С помощью Реестра запрещенных сайтов злоумышленники атаковали провайдера
Сеть Информационная безопасность

    Злоумышленники нашли новый способ использовать Реестр запрещенных сайтов для противоправных целей. На этот раз сбой испытала сеть «Транстелекома», которой пришлось заблокировать 1 млн IP-адресов, фиктивно привязанных к внесенным в Реестр доменам.

    Вечером 14 марта 2018 г. пользователи «Транстелекома» испытывали проблемы с доступом в интернет. Пресс-служба компании сообщила, что из-за кратковременного сбоя в некоторых городах пользователи провайдеры испытывали снижение качества сервиса, но проблемы была оперативно исправлено.

    В то же время причина сбоя представляется весьма интересной. На основе обмена данных между сотрудниками интернет-провайдеров в профессиональном Telegram-чате Nag_public, гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин пришел к выводу, что речь идет о новом типа атак через Реестр запрещенных сайтов.

    Реестр запрещенных сайтов ведет Роскомнадзор. В отношении внесенных в него ресурсов по умолчанию указываются IP-адрес, домен и адрес конкретной страницы с противоправной информацией.

    Провайдеры должны заблокировать доступ ко всем ресурсам из этого Реестра. При этом провайдер может выбирать, какой тип блокировки использовать: по IP-адресу или по URL. Блокировка по URL более предпочтительна, так как она позволяет избежать блокировки сторонних сайтов. Для осуществления этого вида блокировок у провайдера должна стоять система DPI. Кроме того, сайты, использующие шифрование, можно блокировать только по IP-адресу или домену.

    В то же время, с 2015 г. Роскомнадзор стал устанавливать у интернет-провайдеров оборудование системы «Ревизор», которое автоматически проверяет исполнение требований о блокировках сайтов. В случае выявления нарушений Роскомнадзор составляет административные протоколы о наложение штрафов. Такой подход вынудил многих провайдеров самостоятельно определять IP-адреса заблокированных сайтов.

    По мнению Филиппа Кулина, злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов – tlpp.biz и piek.biz — заблокированных ранее за распространение наркотических средств.

    Далее на двух вышеупомянутых доменах было создано 296 поддомена третьего уровня. Затем в системе DNS (отвечает за соответствие доменов и IP-адресов) к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Отметим, что владелец домена может в системе DNS приписать к нему любой, в том числе и не используемый им IP-адрес.

    Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать.

    Как отмечает ресурс «VAS-эксперт», суть проблемы в том, что «Транстелеком», как и ряд других провайдеров, экономят ресурсы и не пропускают через DPI-системы весь трафик абонентов. Вместо этого провайдер сначала самостоятельно определяет IP-адреса, относящиеся к доменам заблокированных сайтов, а затем передает их на фильтрацию в DPI-систему.

    В результате на DPI-системе сформировалось более 1 млн маршрутов с маской «.32». Маска подсети – параметр, упрощающий маршрутизацию трафика за счет группировки IP-адресов в подсети. Чем больше значение данного параметра – тем меньше размер подсети.

    Обычно для маршрутизации трафика используется маска подсети значением не более «24». «32» — это максимально возможное значение, означающее, что в данной подсети находится только один IP-адрес. Такой параметр используется, например, когда нужно заблокировать какой-то IP-адрес.

    Как пишет «VAS-эксперт», итогом всего произошедшего стало то, что размер таблицы маршрутизации превысил допустимый объем памяти. Именно и привело к остановке сервиса.

    Источник, близкий к «Транстелекому», подтвердил CNews, что проблема с доступом в сеть у абонентов оператора была вызвана ситуацией с Реестром запрещенных сайтов. В то же время источник добавляет, что перебои наблюдались и у других крупных провайдеров.

    Пресс-служба Роскомнадзора заявила, что служба действительно зафиксировала сбои на маршрутизаторах отдельных операторов связи, но эта проблема была оперативно решена и она не была связана с работой Реестра запрещенных сайтов.

    Это уже не первый случай, когда злоумышленники пытаются устроить сбои, используя механизм автоматического определения провайдерами IP-адресов заблокированных сайтов. В 2017 г. к ряду доменов заблокированных ресурсов были добавлены IP-адреса известных сайтов.

    В результате начались проблемы с доступом к Facebook, Instagram, mc.yandex.ru (счетчик «Яндекса») и другим ресурсам. Аналогичным образом злоумышленники пытались подставить и IP-адреса социальных сетей «Одноклассники» и «ВКонтакте», «Первого канала» и даже самого Роскомнадзора.

    Роскомнадзор заподозрил автора Telegram-канала «ИТ уголовные дела СОРМ россиюшка» Владимира Здольникова, первого рассказавшего о данной проблеме, в том, что он и стоял за этой «атакой». В связи с этим ведомство направило соответствующий запрос в МВД.

    Тогда же Роскомнадзор составил «белый список» популярных сайтов, которых провайдерам было рекомендовано не блокировать. Теперь же злоумышленники смогли с помощью Реестра запрещенных сайтов создать проблемы уже не отдельным ресурсам, а целому крупному интернет-провайдеру.
    Источник: cnews.ru



    Дочитали статью до конца? Пожалуйста, примите участие в обсуждении, выскажите свою точку зрения, либо просто проставьте оценку статье.

    Вы также можете:

    • Перейти на главную и ознакомиться с самыми интересными постами дня
    • Добавить статью в заметки на: Добавить эту статью в TwitterДобавить эту статью ВконтактеДобавить эту статью в FacebookПоделиться В Моем Мире
    • Добавить на Яндекс

    • 0
    • 20 марта 2018, 08:00
    • patron

    Специальные предложения


    Резиновая плитка для пола «Модуль»

    Вулканизированная резина для пола в тренажерном зале обладает исключительной прочностью и укладывается как полы для занятий штангой и спортивные мобильные тяжелоатлетические площадки на улице. Покрытие не крошится и не впитывает влагу, это литая вулканизированная резина, не крошка! Покрытие послужит незаменимым полом в ангары для хранения мотоциклов, снегоходов, лодок, гидроциклов, катеров и яхт…

    Резиновое покрытие Трансформер «ЗЕРНО»

    Уникальное напольное покрытие из резины для быстрой и самостоятельной сборки пола в гараже. Полы в личном гараже Вы можете собрать своими руками, без привлечения строителей. Удобный предустановленный замок, позволит произвести монтаж резиновых плит без применения клея. Покрытие устойчиво к шипам, износу и проливу технических масел и бензина…

    Модульная плитка ПВХ для пола

    Модульная плитка ПВХ для пола в гараж, автосервис, цех, торгово-развлекательный центр, офис, фитнес и тренажерный зал, зрительный зал кинотеатра, склад. Модульные плитки ПВХ настолько просты в монтаже, что не требуют специальных навыков для своей установки. Неподготовленный человек может собрать более 100 кв.м. напольного покрытия за один рабочий день. Для сборки не требуется клей, цемент и другие крепежные материалы...


    +7 (495) 969-75-83

    +7 (495) 969-75-83

    +7 (495) 969-75-83

    Смотреть все предложения...

    Новостная сеть блогов MyWebS - это всё самое актуальное: основные мировые новости, лучшие фотографии из последних новостей. А также просто полезная и занимательная информация: о событиях в России, о достижениях в мире технологий, о загадочном и непостижимом, об исторических фактах и просто о знаменательных событиях.

    © Copyright 2010–2018