«Яндекс» и сайты некоторых СМИ пострадали от DNS-атаки из Роскомнадзора

Специалистам хорошо известно, что в механизме блокировок есть серьёзная уязвимость, допускающий внедрение в реестр блокировки произвольных IP-адресов. Для проведения атаки нужно ввести в DNS-записи любого заблокированного домена целевые IP-адреса, которые вы хотите «заблокировать». Это легко сделать, потому что многие заблокированные домены освобождаются для новой регистрации. Гендиректор Qrator Labs Александр Лямин говорит, что в даркнете домены из реестра идут даже по специальной товарной категории, специально для проведения подобных DNS-атак. Такие домены довольно дешёвые.

За последние пять лет данная уязвимость многократно эксплуатировалась, особенно большая волна атак прошла в 2017 году, а тема тогда обсуждалась на Хабре.

Несмотря на достаточно тривиальный характер атаки, Роскомнадзор до сих пор не закрыл уязвимость. Очередной жертвой ложных блокировок стал «Яндекс», стало известно РБК.
Представитель пресс-службы «Яндекса» подтвердил факт инцидента и сказал, что пострадать от подобных действий может любая компания: «Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок».

Технические специалисты «Яндекса» отражали атаку несколько суток, пишет РБК: «Блокировки сайтов удалось избежать, но атака не прошла незамеченной — активные пользователи сервисов компании заметили снижение скорости доступа к ним», — сказал источник в самой компании.

Роскомнадзор вносит в реестр какой-либо сайт, а запись в реестре состоит из трёх элементов: домен, URL, IP-адрес. Далее каждый провайдер сам решает, каким образом блокировать доступ к нему, при этом здесь отсутствует какое-либо регулирование. Например, провайдеры могут блокировать ресурс по его IP-адресу, указанному в записи DNS.

Сейчас это и произошло: ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы DPI, были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей.

Кроме «Яндекса», пострадали сайты нескольких крупных СМИ, в том числе РБК: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники, как и в 2017 году, воспользовались уязвимостью, позволяющей приписать домену из реестра запрещённых сайтов IP-адрес любого другого добропорядочного ресурса, и тем самым попытались заблокировать его. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него», — пояснил Digital-директор B2C направления РБК Кирилл Титов.

Let's block ads! (Why?)