Открыть список
Как стать автором
Обновить

Комментарии 30

Мне кажется или это не совсем битсквотинг? Вернее, такого же результата можно было добиться, зарегистрировав все возможные варианты ошибочного набора домена (а не только те, которые отличаются одним битом)? Даже больше можно было бы отловить. Раз уж к концу статьи разговор пошел именно о том, что кто-то из Facebook ошибся при вводе. Он же не в двоичной системе набирал адрес. Если я правильно понял, битсквотингом отлавливают легитимные запросы, в которых при передаче по сети был изменен бит. А не ошибки ручного набора домена.
Некоторые запросы — да. Но для NTP time.windows.com это адрес по умолчанию, вряд ли его вбивали ручками, а если и вбивали то очень малое количество пользователей.
Возможно потому у них время и сломано, так как адрес именно вбили руками по какой-то причине.
А если ещё учесть что panic threshold в 1000 секунд никто не отменял, так ещё и ручками надо NTP заставить синхронизировать такие отклонения.
Существует очень малое количество способов, которыми Baiduspider мог бы узнать о существовании time.wiodows.com. Особенно учитывая, что ранее к этому домену был выполнен только один запрос (показанный выше).

ИМХО тут только один вариант: у того самого пользователя стоит поисковик/плагин Байды, который сливает производителю все запросы пользователей для последующей индексации неизвестных ему URL. Старая, но от этого не менее чудесная история, как были проиндексированы разделы различных сайтов типа ДСП, которое обеспечивалось лишь «секретным» URL ;)
Пых. В РБ есть одна контора, которая торгует документацией(ГОСТы и т.п.). У них ссылки на скачивание купленного документа раньше выглядели как domain/secret(sic!)/filename и никак не защищались. Забавно то, что имя файла можно было получить из превью документа.
Имя, сестра, имя! Адрес, коллега, адрес! ГОСТы ж не только в РБ действуют… ;)
Уже прикрыли)) Пару лет как.
Печаль… а не успел ли кто-нибудь выкачать и выложить?
Не знаю, честно говоря. В Беларуси существует сеть бесплатных библиотек, где эти документы можно почитать в бумажном виде, так что врядли кто-то сильно загонялся.
В любом ЦПИ или в определенных «технических» библиотеках? Просто интересно. У нас ГОСТы в сеть выложены, но в «удобном» графическом виде с защитой от скачивания (ха-ха), но цитировать все равно неудобно. Мы тут любим текстовой PDF выкладывать, если кто добыл ;)
В Беларуси есть т.н. ЦСМ — Центры Стандартизации и Метрологии. У таких центров, как правило, есть свои библиотеки, куда можно прийти и почитать ГОСТы. Но, если надо сделать копию, то это уже платно)) Бесплатно у нас только штрафуют за нарушения))
Эх, как в старые добрые времена, 20 лет назад почти весь рунет был таким
Подстановочные DNS работают следующим образом: я создаю запись

Это вообще-то называется wildcard домен
Видно с 2011 года ничего не изменилось.
DEFCON 19: Bit-squatting: DNS Hijacking Without Exploitation
Пахнет лапшой на уши. Ошибки памяти, конечно, иногда бывают. Только на одно удачное попадание windows.com -> whndows.com будет 10005000 случаев крэшей, бсодов, порч важных данных. Если бы биты флипались в памяти направо и налево, компьютеры бы вообще не загружались и не работали.
Плюсую. То-же самое хотел сказать. Это скорей всего не ошибки памяти а опечатки при вводе адреса или опечатки в конфиге.
Вероятность того, что прям в момент захода на сайт возникнет ошибка памяти, да не где попало а именно в том месте, где хранится введённое имя хоста — бесконечно мала. Ну ещё может быть ошибка чтения/записи диска. Ошибки TCP корректируются за счёт контрольных сумм.

Данные портятся не в памяти, а при передаче по сети. Многие реализацию игнорят проверку чексуммы payload-а UDP пакета, и проверяют только чексуммы IP заголовков. А получить пару порченных бит в нужном месте при передаче по сети — вполне вероятная вещь.

А??? Какая такая checksum от payload?? Вы её откуда придумали? А вот у всего l2 пакета контрольная сумма есть и не только сетевые устройтсва, но и адаптер не примет пакет с неверной контрольной суммой. Есть конечная вероятность что «побьётся» битик payload и ещё битик в контрольной сумме пакета, да так, что для нового пакета сумма сойдётся, но вероятность не сильно от нуля отличается. Забудьте про ошибки при передаче по сети. И не пишите глупости.

RFC 768:


Checksum is the 16-bit one's complement of the one's complement sum of a
pseudo header of information from the IP header, the UDP header, and the
data, padded with zero octets at the end (if necessary) to make a
multiple of two octets.
Ну а вы что написали? «многие реализации игнорят проверку чексуммы payload и проверяют только чексуммы заголовка» А теперь пишите что нету чексуммы у payload есть общая на заголовок и данные. Я с этим даже и не пытался спорить. Но ещё раз повторю — проверяют чексуммы на уровне транспорта или нет не имеет никакого значения в современном мире езернета. Битый пакет будет отброшен на уровне L2 и в IP стек не попадёт.

Я написал что проверяется только чексумма IP фрейма, а она покрывает только IP заголовок.
Т.е. в UDP пакете мы имеем две контрольных суммы: контрольная сумма в IP заголовке и контрольная сумма в UDP заголовке.


На ethernet уровне, на 10gbit и 40gbit как минимум, ethernet фреймы не имеют своей собственной контрольной суммы, так что ethernet адаптер не заметит порченных битов — там где я работаю мы этим активно пользуемся, для некоторых (100% законах) трюков с отправкой пакетов на биржу "раньше всех".

«ethernet фреймы не имеют своей собственной контрольной суммы» это какой 802.? И 40г вы с учётом вашей специфики зря упомянули — ибо вы не должны не знать, что 40г распадается на 4 десятки. С точки зрения конечного хоста это благо, так как позволяет проще по корам трафик раскидывать, а вот для сетевухи строго наоборот, не говоря уж о том что 40г имеет задержку больше чем все остальные реализации (выше гигабита)
199180 подключений по NTP, попробуйте установить старенький NTP с непропатченной уязвимостью get mon list. Можно адрес даже в dns не прописывать, будет гораздо больше
“… В противном случае я придержу их и продолжу сливать деньги...”

Антиресно, за какой интервал времени товарищ отлил взад свои «126 долларов»?

Вряд ли хоть один даже продал. В своё время активно эксплуатировалась тема гомоглифов в доменах. Я провел небольшой ресерч и связался через hackerone с крупнейшеми ресурсами, типа fb, tw, apple, показав им свободные для регистрации варианты их доменов с гомоглифами. Общий знаменатель ответов был такой: ну да, но нам пофиг, не будем же мы покупать все варинаты своих доменов!
Как будто пара тысяч долларов в год разорила бы fb, ага. Но реакция была именно такой.

Ну это ж не единственный способ «продолжения слива денег».

А зачем им их покупать? Хоть за две тыщи, хоть за два миллиона

Так если пользователи руками вводят, то ещё больше вариантов опечаток может быть. В разы больше

способов, которыми Baiduspider мог бы узнать о существовании time.wiodows.com

На правах паранойи: китайский компьютер с китайской оперативкой из подсети предприятия запросил время с time.wiodows.com, безопасник предприятия удивился и чекнул 80-й порт. Великий фаервол всё записал, а потом по-дружески продал данные Байде. Бывает так?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
vdsina.ru
Численность
11–30 человек
Дата регистрации
Представитель
Mikhail

Блог на Хабре