Jump to content

Уязвимость в реестре РКН привела к DNS-атакам на “Яндекс”

Robot_NagNews
 Share

Recommended Posts

TheUser

TheUser

Posted
Posted

В "Яндексе" подчеркнули, что отражали эту атаку несколько суток

Какие молодцы.

 

В "Яндексе" считают, что использование "белых списков" нужно сделать обязательным для всех операторов.

Вношу встречное предложение: предлагаю всем операторам заблокировать Яндекс чтобы им больше не пришлось отражать какие-либо атаки.

 

vurd

vurd

Posted
Posted

Что-то я нихрена не понял. В чем заключается аттака то?

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

Отвернуло с брасов на сервис фильтрации, там было пропущено дальше, пришло в яндекс. И? Чем это отличается для яндекса от обычного запроса из вне и что они там отражали несколько суток?

 

Где-нибудь можно почитать технический разбор?

vurd

vurd

Posted
Posted
5 минут назад, EShirokiy сказал:

@vurd некоторые сверхразумы блочат по IP + высокая нагрузка на блокировщики

Так. Еще раз. Яндекс боролся в течении нескольких суток именно с этим? Менял IP-адреса фронтендов что-ли раз в 10 минут?

alibek

alibek

Posted
Posted
32 минуты назад, vurd сказал:

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

И абоненты операторов, которые блокируют по IP, потеряли доступ к Яндексу.

VVSina

VVSina

Posted
Posted
3 hours ago, Robot_NagNews said:

Материал: “Яндекс” и ряд интернет-холдингов несколько дней назад подверглись мощной DNS-атаке. Для атаки применили уже известную многим уязвимость в системе блокировки Роскомнадзора. Полный текст

В законах нету, а по факту пару раз прилетал на почту exel файлик со списком "белых и пушистых" сайтов.

Rivia

Rivia

Posted
Posted
30 minutes ago, alibek said:

И абоненты операторов, которые блокируют по IP, потеряли доступ к Яндексу.

И много таких осталось?

Там скорее иная ситуация - у крупняков трафик (уверен на 95%) заворачивается по ип-адресам/сетям на системы фильтрации в целях экономии ресурсов. Эти адреса попадают туда как есть из списка блокировок + скорее всего по резолву домена. И когда на эти системы фильтрации начинает переть вместо условных 100-200 мбит несколько-десяток гигабит - тут-то системе и плохеет, отсюда задержка доставки пакетов/дропы и т.п.

vurd

vurd

Posted
Posted
8 минут назад, Rivia сказал:

И много таких осталось?

Там скорее иная ситуация - у крупняков трафик (уверен на 95%) заворачивается по ип-адресам/сетям на системы фильтрации в целях экономии ресурсов. Эти адреса попадают туда как есть из списка блокировок + скорее всего по резолву домена. И когда на эти системы фильтрации начинает переть вместо условных 100-200 мбит несколько-десяток гигабит - тут-то системе и плохеет, отсюда задержка доставки пакетов/дропы и т.п.

Я знаю одного оператора, который так делает принципиально после штрафа в 300 тысяч, который не удалось обжаловать.

По поводу volume трафика вопрос спорный, т.к. на систему фильтрации попадает исходящий трафик и 99% это не загрузка терабайтных файлов, а обычные http-host:ya.ru,etc

st_re

st_re

Posted
Posted
2 часа назад, vurd сказал:

Что-то я нихрена не понял. В чем заключается аттака то?

Ну взяли на заблокированном домене прописали A на ip яндекса. И что?

Отвернуло с брасов на сервис фильтрации, там было пропущено дальше, пришло в яндекс. И? Чем это отличается для яндекса от обычного запроса из вне и что они там отражали несколько суток?

 

Где-нибудь можно почитать технический разбор?

Как поучаствоваший в развлекухе (мы были представлены в той же отдаче IP с той же пары доменов, зареганых походу студентом из одного универчика., кто отдавал IP яндекса, там карусель из IP была большая, кого там только не было и гос и не гос..яндекс был представлен очень широко, их IP было много.) докладываю, что гладко было на бумаге.. крупные операторы из б3 имели кто что, у одних "специфика маршрутизации" отправляла в бесконечные циклы по их сети и прочим европам и обратно, у других дпи блочил пакеты по содержимому.. ну то есть вроде сессия есть и... опа, 1 пакет заблочился и все ретрансмиты его тоже.. таймаут из этого положения ну уровне ТСП дооолго. что уж там DPI поймал в мусоре (далеко не в начале SSL сессии пакеты мало отличимы от /dev/random). Когда сессий много и они длинные, ломает работу серьезно. это не 2% потерь, когда теряются случайны пакеты, там перепошлется и поедет дальше. тут все, сессия умирает до таймаута. вроде и % потерь смешной, а не работает нихрена. Как там у мелких вообще не известно, наверное у всех по разному, у нас Б3 в аплинках жизни попортила.

 

В чем там "отбивались"  со стороны яндекса не ясно, это больше капание на мозги аплинкам и прочим операторам и борьба с непониманием. (ну или прыг-прыг по IP сервисов, попавших в проблемный пул., если есть где прыгать. нам вот негде было) Ну и решение то в итоге совсем не со стороны технарей, а ктото смог зайти в РКН через нужную дверь,  окрик со стороны РКН в сторону операторов и выкидывание трафика из тех ДПИ, которые вроде как и не должны были бы мешать.

LostSoul

LostSoul

Posted
Posted

А когда началось то?

У меня некоторые клиенты жаловались на проблемы с отправкой файлов через вацап и твиттер , но еще в ночь на четверг, а не на пятницу.

воспроизвести не удалось

 

st_re

st_re

Posted
Posted
2 часа назад, vurd сказал:

Я знаю одного оператора, который так делает принципиально после штрафа в 300 тысяч, который не удалось обжаловать.

По поводу volume трафика вопрос спорный, т.к. на систему фильтрации попадает исходящий трафик и 99% это не загрузка терабайтных файлов, а обычные http-host:ya.ru,etc

у яндекса IP было очень не мало не только фронтов веба, но и с тяжелым контентом тоже. Чувак отдавал 2-х NS разные наборы каждые 60 сек снова разные, я наловил снимая сильно реже более 6000 разных IP на его трех именах в 2-х доменах.

 

48 минут назад, LostSoul сказал:

А когда началось то?

У меня некоторые клиенты жаловались на проблемы с отправкой файлов через вацап и твиттер , но еще в ночь на четверг, а не на пятницу.

воспроизвести не удалось

 

про твитер не знаю, вотцап сообщал что у него проблемы в европе (ну и у нас заодно). в Германии тоже не работало. 

 

началось.. домен из добавленных давно в РКН, давно просроченный и освобожденный зареган снова

Creation Date: 2019-03-01T20:14:29.00Z

ну примерно тогда и началаось, нарастающим итогом. пока сресолвилось покато пока се... сначала у одних потом у других, сначала эти IP потом еще и эти, потом еще...

 

Похоже и мальчика нашли, все NSы отвечать "вдруг" перестали..

LostSoul

LostSoul

Posted
Posted
2 часа назад, st_re сказал:

про твитер не знаю, вотцап сообщал что у него проблемы в европе (ну и у нас заодно). в Германии тоже не работало. 

а какая вообще связь?

неужели немцам тоже пора срочно закон о суверенном германском интернете принимать?

 

Rivia

Rivia

Posted
Posted
5 hours ago, st_re said:

Похоже и мальчика нашли, все NSы отвечать "вдруг" перестали..

Что сие означает? NSы вообще не отвечают или не отвечают по "участвующим" доменам?

st_re

st_re

Posted
Posted

ну те конкретные, на те 2 домена. Вообще не отвечают. Походу они на его мощностях и были. Один за пределами юрисдикции РКН и он тоже не отвечает как изнутри так и из вне...

lxxxzzz

lxxxzzz

Posted
Posted

Хм, мне одному кажется что в действиях персонала РКН усматривается 274 УК? А учитывая наличие "интересных" сайтов, то и 274 ч. 2.

 

Увы, инициаторы атаки на ближайшие 5 лет будут вынуждены сменить место, сферу, и род деятельности. А мы как порядочные граждане должны будем им подержать дверь. Автозака.

LostSoul

LostSoul

Posted
Posted
3 часа назад, lxxxzzz сказал:

 

Увы, инициаторы атаки на ближайшие 5 лет будут вынуждены сменить место, сферу, и род деятельности. А мы как порядочные граждане должны будем им подержать дверь. Автозака.

Вы переоцениваете усердие и проницательность соответствующих органов.

Уверен , что если даже кто-то возбудиться, то ущерб будет оценен как незначительный и дело закрыто.

 

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.