Проблемы в механизмах блокировки у операторов связи подрывают работу российского сегмента INTERNET

15.03.2018 | Андрей Роднищев

Роскомнадзор подрывает безопасность российского сегмента INTERNET?

Сервис блокировки запрещенной информации от Роскомнадзора в очередной раз стал оружием в руках злоумышленников. Если прошлые атаки через данный сервис были направлены на отдельные ресурсы (об этом можно почитать например раз , два и три, а также по ссылкам в этих статьях), то вчерашняя атака достаточно сильно ударила по всему Российскому сегменту Интернет. Особенно досталось ТрансТелекому.

Хронология атаки

  • 20 и 21 февраля некто зарегистрировал 2 домена из списка заблокированных tlpp.biz (данные whois) и piek.biz (данные whois), в последующем к этим двум доменам были созданы еще 296 поддоменов 3-го уровня.
  • 14 марта после 16-00 (время Московское) в DNS записях 296 доменов появились от 2 до 4 тысяч уникальных IP адресов в каждом
  • 14 марта после 18-00 в межоператорском чате в телеграмм, начали поступать первые сообщения о недоступности услуг ТТК в разных регионах.
  • 14 марта около 19:00 число уникальных IP адресов, связанных с запрещенными доменами, превысило миллион!!. К этому моменту ТТК в европейской части России практически не работал, также из отдельных регионов поступали сведения о проблемах с IP транзитом в сети Вымпелком.
  • 14 марта около 22:00 число уникальных IP адресов, связанных с запрещенными доменами, уменьшилось до 48 тыс. и сервисы ТТК постепенно восстановились. Связано восстановление с окончанием атаки или с действиями сотрудников ТТК — доподлинно неизвестно.

Суть проблемы

Пропускать весь трафик через DPI иногда достаточно накладно, в связи с тем, что устройства дороги, и их производительность ограничена.

Поэтому можно прибегнуть к следующему ухищрению: распарсить перечень доменов из списка блокировки РКН. Получить из DNS перечень IP адресов, сопоставленных с блокируемыми сайтами. Трафик на данные IP адреса признать подозрительным и смаршрутизировать данный его на DPI. Остальной трафик отправить в интернет минуя DPI, предполагая (обоснованно) что на запрещенные ресурсы он не попадет. Таким образом можно существенно сэкономить на производительности DPI.

После того, как злоумышленники занесли в DNS более миллиона IP адресов, связанных с заблокированными сайтами, на DPI сформировалось более миллиона маршрутов с маской /32, что в свою очередь вызвало дробление маршрутов на Пограничных маршрутизаторах и, в конечном итоге, привело к тому, что размер таблицы маршрутизации превысил объем памяти, что и привело к остановке сервиса.

Выводы каждый может сделать сам. Можно конечно пропускать весь трафик через DPI, но это надежно, но довольно дорого. Можно использовать схемы с зеркалированием, или с пред-фильтрацией (как описано выше) но это не надежно и приводит к описанным проблема. В любом случае факт остается фактом — атаки такого рода могут подорвать безопасность всего российского сегмента сети Интернет. Сервис Роскомнадзора направлен на защиту граждан и его работа закреплена законодательно, однако злоумышленники находят способы в корыстных целях использовать несовершенство методов блокировки, парализуя работу крупных операторов связи и ошибочно ставя под вопрос эффективность работы Роскомнадзора. На текущий момент, только пропуск всего трафика через системы DPI (схема в разрыв), такие как СКАТ DPI от VAS Experts позволяет избежать данных угроз.

Вся информация в данной статье является частным мнением автора и основана на ряде личных наблюдений, догадок и предположений, а также на информации сообщества операторов связи в чате https://t.me/nag_public и в открытых источниках, например, следующих:

https://www.facebook.com/phil.kulin/posts/1588695351184190

https://roem.ru/14-03-2018/268624/prov-lyog-pod-rkn/

https://forum.nag.ru/index.php?/topic/138900-problema-rkn-i-ttk-15032018/

https://bgpstream.com/event/130738

https://bgpstream.com/event/130734

Поделиться в социальных сетях