основных магистральных провайдеров на РФ - это достойно ордена !!! А ещё часть РТК (Ебург, например) и часть Beeline.
В 18+ по Москве по всей стране легла сеть ТТК. А легла она потому что резолвит домены (т.е. самостоятельно определяет их актуальные IP адреса) из реестра запрещенных сайтов Роскомпозора. Начиная примерно с 16−17 по Москве 296 сайтов с курительными смесями из числа запрещенных начали отдавать по 2000—4000 _УНИКАЛЬНЫХ_ IP каждый. В 19:06 число уникальных IP во всем реестре превысило миллион. В 18:20 ТТК лег от Хабаровска до Санкт-Петербурга.
отсюда: https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/
--------коммент с сайта-----------------
Роскомпозор опять уничтожает российский интернет.
Только так любой нормальный человек должен читать новость о том, что у провайдера ТТК сломался интернет (https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/) из-за сраного реестра запрещённых сайтов.
Объясняю, как и почему это случилось: большинство провайдеров не могут позволить себе пропускать весь трафик через фильтрующее оборудование, запрещающее доступ к определённым сайтам, поэтому им приходится автоматически узнавать (резолвить) IP-адреса сайтов из реестра, и пропускать трафик через DPI только для этих адресов.
Если IP-адресов запрещённых сайтов станет слишком много, то таблица маршрутизации на пограничных роутерах провайдеров забьётся (а её ресурсы достаточно ограничены, учитывая то, что роутеры помнят маршруты на все подсети в интернете), и роутер так или иначе перестанет работать.
Это рождает тип атаки на таблицу маршрутизации, когда владельцы заблокированных сайтов могут добавить в качестве A-записей своих доменов множество левых IP-адресов и вывести из строя целых операторов связи, что случилось в данном случае с ТТК.
296 поддоменов сайтов tlpp.biz и piek.biz добавили огромное количество IP-адресов в A-записи, чем вызвали переполнение таблицы маршрутизации у ТТК.
Это одна из многих атак, которую можно использовать, владея одним или несколькими заблокированными сайтами.
Другая дырка, которая позволяет владельцу заблокированного сайта блокировать любой ресурс в интернете — до сих пор не закрыта, слова Роскомпозора об её устранении — наглый пиздёжь, потому что её можно закрыть, только если отменить сраный реестр запрещённых сайтов.
Напомню, что Роскомпозор — организация, которая уничтожает интернет в России. Она должна быть разогнана, часть её сотрудников должна быть осуждена (открытка Ампелонскому, которого система решила сожрать чуть раньше), а остальные должны отправиться работать охранниками и т.п.
------------конец цитаты----------
Состояние на 15:25 15.03.2018
Ростелеком вчера тоже "соснул", но думаю, это из-за маршрутизации части трафика через каналы ТТК.
Мобильные операторы быстренько перенаправили трафик на "живые" каналы. Может быть это даже сработало автоматически.
В прошлом году ТТК блокировал сайт Навального в течении месяца после того, как сайт был исключён из списка Роскомпозора. Я даже вынудил своего провайдера интернета изменить маршрутизацию на другого магистрального провайдера :-))) Звонил им по 5 раз в день и оставлял заявки, что у меня не открывается сайт navalny.com :-))
UPD: подробности, что же произошло на самом деле:
Сервис блокировки запрещенной информации от Роскомнадзора в очередной раз стал оружием в руках злоумышленников. Если прошлые атаки через данный сервис были направлены на отдельные ресурсы (об этом можно почитать например раз , два и три, а также по ссылкам в этих статьях), то вчерашняя атака достаточно сильно ударила по всему Российскому сегменту Интернет. Особенно досталось ТрансТелекому.
Хронология атаки
■20 и 21 февраля некто зарегистрировал 2 домена из списка заблокированных tlpp.biz (данные whois) и piek.biz (данные whois), в последующем к этим двум доменам были созданы еще 296 поддоменов 3-го уровня.
■14 марта после 16-00 (время Московское) в DNS записях 296 доменов появились от 2 до 4 тысяч уникальных IP адресов в каждом
■14 марта после 18-00 в межоператорском чате в телеграмм, начали поступать первые сообщения о недоступности услуг ТТК в разных регионах.
■14 марта около 19:00 число уникальных IP адресов, связанных с запрещенными доменами, превысило миллион!!. К этому моменту ТТК в европейской части России практически не работал, также из отдельных регионов поступали сведения о проблемах с IP транзитом в сети Вымпелком.
■14 марта около 22:00 число уникальных IP адресов, связанных с запрещенными доменами, уменьшилось до 48 тыс. и сервисы ТТК постепенно восстановились. Связано восстановление с окончанием атаки или с действиями сотрудников ТТК — доподлинно неизвестно.
Суть проблемы
Пропускать весь трафик через DPI иногда достаточно накладно, в связи с тем, что устройства дороги, и их производительность ограничена.
Поэтому можно прибегнуть к следующему ухищрению: распарсить перечень доменов из списка блокировки РКН. Получить из DNS перечень IP адресов, сопоставленных с блокируемыми сайтами. Трафик на данные IP адреса признать подозрительным и смаршрутизировать данный его на DPI. Остальной трафик отправить в интернет минуя DPI, предполагая (обоснованно) что на запрещенные ресурсы он не попадет. Таким образом можно существенно сэкономить на производительности DPI.
После того, как злоумышленники занесли в DNS более миллиона IP адресов, связанных с заблокированными сайтами, на DPI сформировалось более миллиона маршрутов с маской /32, что в свою очередь вызвало дробление маршрутов на Пограничных маршрутизаторах и, в конечном итоге, привело к тому, что размер таблицы маршрутизации превысил объем памяти, что и привело к остановке сервиса.
Выводы каждый может сделать сам. Можно конечно пропускать весь трафик через инспектирующий модуль, но это дорого. Можно использовать схемы с зеркалированием, или с пред-фильтрацией (как описано выше) но это не надежно. В любом случае факт остается фактом — на законодательном уровне подорвана безопасность всего российского сегмента сети Интернет. И кто знает, чем обернется система блокировки запрещенных сайтов завтра, какие еще риски она в себе может нести.
Вся информация в данной статье является частным мнением автора и основана на ряде личных наблюдений, догадок и предположений, а также на информации сообщества операторов связи в чате https://t.me/nag_public и в открытых источниках, например, следующих:
https://www.facebook.com/phil.kulin/posts/1588695351184190
https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/
https://forum.nag.ru/index.php?/topic/138900-problema-rkn-i-ttk-15032018/
https://bgpstream.com/event/130738
https://bgpstream.com/event/130734
В 18+ по Москве по всей стране легла сеть ТТК. А легла она потому что резолвит домены (т.е. самостоятельно определяет их актуальные IP адреса) из реестра запрещенных сайтов Роскомпозора. Начиная примерно с 16−17 по Москве 296 сайтов с курительными смесями из числа запрещенных начали отдавать по 2000—4000 _УНИКАЛЬНЫХ_ IP каждый. В 19:06 число уникальных IP во всем реестре превысило миллион. В 18:20 ТТК лег от Хабаровска до Санкт-Петербурга.
отсюда: https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/
--------коммент с сайта-----------------
Роскомпозор опять уничтожает российский интернет.
Только так любой нормальный человек должен читать новость о том, что у провайдера ТТК сломался интернет (https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/) из-за сраного реестра запрещённых сайтов.
Объясняю, как и почему это случилось: большинство провайдеров не могут позволить себе пропускать весь трафик через фильтрующее оборудование, запрещающее доступ к определённым сайтам, поэтому им приходится автоматически узнавать (резолвить) IP-адреса сайтов из реестра, и пропускать трафик через DPI только для этих адресов.
Если IP-адресов запрещённых сайтов станет слишком много, то таблица маршрутизации на пограничных роутерах провайдеров забьётся (а её ресурсы достаточно ограничены, учитывая то, что роутеры помнят маршруты на все подсети в интернете), и роутер так или иначе перестанет работать.
Это рождает тип атаки на таблицу маршрутизации, когда владельцы заблокированных сайтов могут добавить в качестве A-записей своих доменов множество левых IP-адресов и вывести из строя целых операторов связи, что случилось в данном случае с ТТК.
296 поддоменов сайтов tlpp.biz и piek.biz добавили огромное количество IP-адресов в A-записи, чем вызвали переполнение таблицы маршрутизации у ТТК.
Это одна из многих атак, которую можно использовать, владея одним или несколькими заблокированными сайтами.
Другая дырка, которая позволяет владельцу заблокированного сайта блокировать любой ресурс в интернете — до сих пор не закрыта, слова Роскомпозора об её устранении — наглый пиздёжь, потому что её можно закрыть, только если отменить сраный реестр запрещённых сайтов.
Напомню, что Роскомпозор — организация, которая уничтожает интернет в России. Она должна быть разогнана, часть её сотрудников должна быть осуждена (открытка Ампелонскому, которого система решила сожрать чуть раньше), а остальные должны отправиться работать охранниками и т.п.
------------конец цитаты----------
Состояние на 15:25 15.03.2018
Ростелеком вчера тоже "соснул", но думаю, это из-за маршрутизации части трафика через каналы ТТК.
Мобильные операторы быстренько перенаправили трафик на "живые" каналы. Может быть это даже сработало автоматически.
В прошлом году ТТК блокировал сайт Навального в течении месяца после того, как сайт был исключён из списка Роскомпозора. Я даже вынудил своего провайдера интернета изменить маршрутизацию на другого магистрального провайдера :-))) Звонил им по 5 раз в день и оставлял заявки, что у меня не открывается сайт navalny.com :-))
UPD: подробности, что же произошло на самом деле:
Сервис блокировки запрещенной информации от Роскомнадзора в очередной раз стал оружием в руках злоумышленников. Если прошлые атаки через данный сервис были направлены на отдельные ресурсы (об этом можно почитать например раз , два и три, а также по ссылкам в этих статьях), то вчерашняя атака достаточно сильно ударила по всему Российскому сегменту Интернет. Особенно досталось ТрансТелекому.
Хронология атаки
■20 и 21 февраля некто зарегистрировал 2 домена из списка заблокированных tlpp.biz (данные whois) и piek.biz (данные whois), в последующем к этим двум доменам были созданы еще 296 поддоменов 3-го уровня.
■14 марта после 16-00 (время Московское) в DNS записях 296 доменов появились от 2 до 4 тысяч уникальных IP адресов в каждом
■14 марта после 18-00 в межоператорском чате в телеграмм, начали поступать первые сообщения о недоступности услуг ТТК в разных регионах.
■14 марта около 19:00 число уникальных IP адресов, связанных с запрещенными доменами, превысило миллион!!. К этому моменту ТТК в европейской части России практически не работал, также из отдельных регионов поступали сведения о проблемах с IP транзитом в сети Вымпелком.
■14 марта около 22:00 число уникальных IP адресов, связанных с запрещенными доменами, уменьшилось до 48 тыс. и сервисы ТТК постепенно восстановились. Связано восстановление с окончанием атаки или с действиями сотрудников ТТК — доподлинно неизвестно.
Суть проблемы
Пропускать весь трафик через DPI иногда достаточно накладно, в связи с тем, что устройства дороги, и их производительность ограничена.
Поэтому можно прибегнуть к следующему ухищрению: распарсить перечень доменов из списка блокировки РКН. Получить из DNS перечень IP адресов, сопоставленных с блокируемыми сайтами. Трафик на данные IP адреса признать подозрительным и смаршрутизировать данный его на DPI. Остальной трафик отправить в интернет минуя DPI, предполагая (обоснованно) что на запрещенные ресурсы он не попадет. Таким образом можно существенно сэкономить на производительности DPI.
После того, как злоумышленники занесли в DNS более миллиона IP адресов, связанных с заблокированными сайтами, на DPI сформировалось более миллиона маршрутов с маской /32, что в свою очередь вызвало дробление маршрутов на Пограничных маршрутизаторах и, в конечном итоге, привело к тому, что размер таблицы маршрутизации превысил объем памяти, что и привело к остановке сервиса.
Выводы каждый может сделать сам. Можно конечно пропускать весь трафик через инспектирующий модуль, но это дорого. Можно использовать схемы с зеркалированием, или с пред-фильтрацией (как описано выше) но это не надежно. В любом случае факт остается фактом — на законодательном уровне подорвана безопасность всего российского сегмента сети Интернет. И кто знает, чем обернется система блокировки запрещенных сайтов завтра, какие еще риски она в себе может нести.
Вся информация в данной статье является частным мнением автора и основана на ряде личных наблюдений, догадок и предположений, а также на информации сообщества операторов связи в чате https://t.me/nag_public и в открытых источниках, например, следующих:
https://www.facebook.com/phil.kulin/posts/1588695351184190
https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/
https://forum.nag.ru/index.php?/topic/138900-problema-rkn-i-ttk-15032018/
https://bgpstream.com/event/130738
https://bgpstream.com/event/130734