Перейти к содержимому
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Даже драфт есть, причём старенький:

https://tools.ietf.org/html/draft-ray-tls-encrypted-handshake-00

 

Судя по мейллистам, оно дорабатывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не хочу влезать в детали, но попытка притянуть за уши "внесение подложных данных в DNS" в конечном счёте утыкается в то, что собственно внесение данных в DNS-записи, за исключением технической части, никак не регламентировано - любой может вносить в делегированную ему DNS-зону записи любого типа с абсолютно произвольными данными. При стандартной организации сети на работоспособность сети внесение кем-то данных в свои DNS-зоны не влияет никак.

 

 

Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не хочу влезать в детали, но попытка притянуть за уши "внесение подложных данных в DNS" в конечном счёте утыкается в то, что собственно внесение данных в DNS-записи, за исключением технической части, никак не регламентировано - любой может вносить в делегированную ему DNS-зону записи любого типа с абсолютно произвольными данными. При стандартной организации сети на работоспособность сети внесение кем-то данных в свои DNS-зоны не влияет никак.

 

 

Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов.

Может человек вносит в запись данные для собственного пользования. То есть понятно что наши-то суды могут притянуть за уши что угодно, но владелец домена может любые адреса вешать на домен, домен-то его.

Если я сейчас например добавлю на один из своих доменов адреса вконтактика, ибо мне так нужно/удобно, а завтра этот домен окажется в реестре блокировки, то я теперь террорист?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов.

Сейчас изобретем...

 

Самовольное (незаконное) присвоение информации статуса "информация, распространение которой запрещено" </sarcasm>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может человек вносит в запись данные для собственного пользования

 

Может и вносит. Но не в данном случае,в данном случае был умысел организации DDoS атаки,я думаю,для суда это будет очевидно. Имхо,на хулиганство минимум тянет.

Изменено пользователем fspi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может человек вносит в запись данные для собственного пользования

 

Может и вносит. Но не в данном случае,в данном случае был умысел организации DDoS атаки,я думаю,для суда это будет очевидно. Имхо,на хулиганство минимум тянет.

В этом и проблема. Если суду "очевидно", то как бы зачем тогда и доказательства какие-то.

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

 

Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело.

Изменено пользователем fspi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут ещё мякотка может быть в конечном исполнителе DDoS, если начать это как DDoS расценивать. Причём даже факт несанкционированного доступа к системам найти будет сложно, данные с DNS использовались сознательно.

К счастью, мы не резолвили, у нас DPI :) Нас можно сказать эта проблема вообще не коснулась, если не считать полученных писем от РКН, по которым требовался экшн.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут ещё мякотка может быть в конечном исполнителе DDoS

 

В провайдерах? Нет,провайдеры просто исполняли закон. Был проэксплатирован баг в системе фильтрации запрещенных ресурсов.

Не ну это конечно не DDoS в классическом понимании,но сервисы тем не менее не были доступны.

Изменено пользователем fspi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В провайдерах? Нет,провайдеры просто исполняли закон.

Честно говоря, не видел в законе ничего о том, что нужно самостоятельно резолвить имена и блокировать IP, отсутствующие в реестре запрещённых ресурсов... Но мог и просмотреть.

На форуме есть юристы, вопрос больше к ним. Вообще из чистого любопытства интересно, как это всё квалифицируется, если принять это за DDoS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В провайдерах? Нет,провайдеры просто исполняли закон.

Честно говоря, не видел в законе ничего о том, что нужно самостоятельно резолвить имена и блокировать IP, отсутствующие в реестре запрещённых ресурсов...

На форуме есть юристы, вопрос больше к ним - я мог что-то не дочитать. Вообще уже даже интересно, как это всё квалифицируется, если принять за DDoS.

 

А в законе такого прописывать и не будут,это особенности технической реализации,имхо. В законе написано "Блокировать доступ",а как это вы будете делать,это уже другая повесть. Во всяком случаю моему знакомому из провайдинга,которого РКН затащил в суд из-за неблокировки,так было и озвучено. "Вы обязаны блокировать по закону,а как - нас это ниипет. Не заблокировали - значит нарушили". Поэтому-то провайдеры и стали самостоятельно резолвить.

Изменено пользователем fspi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поэтому-то провайдеры и стали самостоятельно резолвить.

 

Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит.

https://rkn.gov.ru/press/conference/conf19.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

 

Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело.

Версия конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По https от не открывается, только по http?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сделали запрос в ТП о привязках к IP выгрузки реестра, ответ поразил:

Указанный ip-адрес уже входит в белый список Ростелекома, выгрузки с него должны успешно получаться.
Изменено пользователем varney

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место.

Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?!

 

Или другой пример, деньги можно самому напечатать, можно подделать подписи, итп - почему за это садят, вместо того, чтоб "признать кривость системы"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самое, наверное, заметное отличие от приводимого сравнения в том, что в данном случае условная хреновина была заблаговременно расставлена самими организациями по всем точкам и настроена принимать сигнал активации с набора общеизвестных всем телефонных номеров на всем известные же номера. Оставалось только появиться субъекту, который решит позаимствовать себе такой номер и позвонить... Субъекта это, конечно, не оправдывает.

 

---

 

Про DNS ещё, не в тему немножко: так некоторые через него вообще туннели гоняют. Я уже заколебался от китайских (судя по доменам) ботнетов DNS-серверы закрывать, постоянно регают новый домен и снова в путь, нагрузка от заражённых (?) машин на DNS-сервер +100% сразу. Причём запросы троттлят, рейтлимитом+баном так просто не запилишь, приходится нагрузку мониторить. Как подскочило - сразу алерт, смотришь - ага, новый домен туннелит. В локальный абюзстоплист, и снова тишина. На месяц-другой максимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что если не используете DPI, то надо резолвить, потому что ревизор резолвит.

Не нашел по ссылке такого. Очень обтекаемые ответы, которые можно трактовать как угодно, в зависимости от нужного результата.

 

Четко написано только то, что сам ревизор резолвит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

 

Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело.

Версия конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

 

Не вижу жесткой связи. На признание кривости не пойдут,на признание 'специально сделал' пойдут. Итого: РКН и ФСБ молодцы,злобный хакер найден и обезврежен.

 

Конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место.

Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?!

 

Или другой пример, деньги можно самому напечатать, можно подделать подписи, итп - почему за это садят, вместо того, чтоб "признать кривость системы"?

+1

Изменено пользователем fspi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про DNS ещё, не в тему немножко: так некоторые через него вообще туннели гоняют. Я уже заколебался от китайских (судя по доменам) ботнетов DNS-серверы закрывать, постоянно регают новый домен и снова в путь, нагрузка от заражённых (?) машин на DNS-сервер +100% сразу. Причём запросы троттлят, рейтлимитом+баном так просто не запилишь, приходится нагрузку мониторить. Как подскочило - сразу алерт, смотришь - ага, новый домен туннелит. В локальный абюзстоплист, и снова тишина. На месяц-другой максимум.

Я так и не понял, у вас что, публичный резолвер? Или с какой целью он вообще принимает запросы от китайцев?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место.

Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?!

+1.

 

Ни в коей мере не оправдываю действия Роскомнадзора - он ответствен за создание атмосферы страха в среде провайдеров своей неуклюжестью (только на этом форуме - пара-тройка случаев привлечения за случайно проскочившие несколько нарушений), и твердолобостью ("Если с помощью АС "Ревизор" было зафиксировано нарушение, то оно действительно существует."). Но справедливости ради нужно сказать, что некоторые заходят слишком далеко вешая на него всех собак по поводу блокировок невинных сайтов. Первые звоночки [1] были аж в 2014 году. Кто виноват, что крупняки (в первую очередь Ростелеком и ТТК) не предвидели такие ситуации и не создали нужный воркфлоу, чтобы реагировать на неработающий инстаграмм не сутками, а хотя бы в течении пары часов?

 

[1] https://roem.ru/04-04-2014/111652/lyuboy-zablokirovannyy-sayt-mojet-otklyuchit-ves-runet-instrukcii-skripty-ilitnye-proksi-kommentariy-matveya-alekseeva/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поэтому-то провайдеры и стали самостоятельно резолвить.

 

Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит.

https://rkn.gov.ru/press/conference/conf19.htm

Не знаю что там на конференциях пишут но в рекомендациях по блокировке в случае если не используется DPI предлагают подменять ответы DNS серверов. По идее в таком случае ресолвить то и не надо.

У нас тут программист с zerocopy и ndpi экспериментирует - при блокировке запросов DNS на неправильные домены в первой итерации получается меньше 1% пропусков. Там ещё с парсингом куча вопросов. Уж больно своеобразные записи в реестре встречаются.

Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так и не понял, у вас что, публичный резолвер? Или с какой целью он вообще принимает запросы от китайцев?

Не. Там хитрее. У нас резолвер для абонентов. Есть домен, условно 12345.cn. И на его поддомены, длинные, типа ykhwzb5...rcz.12345.cn начинают лететь запросы от заражённых видимо или туннельных машин. Абонентских, да. Рекурсер их естественно резолвит, в ответ TXT тоже с какими-то данными. Всё бы ничего, они их даже тротлить научились, чтобы в бан по рейтлимиту (мы баним на 5 минут) не попасть, но вот кэши на резолвере загаживаются в хлам. А для большого резолвера это критично. Ну как критично - отказов нет конечно, там запас 4-5x, но нагрузка на ноду растёт. И на всех остальных (authoritative), потому что когда кэш загажен, большинство запросов пролетает насквозь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать?

Мы отрезаем # и все что за ним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имхо единственно правильный способ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.