Comments 42
При этом, в неофициальных разговорах источник из «Радиочастотного центра» утверждает, цитирую, «ни у одного крупного или среднего [оператора] [DNS-атака] не работает. я не беру в расчет оператора деревни, у которого 100 абонентов».

Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.
Очень странно. Зачем покупать домены в даркнете? Что мешает взять выгрузку, которую регулярно сливают на GitHub, самостоятельно обнаружить в ней «протухшие» домены и зарегистрировать их? Сдаётся мне, тут «учёный изнасиловад журналиста».
Может быть потому что так придется регистрировать домен на себя, а в дакнете можно просто сказать «поставь туда вот такой IP».
Можно искать «Протухшие». Но найти такие будет крайне сложно — ведь не один ты их ищеш.
Другое дело — купить ещё не освобожденный домен, но выставленный на продажу именно для этих целей. Может быть даже без смены владельца, дабы не палиться самому (Как писали комментом выше).
А некоторые вообще владельца не меняют, а лиш предоставляют возможность внести требуемые IP адреса в блокированный домен, между делом предоставляя гарантию, что в случае проблемы ваш список IP будет перенесен на другой домен (Тоже забаненый в Роскомпозоре).
Словом — в даркнете это уже стало бизнесом…
Сложного там нет по словам тех, кто этим занимается: Неугомонный Фил сегодня посчитал
На момент 14 марта 2019 года мне известны как минимум 3027 домена из реестра запрещенных сайтов, доступных для свободной регистрации любым лицом.

Год назад он у себя на сайте чуть ли не каждый день обновлял эту статистику по свободным доменам.
потому что в даркнете продают домены зарегистрированные на чужие ворованные паспорта
Паспортные данные нужны на случай перепродажи домена или его возврата в результате кражи. Для осуществления «атаки» — и без них сойдёт. Не говоря уж о том, что если владелец не является резидентом РФ, то что ему сделают? Прописывать себе какие угодно IP-адреса не запрещено. Если кто-то вздумал отрезолвить мой домен и от того, что он получил, у него накрылась система, то он сам дурак, что так систему выстроил.

image
Технические специалисты «Яндекса» отражали атаку несколько суток

Как они могли отражать «атаку»? Я понимаю, когда так пишет какой-нибудь новостной ресурс, но написать такое на хабре…
Как я могу предполагать, их сервисы меняли IP как телеграмм.

А недавняя новость про кубик Рубика, собранный ногами, как вам? Тоже, думаю, так себе статья на Хабре.

Перекидывали домены на другие IP. Прям как ненавистный некоторым Телеграм бегали от карающего меча правосудия в руках слепой.
от карающего меча правосудия в руках слепой

обезьянки.
Что за бред они несут. Какая еще DNS атака? Купил домен и прописал записи — теперь это атака? LOL
А если вписать адреса какого-нибудь гос.ведомства, то вообще терроризмом попахивает.

А почему нет? Ресурс заблокирован, цель достигнута, ущерб причинен. То, что это делается элементарно, вовсе не означает, что это не атака. Выдернуть из серверов провода — тоже тривиальное действие, но это тоже вполне себе атака с результатом.

На мой взгляд, это неправильно называть "атакой". Давайте разберем ситуацию. Оператор некоего DNS сервера ("доброумышленник"), обслуживающего заблокированный домен, на законных основаниях вносит в него произвольные IP адреса, в том числе крупных популярных в РФ сайтов. Это, как я понимаю, абсолютно законно, более того, доброумышленник может не быть гражданином РФ и не находиться на ее территории.


Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу, получают с него IP-адреса и либо 1) ограничивают к ним доступ, либо 2) направляют трафик на них через DPI, отчего тот захлебывается. Видимо, такие провайдеры хотят выслужиться и показать более высокие показатели качества блокировки.


Я специально бегло проглядел списки блокировок за 10 марта и там следов "атаки" не обнаружил, то есть это не РКН передавал IP для блокировки, а именно чья-то нездоровая инициатива.


Получается, они же сами и виноваты: в первом случае, они виноваты, что вместо строгого следования списку, присланному РКН, проявляют инициативу и добавляют лишние адреса, ломая этим легитимные сервисы. Во втором случае они виноваты в том, что установили слишком слабый DPI и, опять же, направили на него лишний трафик по своей инициативе.


Я считаю, что то, что делают операторы таких DNS серверов — это благое дело и в наших интересах, и вот почему.


Во-первых, шум привлекает внимание к проблеме. Операторов ругают, в итоге у них появляется меньше желания проявлять инициативу и блокировать что-то за пределами реестра. DPI не справляется — и им приходится отказываться от него, используя более легкообходимые методы блокировки. Если такие "атаки" будут продолжаться, DPI придется отключать.


Во-вторых, такие вещи не позволяют РКН автоматически скриптом получать IP сайтов, а вынуждают их делать проверки, тратя на это время людей. Это замедляет работу РКН и ограничивает рост реестра.


В общем, то что делают операторы DNS серверов, несет пользу. Да, могут быть временные проблемы со связью, но в общем итоге это несет больше пользы, чем вреда. Чем больше ада, тем лучше.


Кстати, если вы скачаете новый Firefox, включите в настройках "DNS over HTTPS", и зайдете на сайт с TLS1.3, то DPI будет бесполезен — в такой конфигурации имя домена надежно маскируется и остается только вариант блокировки по IP (для которой DPI не требуется).


Тут еще пишут, что РКН как-то пытается автоматически вычислять прокси для Телеграм, анализируя трафик. Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.


В заключение, интересно посмотреть на мнение Яндекса о проблеме. Может быть, они против блокировок? Конечно, нет, тут они на стороне жуликов, при условии, что им выдадут привилегии:


Представитель пресс-службы «Яндекса» утверждает, что Роскомнадзор уже выработал несколько инструментов защиты компаний, в том числе «Яндекса», от случайного попадания в такие ситуации: ведомство предложило применять белые списки — перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. «Это правильный подход, но этого недостаточно. Необходимо сделать обязательным использование белых списков всеми операторами связи при формировании списка ресурсов для блокировки», — считает представитель «Яндекса».

Белые списки никак не решат проблему. Есть куча других URL, например, представьте, если доброумышленник укажет на своих DNS-серверах IP-адрес мобильного API Инстаграм, например. Это очень популярное приложение, и его блокировка конечно вызовет недовольство людей. Ну и непонятно, чем Яндекс лучше других компаний и почему он должен быть защищен от безумия РКН.

Нельзя ли как-то сделать домен, указать в нем IP Яндекса или ВК, порт 443, и опубликовать информацию, что там якобы расположен прокси Телеграм. Люди начнут добавлять его в настройки и слать на него трафик, РКН его заблокирует и получит по голове за ложную блокировку.

Зачем указывать в нем IP Яндекса? Нужно указать IP роскомнадзора, чтобы он наконец уже заблокировал себе анус!
Затем, что IP Роскомнадзора нужен только двум с половиной анонимам, которые либо работают в отрасли, либо следят за ней.
Далее, некоторые провайдеры вместо того, чтобы использовать предоставленные РКН в реестре адреса, по собственной инициативе зачем-то обращаются к этому DNS-серверу


Это не «по собственной инициативе», это по велению Ревизора (это такой перепрошитый TP-Link, который сидит в сети провайдера и по велению РКН ходит по всяким нехорошим сайтам). Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.
В тоже время я думаю представитель частотного центра прав. По ip крупные операторы не фильтруют.
В http, прям в теле запроса видно видно хост к которому пользователь хочет подключиться и можно сделать редирект на заглушку
в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться и чей сертификат просит и можно сбросить соединение.
Для этого надо проверять весь трафик. Но выбора нет.

Сейчас провел проверку, у меня провайдер ТТК. Внес в /etc/hosts следующую запись

195.82.146.214 test.tes

В итоге получил ошибку сертификата при подключении к http s://test.tes, но целевого сайта(который на самом деле заблокирован я достиг), в тоже время при попытке подключиться к http s://ru tracker org я просто получил сброс соединения.
Если домены не резолвить, то Ревизор при очередной проверке видит, что сайт из списка открывается, и в автоматическом режиме выписывает большой штраф.

А почему меня это должно волновать? Пусть оспаривают штрафы в суде или платят их молча. Если требования не основаны на законе, то не надо их выполнять. Не надо устраивать неформальные блокировки.


В моих интересах, чтобы блокировок было как можно меньше, следовательно действия доброумышленника, ломающего Яндекс и РБК и поднимающего шум в прессе, в моих интересах.


в https, клиент при инициализации ssl подключения передает имя хоста, к которому хочет подключиться

Этого нет в TLS1.3, где имя домена шифруется (если есть нужный ключ в DNS) и шифруется сертификат. Владельцы сайтов должны переходить на TLS1.3, а пользователям стоит устанавливать поддерживающие TLS1.3 браузеры. Также, стоит включить DNS-over-HTTPS (есть в FF), который не позволит провайдеру смотреть ваши DNS-запросы.


С TLS1.3 и DoH остается только блокировка по IP.

Вас это не волнует. А оператора, у которого отберут лицензию и/или впаяют штраф нецензурных размеров — очень даже волнует. Нет у оператора выхода никакого. РКН одновременно говорит «вы не резолвьте домены» и «если стукачок(tp-link их) по адресу достучится до домена — оштрафую». Остаётся только закрыться и уходить в дворники всей конторой.
Можно «стукача» поставить в отдельную подсеть с жесткой фильтрацией. Можно круглый год жаловаться судам, СМИ, депутатам, членам правительства и писать письма Президенту. Можно отказаться предоставлять услуги вообще. Но нет, эти жулики предпочитают подыгрывать РКН и блокировать сверх того, что требуется в реестре. Плевать им на пользователей. Никакого сочувствия к ним не испытываю, а если они разорятся, то порадуюсь за кармическую справедливость.
РКН прямым текстом говорит: «провайдер должен резолвить домены сам». А про «некорректный резолв» РКН только в прессе пишет, когда отмазывается после вот таких вот случаев, который в посте описан.

Вот тут РКН пишет про «некорректный резолвинг». На этой же странице даётся ссылка на «Рекомендации по блокировке для операторов», при попытке перехода на которую отдаётся 404.

В редакции «Рекомендаций» от 2013 года было указано, что оператор должен резолвить домены сам, и не полагаться на поле «IP» в списке блокировки.

А теперь оператор должен изогнуться ещё хлеще:
Рекомендации Роскомнадзора продиктованы интересами пользователей и направлены на исключение избыточной блокировки добропорядочных ресурсов. В частности, при самостоятельном определении оператором связи IP-адреса запрещенного интернет-ресурса, провайдерам рекомендовано проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса .
РКН его заблокирует и получит по голове за ложную блокировку

Это вы сейчас смешную шутку сказали, да.

Примерно любой взлом сайта — тоже всего лишь отправить какие-то байты по сокету. Причем отправка любого из этих 256 байт вполне добропорядочна)
А вот вместе — эксплоит.
По-моему, описанное в статье — вполне атака.

Это, как я понимаю, абсолютно законно
То, что это законно, еще не означает, что атака перестаёт быть атакой. Это лишь означает, что закон слабоват, недоделан и в нём есть такие дырки.
Роскомнадзор только добавляет адреса в черные списки, но никогда не освобождает их. Называть такую халатность уязвимостью? Ну не знаю…
никогда не освобождает их

Это не так.
В полночь 24 апреля 2018 года в выгрузке находилось 5136 доменных имени, доступных для свободной регистрации неопределенным кругом лиц.

С 23 апреля 2018 года Роскомнадзор начал актуализировать данные по доменам в реестре. Днем 10 мая 2018 года в выгрузке находилось 2254 доменных имени, доступных для свободной регистрации неопределенным кругом лиц
.
Это разовая акция по устранению безумной ошибки, когда в попытке заблокировать Телеграмм, РКН отрезал Россию от большой части мировых сервисов и ЦОДов. С тех пор количество заблокированных префиксов только растет, увеличиваясь каждый день.
Сегодня с утра обнаружил, что доменное имя, привязанное к DNS серверам яндекса и настроенное в «Почте Для Домена», без всякого объявления войны перестало резолвиться. Интересно связаны ли эти два события и не является ли это последствием отрубания всего и вся для решения проблем?
Это все больше попахивает пилотными проверками. Если у вас какие-то проблемы с доступом, то это просто хакеры-террористы.

P.S.
Надеюсь, вы сами поймете какое предложение обернуть тегом сарказм.

Следователь разберется, собирайтесь, за вами выехали :)

> DNS-атаки из Роскомнадзора

Роскомнадзор же не признал вину? Значит за этот заголовок вы пойдете по закону об фейках.
Only those users with full accounts are able to leave comments. Log in, please.