Как в России вывели из строя провайдера, заблокировав миллион IP-адресов

Безопасность Стратегия безопасности Телеком Инфраструктура Интернет Интернет-доступ
мобильная версия
, Текст: Игорь Королев
Злоумышленники нашли новый способ использовать Реестр запрещенных сайтов для противоправных целей. На этот раз сбой испытала сеть «Транстелекома», которой пришлось заблокировать 1 млн IP-адресов, фиктивно привязанных к внесенным в Реестр доменам.

Сбой в сети «Транстелекома»

Вечером 14 марта 2018 г. пользователи «Транстелекома» испытывали проблемы с доступом в интернет. Пресс-служба компании сообщила, что из-за кратковременного сбоя в некоторых городах пользователи провайдеры испытывали снижение качества сервиса, но проблемы была оперативно исправлено.

В то же время причина сбоя представляется весьма интересной. На основе обмена данных между сотрудниками интернет-провайдеров в профессиональном Telegram-чате Nag_public, гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин пришел к выводу, что речь идет о новом типа атак через Реестр запрещенных сайтов.

Связь с Реестром запрещенных сайтов

Реестр запрещенных сайтов ведет Роскомнадзор. В отношении внесенных в него ресурсов по умолчанию указываются IP-адрес, домен и адрес конкретной страницы с противоправной информацией.

Провайдеры должны заблокировать доступ ко всем ресурсам из этого Реестра. При этом провайдер может выбирать, какой тип блокировки использовать: по IP-адресу или по URL. Блокировка по URL более предпочтительна, так как она позволяет избежать блокировки сторонних сайтов. Для осуществления этого вида блокировок у провайдера должна стоять система DPI. Кроме того, сайты, использующие шифрование, можно блокировать только по IP-адресу или домену.

Найден новый способ выводить из строя сеть провайдеров

В то же время, с 2015 г. Роскомнадзор стал устанавливать у интернет-провайдеров оборудование системы «Ревизор», которое автоматически проверяет исполнение требований о блокировках сайтов. В случае выявления нарушений Роскомнадзор составляет административные протоколы о наложение штрафов. Такой подход вынудил многих провайдеров самостоятельно определять IP-адреса заблокированных сайтов.

Как атаковать провайдера через Реестр запрещенных сайтов

По мнению Филиппа Кулина, злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов – tlpp.biz и piek.biz - заблокированных ранее за распространение наркотических средств.

Далее на двух вышеупомянутых доменах было создано 296 поддомена третьего уровня. Затем в системе DNS (отвечает за соответствие доменов и IP-адресов) к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Отметим, что владелец домена может в системе DNS приписать к нему любой, в том числе и не используемый им IP-адрес.

Таким образом, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать.

Суть проблемы: переполнение таблицы маршрутизации

Как отмечает ресурс «VAS-эксперт», суть проблемы в том, что «Транстелеком», как и ряд других провайдеров, экономят ресурсы и не пропускают через DPI-системы весь трафик абонентов. Вместо этого провайдер сначала самостоятельно определяет IP-адреса, относящиеся к доменам заблокированных сайтов, а затем передает их на фильтрацию в DPI-систему.

В результате на DPI-системе сформировалось более 1 млн маршрутов с маской «.32». Маска подсети – параметр, упрощающий маршрутизацию трафика за счет группировки IP-адресов в подсети. Чем больше значение данного параметра – тем меньше размер подсети.

Обычно для маршрутизации трафика используется маска подсети значением не более «24». «32» - это максимально возможное значение, означающее, что в данной подсети находится только один IP-адрес. Такой параметр используется, например, когда нужно заблокировать какой-то IP-адрес.

Как пишет «VAS-эксперт», итогом всего произошедшего стало то, что размер таблицы маршрутизации превысил допустимый объем памяти. Именно и привело к остановке сервиса.

Источник, близкий к «Транстелекому», подтвердил CNews, что проблема с доступом в сеть у абонентов оператора была вызвана ситуацией с Реестром запрещенных сайтов. В то же время источник добавляет, что перебои наблюдались и у других крупных провайдеров.

Пресс-служба Роскомнадзора заявила, что служба действительно зафиксировала сбои на маршрутизаторах отдельных операторов связи, но эта проблема была оперативно решена и она не была связана с работой Реестра запрещенных сайтов.

Как в прошлый раз устраивался сбой с помощью Реестра запрещенных сайтов

Это уже не первый случай, когда злоумышленники пытаются устроить сбои, используя механизм автоматического определения провайдерами IP-адресов заблокированных сайтов. В 2017 г. к ряду доменов заблокированных ресурсов были добавлены IP-адреса известных сайтов.

В результате начались проблемы с доступом к Facebook, Instagram, mc.yandex.ru (счетчик «Яндекса») и другим ресурсам. Аналогичным образом злоумышленники пытались подставить и IP-адреса социальных сетей «Одноклассники» и «ВКонтакте», «Первого канала» и даже самого Роскомнадзора.

Роскомнадзор заподозрил автора Telegram-канала «ИТ уголовные дела СОРМ россиюшка» Владимира Здольникова, первого рассказавшего о данной проблеме, в том, что он и стоял за этой «атакой». В связи с этим ведомство направило соответствующий запрос в МВД.

Тогда же Роскомнадзор составил «белый список» популярных сайтов, которых провайдерам было рекомендовано не блокировать. Теперь же злоумышленники смогли с помощью Реестра запрещенных сайтов создать проблемы уже не отдельным ресурсам, а целому крупному интернет-провайдеру.