«Яндекс» и другие интернет-холдинги подверглись мощной DNS-атаке несколько дней назад, сообщает РБК. Для атаки использовалась уязвимость в системе блокировки сайтов Роскомнадзора, утверждает издание. «Это эксплуатация существующих недостатков в механизме применения списка блокировок. Пострадать от подобных действий может любая компания и любой сайт, не только «Яндекс», – пояснил представитель «Яндекса».
Преступники провели нападение через DNS, изменив записи в системе доменных имен. Они связали адреса новых атакуемых сайтов с уже заблокированными доменами. Так им удалось ограничить доступ к страницам. В ходе атаки злоумышленник, владеющий заблокированным доменом, мог связать его с IP-адресом любого другого сайта, тем самым добиваясь его блокировки. В результате атаки несколько небольших операторов заблокировали доступ к некоторым IP-адресам «Яндекса». А крупным операторам, использующим для блокировки системы глубокой фильтрации трафика (Deep Packet Inspection, DPI), пришлось пропускать весь трафик до сервисов «Яндекса» через них.
В итоге некоторые сервисы для пользователей работали крайне медленно. Это было связано с тем, что многие операторы проводили весь трафик на эти страницы через систему глубокой фильтрации трафика — DPI. DPI выполняет глубокий анализ проходящих через систему пакетов трафика, определяет их принадлежность к какому-либо сайту и в случае необходимости блокирует доступ к ним. Технические специалисты «Яндекса» отражали данную атаку в течение нескольких суток, пишут «Ведомости».
«Мы предполагаем, что трудности испытывали те операторы, которые используют фильтрацию только для части трафика. Выделяются для обработки только IP адреса, на которых расположены запрещённые ресурсы. Эта схема уже не раз давала сбой. Так, например, год назад сеть провайдера «Транстелеком» «легла из-за реестра Роскомнадзора» (точнее, по причине переполнения таблиц маршрутизатора). Фильтр рассчитан на небольшой объём трафика, а в сторону «Яндекса» генерируется намного больше, что и привело к проблемам с пропуском легитимного трафика от абонентов. Использование системы СКАТ DPI позволяет обрабатывать весь трафик на высокой скорости за разумный бюджет», — комментирует Алексей Алексеенко, заместитель генерального директора компании VAS Experts.
Как правило, операторское оборудование DPI обрабатывает трафик со скоростью линии, то есть среды передачи данных. Это означает что задержка на DPI не может быть более нескольких десятков микросекунд. Поэтому информация о том, что при пропуске трафика через DPI происходят большие задержки, как минимум неточна.
11 марта возникли проблемы и с сетевой доступностью площадок РБК: «Снизилась скорость доступа к сайтам компании для части аудитории». Блокировки удалось избежать благодаря использованию провайдерами системы DPI.
Роскомнадзор уже выработал несколько инструментов защиты от подобных атак: ведомство предложило составить «белые списки» – перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. В «Яндексе» считают такую меру недостаточной. В компании призвали сделать обязательным использование «белых списков» всеми операторами.
Тем временем «Яндекс» разработал и запустил специальную программу-робота, которая ищет в сети страницы с контентом, схожие с теми, что уже попали в пиратский реестр, для этого применяются принципы машинного обучения.
В ноябре прошлого года крупнейшие российские медиахолдинги, онлайн-кинотеатры и продюсеры подписали с интернет-компаниями меморандум о борьбе с пиратством. Главное, чего добились правообладатели, – «Яндекс» и другие поисковики начали во внесудебном порядке удалять из результатов поиска ссылки на страницы с нелегальными копиями фильмов и сериалов. Как утверждали продюсеры и телеканалы, именно через поисковые системы пользователи чаще всего находят пиратские сайты. Согласно меморандуму, правообладатели присылают «Яндексу» найденные ими ссылки на пиратский контент, эти ссылки вносятся в единый реестр. Связаны ли атаки хакеров с запуском антипиратского робота, остается неизвестным.