- PVSM.RU - https://www.pvsm.ru -
Специалистам хорошо известно, что в механизме блокировок есть серьёзная уязвимость, допускающий внедрение в реестр блокировки произвольных IP-адресов. Для проведения атаки нужно ввести в DNS-записи любого заблокированного домена целевые IP-адреса, которые вы хотите «заблокировать». Это легко сделать, потому что многие заблокированные домены освобождаются для новой регистрации. Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.
За последние пять лет данная уязвимость многократно эксплуатировалась, особенно большая волна атак прошла в 2017 году, а тема тогда обсуждалась на Хабре [1].
Несмотря на достаточно тривиальный характер атаки, Роскомнадзор до сих пор не закрыл уязвимость. Очередной жертвой ложных блокировок стал «Яндекс», стало известно [2] РБК.
Представитель пресс-службы «Яндекса» подтвердил факт инцидента и сказал, что пострадать от подобных действий может любая компания: «Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок».
Технические специалисты «Яндекса» отражали атаку несколько суток, пишет РБК: «Блокировки сайтов удалось избежать, но атака не прошла незамеченной — активные пользователи сервисов компании заметили снижение скорости доступа к ним», — сказал источник в самой компании.
Роскомнадзор вносит в реестр какой-либо сайт, а запись в реестре состоит из трёх элементов: домен, URL, IP-адрес. Далее каждый провайдер сам решает, каким образом блокировать доступ к нему, при этом здесь отсутствует какое-либо регулирование. Например, провайдеры могут блокировать ресурс по его IP-адресу, указанному в записи DNS.
Сейчас это и произошло: ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы DPI, были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей.
Кроме «Яндекса», пострадали сайты нескольких крупных СМИ, в том числе РБК: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники, как и в 2017 году, воспользовались уязвимостью, позволяющей приписать домену из реестра запрещённых сайтов IP-адрес любого другого добропорядочного ресурса, и тем самым попытались заблокировать его. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него», — пояснил Digital-директор B2C направления РБК Кирилл Титов.
Автор: alizar
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/yandeks/311576
Ссылки в тексте:
[1] обсуждалась на Хабре: https://habr.com/ru/post/357358/
[2] стало известно: https://www.rbc.ru/technology_and_media/14/03/2019/5c890f369a7947a2a2d4fb39
[3] Источник: https://habr.com/ru/post/443712/?utm_campaign=443712
Нажмите здесь для печати.