Jump to content
Калькуляторы

Уязвимость в реестре РКН привела к DNS-атакам на “Яндекс”

Материал: “Яндекс” и ряд интернет-холдингов несколько дней назад подверглись мощной DNS-атаке. Для атаки применили уже известную многим уязвимость в системе блокировки Роскомнадзора. Полный текст

Share this post


Link to post
Share on other sites
Это в каком же законодательном акте яндекс нашел, что у РКН есть "белые списки" как инструмент?

Share this post


Link to post
Share on other sites

как следствие сегодня с 7 утра почта яндекса лежит

Share this post


Link to post
Share on other sites

В "Яндексе" подчеркнули, что отражали эту атаку несколько суток

Какие молодцы.

 

В "Яндексе" считают, что использование "белых списков" нужно сделать обязательным для всех операторов.

Вношу встречное предложение: предлагаю всем операторам заблокировать Яндекс чтобы им больше не пришлось отражать какие-либо атаки.

 

Share this post


Link to post
Share on other sites

Что-то я нихрена не понял. В чем заключается аттака то?

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

Отвернуло с брасов на сервис фильтрации, там было пропущено дальше, пришло в яндекс. И? Чем это отличается для яндекса от обычного запроса из вне и что они там отражали несколько суток?

 

Где-нибудь можно почитать технический разбор?

Share this post


Link to post
Share on other sites

@vurd некоторые сверхразумы блочат по IP + высокая нагрузка на блокировщики

Share this post


Link to post
Share on other sites
5 минут назад, EShirokiy сказал:

@vurd некоторые сверхразумы блочат по IP + высокая нагрузка на блокировщики

Так. Еще раз. Яндекс боролся в течении нескольких суток именно с этим? Менял IP-адреса фронтендов что-ли раз в 10 минут?

Share this post


Link to post
Share on other sites
32 минуты назад, vurd сказал:

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

И абоненты операторов, которые блокируют по IP, потеряли доступ к Яндексу.

Share this post


Link to post
Share on other sites
3 hours ago, Robot_NagNews said:

Материал: “Яндекс” и ряд интернет-холдингов несколько дней назад подверглись мощной DNS-атаке. Для атаки применили уже известную многим уязвимость в системе блокировки Роскомнадзора. Полный текст

В законах нету, а по факту пару раз прилетал на почту exel файлик со списком "белых и пушистых" сайтов.

Share this post


Link to post
Share on other sites
30 minutes ago, alibek said:

И абоненты операторов, которые блокируют по IP, потеряли доступ к Яндексу.

И много таких осталось?

Там скорее иная ситуация - у крупняков трафик (уверен на 95%) заворачивается по ип-адресам/сетям на системы фильтрации в целях экономии ресурсов. Эти адреса попадают туда как есть из списка блокировок + скорее всего по резолву домена. И когда на эти системы фильтрации начинает переть вместо условных 100-200 мбит несколько-десяток гигабит - тут-то системе и плохеет, отсюда задержка доставки пакетов/дропы и т.п.

Share this post


Link to post
Share on other sites
8 минут назад, Rivia сказал:

И много таких осталось?

Там скорее иная ситуация - у крупняков трафик (уверен на 95%) заворачивается по ип-адресам/сетям на системы фильтрации в целях экономии ресурсов. Эти адреса попадают туда как есть из списка блокировок + скорее всего по резолву домена. И когда на эти системы фильтрации начинает переть вместо условных 100-200 мбит несколько-десяток гигабит - тут-то системе и плохеет, отсюда задержка доставки пакетов/дропы и т.п.

Я знаю одного оператора, который так делает принципиально после штрафа в 300 тысяч, который не удалось обжаловать.

По поводу volume трафика вопрос спорный, т.к. на систему фильтрации попадает исходящий трафик и 99% это не загрузка терабайтных файлов, а обычные http-host:ya.ru,etc

Share this post


Link to post
Share on other sites
2 часа назад, vurd сказал:

Что-то я нихрена не понял. В чем заключается аттака то?

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

Отвернуло с брасов на сервис фильтрации, там было пропущено дальше, пришло в яндекс. И? Чем это отличается для яндекса от обычного запроса из вне и что они там отражали несколько суток?

 

Где-нибудь можно почитать технический разбор?

Как поучаствоваший в развлекухе (мы были представлены в той же отдаче IP с той же пары доменов, зареганых походу студентом из одного универчика., кто отдавал IP яндекса, там карусель из IP была большая, кого там только не было и гос и не гос..яндекс был представлен очень широко, их IP было много.) докладываю, что гладко было на бумаге.. крупные операторы из б3 имели кто что, у одних "специфика маршрутизации" отправляла в бесконечные циклы по их сети и прочим европам и обратно, у других дпи блочил пакеты по содержимому.. ну то есть вроде сессия есть и... опа, 1 пакет заблочился и все ретрансмиты его тоже.. таймаут из этого положения ну уровне ТСП дооолго. что уж там DPI поймал в мусоре (далеко не в начале SSL сессии пакеты мало отличимы от /dev/random). Когда сессий много и они длинные, ломает работу серьезно. это не 2% потерь, когда теряются случайны пакеты, там перепошлется и поедет дальше. тут все, сессия умирает до таймаута. вроде и % потерь смешной, а не работает нихрена. Как там у мелких вообще не известно, наверное у всех по разному, у нас Б3 в аплинках жизни попортила.

 

В чем там "отбивались"  со стороны яндекса не ясно, это больше капание на мозги аплинкам и прочим операторам и борьба с непониманием. (ну или прыг-прыг по IP сервисов, попавших в проблемный пул., если есть где прыгать. нам вот негде было) Ну и решение то в итоге совсем не со стороны технарей, а ктото смог зайти в РКН через нужную дверь,  окрик со стороны РКН в сторону операторов и выкидывание трафика из тех ДПИ, которые вроде как и не должны были бы мешать.

Share this post


Link to post
Share on other sites

А когда началось то?

У меня некоторые клиенты жаловались на проблемы с отправкой файлов через вацап и твиттер , но еще в ночь на четверг, а не на пятницу.

воспроизвести не удалось

 

Share this post


Link to post
Share on other sites
2 часа назад, vurd сказал:

Я знаю одного оператора, который так делает принципиально после штрафа в 300 тысяч, который не удалось обжаловать.

По поводу volume трафика вопрос спорный, т.к. на систему фильтрации попадает исходящий трафик и 99% это не загрузка терабайтных файлов, а обычные http-host:ya.ru,etc

у яндекса IP было очень не мало не только фронтов веба, но и с тяжелым контентом тоже. Чувак отдавал 2-х NS разные наборы каждые 60 сек снова разные, я наловил снимая сильно реже более 6000 разных IP на его трех именах в 2-х доменах.

 

48 минут назад, LostSoul сказал:

А когда началось то?

У меня некоторые клиенты жаловались на проблемы с отправкой файлов через вацап и твиттер , но еще в ночь на четверг, а не на пятницу.

воспроизвести не удалось

 

про твитер не знаю, вотцап сообщал что у него проблемы в европе (ну и у нас заодно). в Германии тоже не работало. 

 

началось.. домен из добавленных давно в РКН, давно просроченный и освобожденный зареган снова

Creation Date: 2019-03-01T20:14:29.00Z

ну примерно тогда и началаось, нарастающим итогом. пока сресолвилось покато пока се... сначала у одних потом у других, сначала эти IP потом еще и эти, потом еще...

 

Похоже и мальчика нашли, все NSы отвечать "вдруг" перестали..

Share this post


Link to post
Share on other sites
2 часа назад, st_re сказал:

про твитер не знаю, вотцап сообщал что у него проблемы в европе (ну и у нас заодно). в Германии тоже не работало. 

а какая вообще связь?

неужели немцам тоже пора срочно закон о суверенном германском интернете принимать?

 

Share this post


Link to post
Share on other sites
5 hours ago, st_re said:

Похоже и мальчика нашли, все NSы отвечать "вдруг" перестали..

Что сие означает? NSы вообще не отвечают или не отвечают по "участвующим" доменам?

Share this post


Link to post
Share on other sites

ну те конкретные, на те 2 домена. Вообще не отвечают. Походу они на его мощностях и были. Один за пределами юрисдикции РКН и он тоже не отвечает как изнутри так и из вне...

Share this post


Link to post
Share on other sites

Хм, мне одному кажется что в действиях персонала РКН усматривается 274 УК? А учитывая наличие "интересных" сайтов, то и 274 ч. 2.

 

Увы, инициаторы атаки на ближайшие 5 лет будут вынуждены сменить место, сферу, и род деятельности. А мы как порядочные граждане должны будем им подержать дверь. Автозака.

Share this post


Link to post
Share on other sites
3 часа назад, lxxxzzz сказал:

 

Увы, инициаторы атаки на ближайшие 5 лет будут вынуждены сменить место, сферу, и род деятельности. А мы как порядочные граждане должны будем им подержать дверь. Автозака.

Вы переоцениваете усердие и проницательность соответствующих органов.

Уверен , что если даже кто-то возбудиться, то ущерб будет оценен как незначительный и дело закрыто.

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this