Технологии
Николай Чумаков

В причине масштабного сбоя провайдера ТТК заподозрили уязвимость в реестре Роскомнадзора

Сервера провайдера могли не выдержать нагрузки из-за огромного количества IP-адресов в списке заблокированных. Такое уже было в июне 2017 года.

14 марта в десятках российских городов перестал работать интернет от провайдера ТТК: пользователи несколько часов не могли подключиться и дозвониться до горячей линии. В компании объяснили проблему аварийной ситуацией, но не раскрыли подробностей. Вероятно, сбой произошёл из-за уязвимости в механизме блокировок Роскомнадзора. На это обратили внимание консультант ФБК Владислав Здольников и глава хостинга «Дремучий Лес» Филипп Кулин.

Здольников рассказал, что у провайдеров нет оборудования, позволяющего фильтровать весь трафик сразу, из-за этого им приходится резолвить (узнавать) IP-адреса из реестра и фильтровать трафик только для них. Благодаря этому владельцы заблокированных 296 поддоменов, принадлежащих двум сайтам, добавили множество несвязанных с собой IP-адресов в список DNS (доменных имён) своих ресурсов.

Когда IP-адресов в списке заблокированных стало слишком много, произошла перегрузка и перестали работать роутеры ТТК.

Это рождает тип атаки на таблицу маршрутизации, когда владельцы заблокированных сайтов могут добавить в качестве A-записей своих доменов множество левых IP-адресов и вывести из строя целых операторов связи, что случилось в данном случае с ТТК.

Владислав Здольников

Как пояснил Кулин, 14 марта после 18:00 по московскому времени заблокированные сайты начали выдавать по две-три тысячи уникальных адресов, а к 19:00 их количество превысило миллион. Сбой в работе ТТК произошёл как раз в это время и коснулся Москвы, Хабаровска, Ростова, Краснодара и других городов.

Неизвестно, что это были за заблокированные ресурсы, но аналитики назвали их «сайтами с курительными смесями». Они добавили, что такую атаку могут устроить владельцы любых заблокированных ресурсов из-за уязвимости в работе системы блокировок. TJ обратился за комментарием к Роскомнадзору и ТТК.

В июне 2017 года из-за недостатка системы блокировок Роскомнадзора оказались заблокированы крупнейшие российские сайты Первый канал, Google, «Яндекс», «ВКонтакте». Брешь в реестре позволила владельцам запрещённых сайтов внести в список доменных имён IP-адрес любого сайта. Роскомнадзор обвинил в проблеме провайдеров и сначала разослал им «белые списки» ресурсов, а потом отозвал их.

#блокировки #роскомнадзор