Блокировка миллиона IP-адресов привела к сбою в работе провайдера

Блокировка миллиона IP-адресов привела к сбою в работе провайдера

Атака была на поверхности. Базовых сетевых навыков достаточно для ее реализации. Как и всегда, если нет явной выгоды для злоумышленников, то и атак нет годами.

Вечером 14 марта 2018 г. у пользователей «Транстелекома» возникла проблема с доступом в интернет. Как сообщила пресс-служба, из-за кратковременного сбоя в некоторых городах пользователи провайдеры испытывали снижение качества сервиса, но проблемы была оперативно исправлено. На самом же деле, причина сбоя представляется весьма интересной. На основе обмена данных между сотрудниками интернет-провайдеров в профессиональном Telegram-чате, можно сделать вывод, что речь идет о новом типа атак через Реестр запрещенных сайтов.

Напомним, что реестр запрещенных сайтов ведет Роскомнадзор. В отношении внесенных в него ресурсов по умолчанию указываются IP-адрес, домен и адрес конкретной страницы с противоправной информацией. Провайдеры должны заблокировать доступ ко всем ресурсам из этого Реестра. При этом провайдер может выбирать, какой тип блокировки использовать. С 2015 г. Роскомнадзор стал устанавливать у интернет-провайдеров оборудование системы «Ревизор», которое автоматически проверяет исполнение требований о блокировках сайтов. В случае выявления нарушений Роскомнадзор составляет административные протоколы о наложение штрафов. Такой подход вынудил многих провайдеров самостоятельно определять IP-адреса заблокированных сайтов.

По мнению Филиппа Кулина, злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов, заблокированных ранее за распространение наркотических средств. Далее на двух вышеупомянутых доменах было создано 296 поддомена третьего уровня. Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать.

Как отмечает ресурс «VAS-эксперт», суть проблемы в том, что «Транстелеком», как и ряд других провайдеров, экономят ресурсы и не пропускают через DPI-системы весь трафик абонентов. Вместо этого провайдер сначала самостоятельно определяет IP-адреса, относящиеся к доменам заблокированных сайтов, а затем передает их на фильтрацию в DPI-систему.

Как пишет «VAS-эксперт», итогом всего произошедшего стало то, что размер таблицы маршрутизации превысил допустимый объем памяти. Именно и привело к остановке сервиса.

Источник: CNEWS


Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации