Alex/AT Опубликовано 13 июня, 2017 · Жалоба Даже драфт есть, причём старенький: https://tools.ietf.org/html/draft-ray-tls-encrypted-handshake-00 Судя по мейллистам, оно дорабатывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 13 июня, 2017 · Жалоба Не хочу влезать в детали, но попытка притянуть за уши "внесение подложных данных в DNS" в конечном счёте утыкается в то, что собственно внесение данных в DNS-записи, за исключением технической части, никак не регламентировано - любой может вносить в делегированную ему DNS-зону записи любого типа с абсолютно произвольными данными. При стандартной организации сети на работоспособность сети внесение кем-то данных в свои DNS-зоны не влияет никак. Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 13 июня, 2017 · Жалоба Не хочу влезать в детали, но попытка притянуть за уши "внесение подложных данных в DNS" в конечном счёте утыкается в то, что собственно внесение данных в DNS-записи, за исключением технической части, никак не регламентировано - любой может вносить в делегированную ему DNS-зону записи любого типа с абсолютно произвольными данными. При стандартной организации сети на работоспособность сети внесение кем-то данных в свои DNS-зоны не влияет никак. Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов. Может человек вносит в запись данные для собственного пользования. То есть понятно что наши-то суды могут притянуть за уши что угодно, но владелец домена может любые адреса вешать на домен, домен-то его. Если я сейчас например добавлю на один из своих доменов адреса вконтактика, ибо мне так нужно/удобно, а завтра этот домен окажется в реестре блокировки, то я теперь террорист? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 13 июня, 2017 · Жалоба Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов. Сейчас изобретем... Самовольное (незаконное) присвоение информации статуса "информация, распространение которой запрещено" </sarcasm> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 13 июня, 2017 (изменено) · Жалоба Может человек вносит в запись данные для собственного пользования Может и вносит. Но не в данном случае,в данном случае был умысел организации DDoS атаки,я думаю,для суда это будет очевидно. Имхо,на хулиганство минимум тянет. Изменено 13 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 13 июня, 2017 · Жалоба Может человек вносит в запись данные для собственного пользования Может и вносит. Но не в данном случае,в данном случае был умысел организации DDoS атаки,я думаю,для суда это будет очевидно. Имхо,на хулиганство минимум тянет. В этом и проблема. Если суду "очевидно", то как бы зачем тогда и доказательства какие-то. В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 13 июня, 2017 (изменено) · Жалоба В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта. Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело. Изменено 13 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 13 июня, 2017 · Жалоба Тут ещё мякотка может быть в конечном исполнителе DDoS, если начать это как DDoS расценивать. Причём даже факт несанкционированного доступа к системам найти будет сложно, данные с DNS использовались сознательно. К счастью, мы не резолвили, у нас DPI :) Нас можно сказать эта проблема вообще не коснулась, если не считать полученных писем от РКН, по которым требовался экшн. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 13 июня, 2017 (изменено) · Жалоба Тут ещё мякотка может быть в конечном исполнителе DDoS В провайдерах? Нет,провайдеры просто исполняли закон. Был проэксплатирован баг в системе фильтрации запрещенных ресурсов. Не ну это конечно не DDoS в классическом понимании,но сервисы тем не менее не были доступны. Изменено 13 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 13 июня, 2017 · Жалоба В провайдерах? Нет,провайдеры просто исполняли закон. Честно говоря, не видел в законе ничего о том, что нужно самостоятельно резолвить имена и блокировать IP, отсутствующие в реестре запрещённых ресурсов... Но мог и просмотреть. На форуме есть юристы, вопрос больше к ним. Вообще из чистого любопытства интересно, как это всё квалифицируется, если принять это за DDoS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 13 июня, 2017 (изменено) · Жалоба В провайдерах? Нет,провайдеры просто исполняли закон. Честно говоря, не видел в законе ничего о том, что нужно самостоятельно резолвить имена и блокировать IP, отсутствующие в реестре запрещённых ресурсов... На форуме есть юристы, вопрос больше к ним - я мог что-то не дочитать. Вообще уже даже интересно, как это всё квалифицируется, если принять за DDoS. А в законе такого прописывать и не будут,это особенности технической реализации,имхо. В законе написано "Блокировать доступ",а как это вы будете делать,это уже другая повесть. Во всяком случаю моему знакомому из провайдинга,которого РКН затащил в суд из-за неблокировки,так было и озвучено. "Вы обязаны блокировать по закону,а как - нас это ниипет. Не заблокировали - значит нарушили". Поэтому-то провайдеры и стали самостоятельно резолвить. Изменено 13 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 13 июня, 2017 · Жалоба Поэтому-то провайдеры и стали самостоятельно резолвить. Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит. https://rkn.gov.ru/press/conference/conf19.htm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 13 июня, 2017 · Жалоба В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта. Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело. Версия конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 13 июня, 2017 · Жалоба https://rkn.gov.ru/p...ence/conf19.htm По https от не открывается, только по http? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
varney Опубликовано 13 июня, 2017 (изменено) · Жалоба сделали запрос в ТП о привязках к IP выгрузки реестра, ответ поразил: Указанный ip-адрес уже входит в белый список Ростелекома, выгрузки с него должны успешно получаться. Изменено 13 июня, 2017 пользователем varney Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 13 июня, 2017 · Жалоба Конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут? Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место. Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?! Или другой пример, деньги можно самому напечатать, можно подделать подписи, итп - почему за это садят, вместо того, чтоб "признать кривость системы"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 13 июня, 2017 · Жалоба Самое, наверное, заметное отличие от приводимого сравнения в том, что в данном случае условная хреновина была заблаговременно расставлена самими организациями по всем точкам и настроена принимать сигнал активации с набора общеизвестных всем телефонных номеров на всем известные же номера. Оставалось только появиться субъекту, который решит позаимствовать себе такой номер и позвонить... Субъекта это, конечно, не оправдывает. --- Про DNS ещё, не в тему немножко: так некоторые через него вообще туннели гоняют. Я уже заколебался от китайских (судя по доменам) ботнетов DNS-серверы закрывать, постоянно регают новый домен и снова в путь, нагрузка от заражённых (?) машин на DNS-сервер +100% сразу. Причём запросы троттлят, рейтлимитом+баном так просто не запилишь, приходится нагрузку мониторить. Как подскочило - сразу алерт, смотришь - ага, новый домен туннелит. В локальный абюзстоплист, и снова тишина. На месяц-другой максимум. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 13 июня, 2017 · Жалоба что если не используете DPI, то надо резолвить, потому что ревизор резолвит. Не нашел по ссылке такого. Очень обтекаемые ответы, которые можно трактовать как угодно, в зависимости от нужного результата. Четко написано только то, что сам ревизор резолвит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fspi Опубликовано 14 июня, 2017 (изменено) · Жалоба В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта. Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело. Версия конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут? Не вижу жесткой связи. На признание кривости не пойдут,на признание 'специально сделал' пойдут. Итого: РКН и ФСБ молодцы,злобный хакер найден и обезврежен. Конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут? Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место. Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?! Или другой пример, деньги можно самому напечатать, можно подделать подписи, итп - почему за это садят, вместо того, чтоб "признать кривость системы"? +1 Изменено 14 июня, 2017 пользователем fspi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 14 июня, 2017 · Жалоба Про DNS ещё, не в тему немножко: так некоторые через него вообще туннели гоняют. Я уже заколебался от китайских (судя по доменам) ботнетов DNS-серверы закрывать, постоянно регают новый домен и снова в путь, нагрузка от заражённых (?) машин на DNS-сервер +100% сразу. Причём запросы троттлят, рейтлимитом+баном так просто не запилишь, приходится нагрузку мониторить. Как подскочило - сразу алерт, смотришь - ага, новый домен туннелит. В локальный абюзстоплист, и снова тишина. На месяц-другой максимум. Я так и не понял, у вас что, публичный резолвер? Или с какой целью он вообще принимает запросы от китайцев? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 14 июня, 2017 · Жалоба Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место. Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?! +1. Ни в коей мере не оправдываю действия Роскомнадзора - он ответствен за создание атмосферы страха в среде провайдеров своей неуклюжестью (только на этом форуме - пара-тройка случаев привлечения за случайно проскочившие несколько нарушений), и твердолобостью ("Если с помощью АС "Ревизор" было зафиксировано нарушение, то оно действительно существует."). Но справедливости ради нужно сказать, что некоторые заходят слишком далеко вешая на него всех собак по поводу блокировок невинных сайтов. Первые звоночки [1] были аж в 2014 году. Кто виноват, что крупняки (в первую очередь Ростелеком и ТТК) не предвидели такие ситуации и не создали нужный воркфлоу, чтобы реагировать на неработающий инстаграмм не сутками, а хотя бы в течении пары часов? [1] https://roem.ru/04-04-2014/111652/lyuboy-zablokirovannyy-sayt-mojet-otklyuchit-ves-runet-instrukcii-skripty-ilitnye-proksi-kommentariy-matveya-alekseeva/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 · Жалоба Поэтому-то провайдеры и стали самостоятельно резолвить. Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит. https://rkn.gov.ru/press/conference/conf19.htm Не знаю что там на конференциях пишут но в рекомендациях по блокировке в случае если не используется DPI предлагают подменять ответы DNS серверов. По идее в таком случае ресолвить то и не надо. У нас тут программист с zerocopy и ndpi экспериментирует - при блокировке запросов DNS на неправильные домены в первой итерации получается меньше 1% пропусков. Там ещё с парсингом куча вопросов. Уж больно своеобразные записи в реестре встречаются. Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 14 июня, 2017 · Жалоба Я так и не понял, у вас что, публичный резолвер? Или с какой целью он вообще принимает запросы от китайцев? Не. Там хитрее. У нас резолвер для абонентов. Есть домен, условно 12345.cn. И на его поддомены, длинные, типа ykhwzb5...rcz.12345.cn начинают лететь запросы от заражённых видимо или туннельных машин. Абонентских, да. Рекурсер их естественно резолвит, в ответ TXT тоже с какими-то данными. Всё бы ничего, они их даже тротлить научились, чтобы в бан по рейтлимиту (мы баним на 5 минут) не попасть, но вот кэши на резолвере загаживаются в хлам. А для большого резолвера это критично. Ну как критично - отказов нет конечно, там запас 4-5x, но нагрузка на ноду растёт. И на всех остальных (authoritative), потому что когда кэш загажен, большинство запросов пролетает насквозь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 14 июня, 2017 · Жалоба Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать? Мы отрезаем # и все что за ним. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 14 июня, 2017 · Жалоба Имхо единственно правильный способ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...