Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

В теме последних событий хотелось бы еще напомнить о существовании в ietf наработок по encrypted SNI. В случае внедрения подобного с учетом преобладания https трафика DPI в общем превращаются в potato.

Share this post


Link to post
Share on other sites

Не хочу влезать в детали, но попытка притянуть за уши "внесение подложных данных в DNS" в конечном счёте утыкается в то, что собственно внесение данных в DNS-записи, за исключением технической части, никак не регламентировано - любой может вносить в делегированную ему DNS-зону записи любого типа с абсолютно произвольными данными. При стандартной организации сети на работоспособность сети внесение кем-то данных в свои DNS-зоны не влияет никак.

 

 

Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов.

Share this post


Link to post
Share on other sites

Не хочу влезать в детали, но попытка притянуть за уши "внесение подложных данных в DNS" в конечном счёте утыкается в то, что собственно внесение данных в DNS-записи, за исключением технической части, никак не регламентировано - любой может вносить в делегированную ему DNS-зону записи любого типа с абсолютно произвольными данными. При стандартной организации сети на работоспособность сети внесение кем-то данных в свои DNS-зоны не влияет никак.

 

 

Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов.

Может человек вносит в запись данные для собственного пользования. То есть понятно что наши-то суды могут притянуть за уши что угодно, но владелец домена может любые адреса вешать на домен, домен-то его.

Если я сейчас например добавлю на один из своих доменов адреса вконтактика, ибо мне так нужно/удобно, а завтра этот домен окажется в реестре блокировки, то я теперь террорист?

Share this post


Link to post
Share on other sites

Умышленное внесение данных с целью организации DDoS-атаки? Приведшее к недоступности определенных ресурсов.

Сейчас изобретем...

 

Самовольное (незаконное) присвоение информации статуса "информация, распространение которой запрещено" </sarcasm>

Share this post


Link to post
Share on other sites

Может человек вносит в запись данные для собственного пользования

 

Может и вносит. Но не в данном случае,в данном случае был умысел организации DDoS атаки,я думаю,для суда это будет очевидно. Имхо,на хулиганство минимум тянет.

Edited by fspi

Share this post


Link to post
Share on other sites

Может человек вносит в запись данные для собственного пользования

 

Может и вносит. Но не в данном случае,в данном случае был умысел организации DDoS атаки,я думаю,для суда это будет очевидно. Имхо,на хулиганство минимум тянет.

В этом и проблема. Если суду "очевидно", то как бы зачем тогда и доказательства какие-то.

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

Share this post


Link to post
Share on other sites

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

 

Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело.

Edited by fspi

Share this post


Link to post
Share on other sites

Тут ещё мякотка может быть в конечном исполнителе DDoS, если начать это как DDoS расценивать. Причём даже факт несанкционированного доступа к системам найти будет сложно, данные с DNS использовались сознательно.

К счастью, мы не резолвили, у нас DPI :) Нас можно сказать эта проблема вообще не коснулась, если не считать полученных писем от РКН, по которым требовался экшн.

Share this post


Link to post
Share on other sites

Тут ещё мякотка может быть в конечном исполнителе DDoS

 

В провайдерах? Нет,провайдеры просто исполняли закон. Был проэксплатирован баг в системе фильтрации запрещенных ресурсов.

Не ну это конечно не DDoS в классическом понимании,но сервисы тем не менее не были доступны.

Edited by fspi

Share this post


Link to post
Share on other sites
В провайдерах? Нет,провайдеры просто исполняли закон.

Честно говоря, не видел в законе ничего о том, что нужно самостоятельно резолвить имена и блокировать IP, отсутствующие в реестре запрещённых ресурсов... Но мог и просмотреть.

На форуме есть юристы, вопрос больше к ним. Вообще из чистого любопытства интересно, как это всё квалифицируется, если принять это за DDoS.

Share this post


Link to post
Share on other sites
В провайдерах? Нет,провайдеры просто исполняли закон.

Честно говоря, не видел в законе ничего о том, что нужно самостоятельно резолвить имена и блокировать IP, отсутствующие в реестре запрещённых ресурсов...

На форуме есть юристы, вопрос больше к ним - я мог что-то не дочитать. Вообще уже даже интересно, как это всё квалифицируется, если принять за DDoS.

 

А в законе такого прописывать и не будут,это особенности технической реализации,имхо. В законе написано "Блокировать доступ",а как это вы будете делать,это уже другая повесть. Во всяком случаю моему знакомому из провайдинга,которого РКН затащил в суд из-за неблокировки,так было и озвучено. "Вы обязаны блокировать по закону,а как - нас это ниипет. Не заблокировали - значит нарушили". Поэтому-то провайдеры и стали самостоятельно резолвить.

Edited by fspi

Share this post


Link to post
Share on other sites

Поэтому-то провайдеры и стали самостоятельно резолвить.

 

Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит.

https://rkn.gov.ru/press/conference/conf19.htm

Share this post


Link to post
Share on other sites

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

 

Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело.

Версия конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

Share this post


Link to post
Share on other sites

сделали запрос в ТП о привязках к IP выгрузки реестра, ответ поразил:

Указанный ip-адрес уже входит в белый список Ростелекома, выгрузки с него должны успешно получаться.
Edited by varney

Share this post


Link to post
Share on other sites

Конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место.

Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?!

 

Или другой пример, деньги можно самому напечатать, можно подделать подписи, итп - почему за это садят, вместо того, чтоб "признать кривость системы"?

Share this post


Link to post
Share on other sites

Самое, наверное, заметное отличие от приводимого сравнения в том, что в данном случае условная хреновина была заблаговременно расставлена самими организациями по всем точкам и настроена принимать сигнал активации с набора общеизвестных всем телефонных номеров на всем известные же номера. Оставалось только появиться субъекту, который решит позаимствовать себе такой номер и позвонить... Субъекта это, конечно, не оправдывает.

 

---

 

Про DNS ещё, не в тему немножко: так некоторые через него вообще туннели гоняют. Я уже заколебался от китайских (судя по доменам) ботнетов DNS-серверы закрывать, постоянно регают новый домен и снова в путь, нагрузка от заражённых (?) машин на DNS-сервер +100% сразу. Причём запросы троттлят, рейтлимитом+баном так просто не запилишь, приходится нагрузку мониторить. Как подскочило - сразу алерт, смотришь - ага, новый домен туннелит. В локальный абюзстоплист, и снова тишина. На месяц-другой максимум.

Share this post


Link to post
Share on other sites

что если не используете DPI, то надо резолвить, потому что ревизор резолвит.

Не нашел по ссылке такого. Очень обтекаемые ответы, которые можно трактовать как угодно, в зависимости от нужного результата.

 

Четко написано только то, что сам ревизор резолвит.

Share this post


Link to post
Share on other sites

В данном случае данный персонаж поступил глупо всем рассказав о том что он сделал и зачем. В противном случае можно сказать что купил домен для собственных нужд и знать не знаю про блокировки какие-то и реестры, мне по работе вот нужно было сделать собственный днс алиас на яндекс для каких-нибудь метрик своего сайта.

 

Так я и про это. Можно было "включить дурака",но ЧСВ (или тщеславие) подвело.

Версия конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

 

Не вижу жесткой связи. На признание кривости не пойдут,на признание 'специально сделал' пойдут. Итого: РКН и ФСБ молодцы,злобный хакер найден и обезврежен.

 

Конспирологическая: сознательно нарывается. Смысл в том, что формальное 'он специально так сделал' равнозначно формальному признанию 'у нас система настолько кривая, что каждый желающий воспользоваться может'. На признание кривости - пойдут?

Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место.

Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?!

 

Или другой пример, деньги можно самому напечатать, можно подделать подписи, итп - почему за это садят, вместо того, чтоб "признать кривость системы"?

+1

Edited by fspi

Share this post


Link to post
Share on other sites
Про DNS ещё, не в тему немножко: так некоторые через него вообще туннели гоняют. Я уже заколебался от китайских (судя по доменам) ботнетов DNS-серверы закрывать, постоянно регают новый домен и снова в путь, нагрузка от заражённых (?) машин на DNS-сервер +100% сразу. Причём запросы троттлят, рейтлимитом+баном так просто не запилишь, приходится нагрузку мониторить. Как подскочило - сразу алерт, смотришь - ага, новый домен туннелит. В локальный абюзстоплист, и снова тишина. На месяц-другой максимум.

Я так и не понял, у вас что, публичный резолвер? Или с какой целью он вообще принимает запросы от китайцев?

Share this post


Link to post
Share on other sites

Взрывчатку тоже можно из доступных в хозяйственном магазине материалов сделать, с большой вероятностью удастся пронести её в метро, или другое людное место.

Это повод так делать, с криками "Ха-ха-ха, у вас система настолько кривая, что я вас взорвал! Теперь-то признаете кривость системы?" ?!

+1.

 

Ни в коей мере не оправдываю действия Роскомнадзора - он ответствен за создание атмосферы страха в среде провайдеров своей неуклюжестью (только на этом форуме - пара-тройка случаев привлечения за случайно проскочившие несколько нарушений), и твердолобостью ("Если с помощью АС "Ревизор" было зафиксировано нарушение, то оно действительно существует."). Но справедливости ради нужно сказать, что некоторые заходят слишком далеко вешая на него всех собак по поводу блокировок невинных сайтов. Первые звоночки [1] были аж в 2014 году. Кто виноват, что крупняки (в первую очередь Ростелеком и ТТК) не предвидели такие ситуации и не создали нужный воркфлоу, чтобы реагировать на неработающий инстаграмм не сутками, а хотя бы в течении пары часов?

 

[1] https://roem.ru/04-04-2014/111652/lyuboy-zablokirovannyy-sayt-mojet-otklyuchit-ves-runet-instrukcii-skripty-ilitnye-proksi-kommentariy-matveya-alekseeva/

Share this post


Link to post
Share on other sites

Поэтому-то провайдеры и стали самостоятельно резолвить.

 

Ну вот уже легенды пошли. Почитайте любую конференцию РКН: они там сами говорят, что если не используете DPI, то надо резолвить, потому что ревизор резолвит.

https://rkn.gov.ru/press/conference/conf19.htm

Не знаю что там на конференциях пишут но в рекомендациях по блокировке в случае если не используется DPI предлагают подменять ответы DNS серверов. По идее в таком случае ресолвить то и не надо.

У нас тут программист с zerocopy и ndpi экспериментирует - при блокировке запросов DNS на неправильные домены в первой итерации получается меньше 1% пропусков. Там ещё с парсингом куча вопросов. Уж больно своеобразные записи в реестре встречаются.

Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать?

Share this post


Link to post
Share on other sites

Я так и не понял, у вас что, публичный резолвер? Или с какой целью он вообще принимает запросы от китайцев?

Не. Там хитрее. У нас резолвер для абонентов. Есть домен, условно 12345.cn. И на его поддомены, длинные, типа ykhwzb5...rcz.12345.cn начинают лететь запросы от заражённых видимо или туннельных машин. Абонентских, да. Рекурсер их естественно резолвит, в ответ TXT тоже с какими-то данными. Всё бы ничего, они их даже тротлить научились, чтобы в бан по рейтлимиту (мы баним на 5 минут) не попасть, но вот кэши на резолвере загаживаются в хлам. А для большого резолвера это критично. Ну как критично - отказов нет конечно, там запас 4-5x, но нагрузка на ноду растёт. И на всех остальных (authoritative), потому что когда кэш загажен, большинство запросов пролетает насквозь.

Share this post


Link to post
Share on other sites

Никто не задумывался как надо URL c "#" правильно парсить и обрабатывать?

Мы отрезаем # и все что за ним.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now