В пену

Атака через реестр запрещённых сайтов

cnews.ru — Злоумышленники купили заблокированные ранее РКН-ом 2 домена, и создали на них 296 поддоменов третьего уровня. Затем в системе DNS к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, в результате чего пользователи «Транстелекома» и некоторых других провайдеров 14 марта испытывали проблемы с доступом в интернет.

Новости, Политика | Dliv227 16:03 19.03.2018

31 комментарий | 65 за, 0 против |

Fosnet »

#1 | 16:11 19.03.2018 | Кому: Всем

> в системе DNS к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов.

Т.е. неизвестные в масках сначала взломали DNS?
А потом им кто-то выдал пул адресов размером более миллиона?

Может всё проще, и жопоруки из Транстелекома накосячили со своими серверами?

Dliv227 »

#2 | 16:15 19.03.2018 | Кому: Fosnet

> Т.е. неизвестные в масках сначала взломали DNS?

Почему взломали, если они купили домены и управляли его DNS на полном основании. Ну и IP адреса там можно прописывать какие угодно

Fosnet »

#3 | 16:21 19.03.2018 | Кому: Dliv227

Допустим.
Как это влияет на выход в интернет с отдельных провайдеров?

Dliv227 »

#4 | 16:22 19.03.2018 | Кому: Fosnet

> Как это влияет на выход в интернет с отдельных провайдеров?

IP адреса, приписанные к заблокированному домену и его поддоменам, попадают в список заблокированных.

Пальтоконь »

#5 | 16:23 19.03.2018 | Кому: Всем

Как китайцы с этой атакой боролись, интересно. Наверняка у них такой опыт уже есть.

Ummon »

#6 | 16:26 19.03.2018 | Кому: Пальтоконь

> Как китайцы с этой атакой боролись, интересно.

Назначались ответственные китайцы.
За адреса и записи.

Fosnet »

#7 | 16:27 19.03.2018 | Кому: Dliv227

> приписанные к заблокированному домену

И? В чём профит?
Я вот этого не могу понять.

Dliv227 »

#8 | 16:29 19.03.2018 | Кому: Fosnet

> И? В чём профит?

Профит в том, что можно к заблокированному домену приписать IP адреса других реально существующих сайтов и пользователи провайдера не смогут их открыть. Для злоумышленника профита никакого, кроме дискредитации самой существующей системы блокировки сайтов.

Пальтоконь »

#9 | 16:30 19.03.2018 | Кому: Ummon

> Назначались ответственные китайцы.
> За адреса и записи.

Им-то хорошо, их там, ответственных, миллиарды. А нам, бедным, что делать? :-)

rahs »

#10 | 16:31 19.03.2018 | Кому: Пальтоконь

> Как китайцы с этой атакой боролись, интересно.

Наверное, не делали блокировку через жопу?

Пальтоконь »

#11 | 16:31 19.03.2018 | Кому: Dliv227

> Для злоумышленника профита никакого, кроме дискредитации самой существующей системы блокировки сайтов.

Ну почему же сразу никакого. Сейчас бесплатно потренировались, рекламу возможности сделали. А теперь начнут принимать заказы на сбои у чьих-нибудь конкурентов. Биржи, к примеру, ну очень чувствительны к таким бедам.

Пальтоконь »

#12 | 16:32 19.03.2018 | Кому: rahs

> > Как китайцы с этой атакой боролись, интересно.
>
> Наверное, не делали блокировку через жопу?

DNS - это жопа, согласен.

rahs »

#13 | 16:34 19.03.2018 | Кому: Пальтоконь

> DNS - это жопа, согласен

Невозможно спорить.
Но в данном конкретном случае жопа это роскомпозор. Их сразу предупреждали, что так оно и будет.

Ummon »

#14 | 16:37 19.03.2018 | Кому: Пальтоконь

> А нам, бедным, что делать? :-)

Раздать бабулькам планшеты, и хай вручную фильтруют.
Эти ничего не пропустят!

Beefeater »

#15 | 16:38 19.03.2018 | Кому: Пальтоконь

> Сейчас бесплатно потренировались, рекламу возможности сделали.

Эм... Камрад, напомнить, как лет так шесть назад именно таким способом заблокировали Яндекс? Все давно в курсе про такую возможность.

Пальтоконь »

#16 | 16:38 19.03.2018 | Кому: rahs

> Их сразу предупреждали, что так оно и будет.

За них "думают" депутаты в госдуме, отсюда и результат. Скоро депутаты будут включать Людвига Аристарховича.

Пальтоконь »

#17 | 16:40 19.03.2018 | Кому: Beefeater

> Камрад, напомнить, как лет так шесть назад именно таким способом заблокировали Яндекс? Все давно в курсе про такую возможность.

Я не знал, а если знал, то забыл. Слоупок из деревни, сорри.

Тогда чего ж только сейчас повторили фокус-то? Не все провайдеры умные что ли и этот оставил у себя дырень?

Beefeater »

#18 | 16:47 19.03.2018 | Кому: Пальтоконь

> Тогда чего ж только сейчас повторили фокус-то?

После этого его повторяли ещё два или три раза, насколько я помню. Причём именно в таком виде — с кучей поддоменов на заблокированных доменах. Даже на Вотт про это уже было, если мне мой скрезол не изменяет.

Master of the Wind »

#19 | 16:48 19.03.2018 | Кому: Fosnet

Система фильтрации запрещенного контента анонсирует маршруты к заблокированным ресурсам с маской /32.
В нормальной ситуации таких маршрутов бывает несколько тысяч. В глобальной таблице Интернет(full view) на сегодняшний день маршрутизируется 711226 префиксов (http://www.cidr-report.org/as2.0/#General_Status). Провайдеру к имеющемуся FullView, получаемому из интернета, прилетел еще овер миллион префиксов от системы фильтрации, от чего маршрутизатор немного охренел, что выразилось переполнением таблицы маршрутизации.

rahs »

#20 | 16:48 19.03.2018 | Кому: Всем

А вот почему злоумышленники? Что нарушили, кроме понятий? И, главное - чего роскомпозор делать собирается?

kleho »

#21 | 16:50 19.03.2018 | Кому: Всем

> но проблем[ы] был[а] оперативно исправлен[о]

Ох жеж.

rahs »

#22 | 16:51 19.03.2018 | Кому: Master of the Wind

> от чего маршрутизатор немного охренел, что выразилось переполнением таблицы маршрутизации

Не совсем так, пмсм. DPI для уменьшения нагрузки фильтровал только адреса из списка запрещенных, а тут ему в фильтры полинтернета прилетело

sidor »

#23 | 16:57 19.03.2018 | Кому: Всем

> Вечером 14 марта 2018 г. пользователи «Транстелекома» испытывали проблемы с доступом в интернет.

Было такое дело именно вечером 14 марта, от транстелекома не было full-view по bgp. Только сдаётся мне что хацкеры тут не при чём, это косяк транстелекома который решили свалить на злоумышленников. С Ростелекомом то проблем не было.

Fosnet »

#24 | 16:58 19.03.2018 | Кому: Dliv227

> можно к заблокированному домену приписать IP адреса других реально существующих сайтов

Значит мы возвращаемся к вопросу "им удалось взломать DNS".
Я захожу на сервер провайдера, почему там 127.0.0.1, например, стоит на сайте Яндекса?

Golovanoff »

#25 | 17:03 19.03.2018 | Кому: Fosnet

> Значит мы возвращаемся к вопросу "им удалось взломать DNS".
> Я захожу на сервер провайдера, почему там 127.0.0.1, например, стоит на сайте Яндекса?

Чо?

Fosnet »

#26 | 17:18 19.03.2018 | Кому: Golovanoff

Погоди, потихоньку въезжаю.

rahs »

#27 | 18:04 19.03.2018 | Кому: Fosnet

> 46 мин назад
> Погоди, потихоньку въезжаю.

dse »

#28 | 21:24 19.03.2018 | Кому: Master of the Wind

> Система фильтрации запрещенного контента анонсирует маршруты к заблокированным ресурсам с маской /32.
> Провайдеру к имеющемуся FullView, получаемому из интернета, прилетел еще овер миллион префиксов от системы фильтрации ...

[Роняет челюсть на пол] Чо, правда, что ли? А как же всякие DPI, которые, обнаружив в запросе HTTP GET URI заблокированного ресурса, фигачат в обе стороны RST?

Ниггер »

#29 | 04:43 20.03.2018 | Кому: Всем

Переведите пожалуйста, о чем тред.
Для обычных юзеров. А то вижу что пишут по русски а ничо не понимаю!!!

Cyberaptor
надзор »

#30 | 07:02 20.03.2018 | Кому: Всем

>гендиректор хостинг-провайдера «Дремучий лес»

Блин, надо было назваться сразу "Глухомань".

Fosnet »

#31 | 08:15 20.03.2018 | Кому: rahs

> > 46 мин назад

Ну дык!
Не всякий шаблон сразу трещать начинает.

Войдите или зарегистрируйтесь чтобы писать комментарии.

Логин
Пароль
	Запомнить