Перейти к содержимому
Калькуляторы

Уязвимость в реестре РКН привела к DNS-атакам на “Яндекс”

Материал: “Яндекс” и ряд интернет-холдингов несколько дней назад подверглись мощной DNS-атаке. Для атаки применили уже известную многим уязвимость в системе блокировки Роскомнадзора. Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это в каком же законодательном акте яндекс нашел, что у РКН есть "белые списки" как инструмент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как следствие сегодня с 7 утра почта яндекса лежит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В "Яндексе" подчеркнули, что отражали эту атаку несколько суток

Какие молодцы.

 

В "Яндексе" считают, что использование "белых списков" нужно сделать обязательным для всех операторов.

Вношу встречное предложение: предлагаю всем операторам заблокировать Яндекс чтобы им больше не пришлось отражать какие-либо атаки.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то я нихрена не понял. В чем заключается аттака то?

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

Отвернуло с брасов на сервис фильтрации, там было пропущено дальше, пришло в яндекс. И? Чем это отличается для яндекса от обычного запроса из вне и что они там отражали несколько суток?

 

Где-нибудь можно почитать технический разбор?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@vurd некоторые сверхразумы блочат по IP + высокая нагрузка на блокировщики

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, EShirokiy сказал:

@vurd некоторые сверхразумы блочат по IP + высокая нагрузка на блокировщики

Так. Еще раз. Яндекс боролся в течении нескольких суток именно с этим? Менял IP-адреса фронтендов что-ли раз в 10 минут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, vurd сказал:

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

И абоненты операторов, которые блокируют по IP, потеряли доступ к Яндексу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, Robot_NagNews said:

Материал: “Яндекс” и ряд интернет-холдингов несколько дней назад подверглись мощной DNS-атаке. Для атаки применили уже известную многим уязвимость в системе блокировки Роскомнадзора. Полный текст

В законах нету, а по факту пару раз прилетал на почту exel файлик со списком "белых и пушистых" сайтов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

30 minutes ago, alibek said:

И абоненты операторов, которые блокируют по IP, потеряли доступ к Яндексу.

И много таких осталось?

Там скорее иная ситуация - у крупняков трафик (уверен на 95%) заворачивается по ип-адресам/сетям на системы фильтрации в целях экономии ресурсов. Эти адреса попадают туда как есть из списка блокировок + скорее всего по резолву домена. И когда на эти системы фильтрации начинает переть вместо условных 100-200 мбит несколько-десяток гигабит - тут-то системе и плохеет, отсюда задержка доставки пакетов/дропы и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, Rivia сказал:

И много таких осталось?

Там скорее иная ситуация - у крупняков трафик (уверен на 95%) заворачивается по ип-адресам/сетям на системы фильтрации в целях экономии ресурсов. Эти адреса попадают туда как есть из списка блокировок + скорее всего по резолву домена. И когда на эти системы фильтрации начинает переть вместо условных 100-200 мбит несколько-десяток гигабит - тут-то системе и плохеет, отсюда задержка доставки пакетов/дропы и т.п.

Я знаю одного оператора, который так делает принципиально после штрафа в 300 тысяч, который не удалось обжаловать.

По поводу volume трафика вопрос спорный, т.к. на систему фильтрации попадает исходящий трафик и 99% это не загрузка терабайтных файлов, а обычные http-host:ya.ru,etc

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, vurd сказал:

Что-то я нихрена не понял. В чем заключается аттака то?

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

Отвернуло с брасов на сервис фильтрации, там было пропущено дальше, пришло в яндекс. И? Чем это отличается для яндекса от обычного запроса из вне и что они там отражали несколько суток?

 

Где-нибудь можно почитать технический разбор?

Как поучаствоваший в развлекухе (мы были представлены в той же отдаче IP с той же пары доменов, зареганых походу студентом из одного универчика., кто отдавал IP яндекса, там карусель из IP была большая, кого там только не было и гос и не гос..яндекс был представлен очень широко, их IP было много.) докладываю, что гладко было на бумаге.. крупные операторы из б3 имели кто что, у одних "специфика маршрутизации" отправляла в бесконечные циклы по их сети и прочим европам и обратно, у других дпи блочил пакеты по содержимому.. ну то есть вроде сессия есть и... опа, 1 пакет заблочился и все ретрансмиты его тоже.. таймаут из этого положения ну уровне ТСП дооолго. что уж там DPI поймал в мусоре (далеко не в начале SSL сессии пакеты мало отличимы от /dev/random). Когда сессий много и они длинные, ломает работу серьезно. это не 2% потерь, когда теряются случайны пакеты, там перепошлется и поедет дальше. тут все, сессия умирает до таймаута. вроде и % потерь смешной, а не работает нихрена. Как там у мелких вообще не известно, наверное у всех по разному, у нас Б3 в аплинках жизни попортила.

 

В чем там "отбивались"  со стороны яндекса не ясно, это больше капание на мозги аплинкам и прочим операторам и борьба с непониманием. (ну или прыг-прыг по IP сервисов, попавших в проблемный пул., если есть где прыгать. нам вот негде было) Ну и решение то в итоге совсем не со стороны технарей, а ктото смог зайти в РКН через нужную дверь,  окрик со стороны РКН в сторону операторов и выкидывание трафика из тех ДПИ, которые вроде как и не должны были бы мешать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А когда началось то?

У меня некоторые клиенты жаловались на проблемы с отправкой файлов через вацап и твиттер , но еще в ночь на четверг, а не на пятницу.

воспроизвести не удалось

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, vurd сказал:

Я знаю одного оператора, который так делает принципиально после штрафа в 300 тысяч, который не удалось обжаловать.

По поводу volume трафика вопрос спорный, т.к. на систему фильтрации попадает исходящий трафик и 99% это не загрузка терабайтных файлов, а обычные http-host:ya.ru,etc

у яндекса IP было очень не мало не только фронтов веба, но и с тяжелым контентом тоже. Чувак отдавал 2-х NS разные наборы каждые 60 сек снова разные, я наловил снимая сильно реже более 6000 разных IP на его трех именах в 2-х доменах.

 

48 минут назад, LostSoul сказал:

А когда началось то?

У меня некоторые клиенты жаловались на проблемы с отправкой файлов через вацап и твиттер , но еще в ночь на четверг, а не на пятницу.

воспроизвести не удалось

 

про твитер не знаю, вотцап сообщал что у него проблемы в европе (ну и у нас заодно). в Германии тоже не работало. 

 

началось.. домен из добавленных давно в РКН, давно просроченный и освобожденный зареган снова

Creation Date: 2019-03-01T20:14:29.00Z

ну примерно тогда и началаось, нарастающим итогом. пока сресолвилось покато пока се... сначала у одних потом у других, сначала эти IP потом еще и эти, потом еще...

 

Похоже и мальчика нашли, все NSы отвечать "вдруг" перестали..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, st_re сказал:

про твитер не знаю, вотцап сообщал что у него проблемы в европе (ну и у нас заодно). в Германии тоже не работало. 

а какая вообще связь?

неужели немцам тоже пора срочно закон о суверенном германском интернете принимать?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 hours ago, st_re said:

Похоже и мальчика нашли, все NSы отвечать "вдруг" перестали..

Что сие означает? NSы вообще не отвечают или не отвечают по "участвующим" доменам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну те конкретные, на те 2 домена. Вообще не отвечают. Походу они на его мощностях и были. Один за пределами юрисдикции РКН и он тоже не отвечает как изнутри так и из вне...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, мне одному кажется что в действиях персонала РКН усматривается 274 УК? А учитывая наличие "интересных" сайтов, то и 274 ч. 2.

 

Увы, инициаторы атаки на ближайшие 5 лет будут вынуждены сменить место, сферу, и род деятельности. А мы как порядочные граждане должны будем им подержать дверь. Автозака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, lxxxzzz сказал:

 

Увы, инициаторы атаки на ближайшие 5 лет будут вынуждены сменить место, сферу, и род деятельности. А мы как порядочные граждане должны будем им подержать дверь. Автозака.

Вы переоцениваете усердие и проницательность соответствующих органов.

Уверен , что если даже кто-то возбудиться, то ущерб будет оценен как незначительный и дело закрыто.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.