Как в России вывели из строя провайдера, заблокировав миллион IP-адресов

Сбой в сети «Транстелекома» Вечером 14 марта 2018 г. пользователи «Транстелекома» испытывали проблемы с доступом в интернет. Пресс-служба компании сообщила, что из-за кратковременного сбоя в некоторых городах пользователи провайдеры испытывали снижение качества сервиса, но проблемы была оперативно исправлено. В то же время причина сбоя представляется весьма интересной. На основе обмена данных между сотрудниками интернет-провайдеров в профессиональном Telegram-чате Nag_public, гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин пришел к выводу, что речь идет о новом типа атак через Реестр запрещенных сайтов. Связь с Реестром запрещенных сайтов Реестр запрещенных сайтов ведет Роскомнадзор. В отношении внесенных в него ресурсов по умолчанию указываются IP-адрес, домен и адрес конкретной страницы с противоправной информацией. Провайдеры должны заблокировать доступ ко всем ресурсам из этого Реестра. При этом провайдер может выбирать, какой тип блокировки использовать: по IP-адресу или по URL. Блокировка по URL более предпочтительна, так как она позволяет избежать блокировки сторонних сайтов. Для осуществления этого вида блокировок у провайдера должна стоять система DPI. Кроме того, сайты, использующие шифрование, можно блокировать только по IP-адресу или домену. http://filearchive.cnews.ru/img/news/2018/03/19/cable600.jpg">[/url] Найден новый способ выводить из строя сеть провайдеров В то же время, с 2015 г. Роскомнадзор стал устанавливать у интернет-провайдеров оборудование системы «Ревизор», которое автоматически проверяет исполнение требований о блокировках сайтов. В случае выявления нарушений Роскомнадзор составляет административные протоколы о наложение штрафов. Такой подход вынудил многих провайдеров самостоятельно определять IP-адреса заблокированных сайтов. Как атаковать провайдера через Реестр запрещенных сайтов По мнению Филиппа Кулина, злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов – tlpp.biz и piek.biz - заблокированных ранее за распространение наркотических средств. Далее на двух вышеупомянутых доменах было создано 296 поддомена третьего уровня. Затем в системе DNS (отвечает за соответствие доменов и IP-адресов) к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Отметим, что владелец домена может в системе DNS приписать к нему любой, в том числе и не используемый им IP-адрес. Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать. Суть проблемы: переполнение таблицы маршрутизации Как отмечает ресурс «VAS-эксперт», суть проблемы в том, что «Транстелеком», как и ряд других провайдеров, экономят ресурсы и не пропускают через DPI-системы весь трафик абонентов. Вместо этого провайдер сначала самостоятельно определяет IP-адреса, относящиеся к доменам заблокированных сайтов, а затем передает их на фильтрацию в DPI-систему. В результате на DPI-системе сформировалось более 1 млн маршрутов с маской «.32». Маска подсети – параметр, упрощающий маршрутизацию трафика за счет группировки IP-адресов в подсети. Чем больше значение данного параметра – тем меньше размер подсети. Обычно для маршрутизации трафика используется маска подсети значением не более «24». «32» - это максимально возможное значение, означающее, что в данной подсети находится только один IP-адрес. Такой параметр используется, например, когда нужно заблокировать какой-то IP-адрес. Как пишет «VAS-эксперт», итогом всего произошедшего стало то, что размер таблицы маршрутизации превысил допустимый объем памяти. Именно и привело к остановке сервиса. Источник, близкий к «Транстелекому», подтвердил CNews, что проблема с доступом в сеть у абонентов оператора была вызвана ситуацией с Реестром запрещенных сайтов. В то же время источник добавляет, что перебои наблюдались и у других крупных провайдеров. Пресс-служба Роскомнадзора заявила, что служба действительно зафиксировала сбои на маршрутизаторах отдельных операторов связи, но эта проблема была оперативно решена и она не была связана с работой Реестра запрещенных сайтов. Как в прошлый раз устраивался сбой с помощью Реестра запрещенных сайтов Это уже не первый случай, когда злоумышленники пытаются устроить сбои, используя механизм автоматического определения провайдерами IP-адресов заблокированных сайтов. В 2017 г. к ряду доменов заблокированных ресурсов были добавлены IP-адреса известных сайтов. В результате [url=http://www.cnews.ru/news/top/2017-06-07_v_rossii_poyavilis_sajtykotorye_zapreshcheno_blokirovat]составил[/url] «белый список» популярных сайтов, которых провайдерам было рекомендовано не блокировать. Теперь же злоумышленники смогли с помощью Реестра запрещенных сайтов создать проблемы уже не отдельным ресурсам, а целому крупному интернет-провайдеру. [url=http://www.cnews.ru/news/top/2018-03-19_kak_v_rossii_vyveli_iz_stroya_provajderazablokirovav] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/news/2018/03/19/cable600.jpg"> Найден новый способ выводить из строя сеть провайдеров В то же время, с 2015 г. Роскомнадзор стал устанавливать у интернет-провайдеров оборудование системы «Ревизор», которое автоматически проверяет исполнение требований о блокировках сайтов. В случае выявления нарушений Роскомнадзор составляет административные протоколы о наложение штрафов. Такой подход вынудил многих провайдеров самостоятельно определять IP-адреса заблокированных сайтов. Как атаковать провайдера через Реестр запрещенных сайтов По мнению Филиппа Кулина, злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов – tlpp.biz и piek.biz - заблокированных ранее за распространение наркотических средств. Далее на двух вышеупомянутых доменах было создано 296 поддомена третьего уровня. Затем в системе DNS (отвечает за соответствие доменов и IP-адресов) к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Отметим, что владелец домена может в системе DNS приписать к нему любой, в том числе и не используемый им IP-адрес. Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать. Суть проблемы: переполнение таблицы маршрутизации Как отмечает ресурс «VAS-эксперт», суть проблемы в том, что «Транстелеком», как и ряд других провайдеров, экономят ресурсы и не пропускают через DPI-системы весь трафик абонентов. Вместо этого провайдер сначала самостоятельно определяет IP-адреса, относящиеся к доменам заблокированных сайтов, а затем передает их на фильтрацию в DPI-систему. В результате на DPI-системе сформировалось более 1 млн маршрутов с маской «.32». Маска подсети – параметр, упрощающий маршрутизацию трафика за счет группировки IP-адресов в подсети. Чем больше значение данного параметра – тем меньше размер подсети. Обычно для маршрутизации трафика используется маска подсети значением не более «24». «32» - это максимально возможное значение, означающее, что в данной подсети находится только один IP-адрес. Такой параметр используется, например, когда нужно заблокировать какой-то IP-адрес. Как пишет «VAS-эксперт», итогом всего произошедшего стало то, что размер таблицы маршрутизации превысил допустимый объем памяти. Именно и привело к остановке сервиса. Источник, близкий к «Транстелекому», подтвердил CNews, что проблема с доступом в сеть у абонентов оператора была вызвана ситуацией с Реестром запрещенных сайтов. В то же время источник добавляет, что перебои наблюдались и у других крупных провайдеров. Пресс-служба Роскомнадзора заявила, что служба действительно зафиксировала сбои на маршрутизаторах отдельных операторов связи, но эта проблема была оперативно решена и она не была связана с работой Реестра запрещенных сайтов. Как в прошлый раз устраивался сбой с помощью Реестра запрещенных сайтов Это уже не первый случай, когда злоумышленники пытаются устроить сбои, используя механизм автоматического определения провайдерами IP-адресов заблокированных сайтов. В 2017 г. к ряду доменов заблокированных ресурсов были добавлены IP-адреса известных сайтов. В результате составил «белый список» популярных сайтов, которых провайдерам было рекомендовано не блокировать. Теперь же злоумышленники смогли с помощью Реестра запрещенных сайтов создать проблемы уже не отдельным ресурсам, а целому крупному интернет-провайдеру. Ссылка на источник