По поводу заявлений CERT.BY (для журналистов и тех, кто не очень в теме — это "команда реагирования на компьютерные инциденты". полугосударственная структура, официально подчиняется "оперативно-аналитическому центру при президенте республики Беларусь).

Мне отписались специалисты, которые разбираются в теме DDoS гораздо лучше меня. Вот их #объяснялки

Микрофон берет всем известный Töma Gavrichenkov CTO компании Qrator, бизнес которой как раз в DDoS:


Атаки могут идти, это не говорит об иностранном вмешательстве. Организация атак указанного масштаба на сегодня доступна даже школьникам.

Заявленных цифр самих по себе недостаточно для наблюдавшегося эффекта на национальный сегмент.

С другой стороны, какие-то действия по вводу в строй фильтрующего оборудования (например, Arbor) могли привести к таковым эффектам.

Продолжаем обсуждение заявления беларуского CERT. Пишет Никита @Prochorman из компании "Пегий дудочник" ServicePipe

Поглядел на графики из поста про беларуский DDoS, и могу немного больше рассказать о них, т.к. по виду графиков, они пользуются Arbor’ом, который я вдоль и поперек знаю. Для понимания, я безопасник из компании Servicepipe, и наша основная услуга — защита от DDoS-атак.

Так вот, скриншоты, которые запостил CERT.by — скриншоты с DDoS-анализатора Arbor Peakflow, мы тоже работаем на этом железе и вот что могу дополнить:

Объемы атак недостаточные, чтобы вызвать серьезные проблемы в сети (относительно) крупного оператора связи. Да, 40 Гбит/с в целом довольно много, если говорить о конечных клиентах, но речь всё-таки идёт о крупнейших операторах Беларуси. Атаки на конкретно нашей сети, ввиду того что это сервис для защиты, наблюдаются по несколько раз в день, и почему-то (интересно почему, да?) даже в сети каких-то отдельных апстримов не наблюдается каких-либо проблем, не говоря уж о России целиком.

... продолжение...

На графиках CERT видно атаки из нескольких векторов, если собрать в две кучи, то получим следущее —

1. TCP SYN или RST Flood — Атаки направленные на то, чтобы поиздеваться над очередью сессий конечного сервера, но на деле, при таких объемах у сервера просто виснет CPU, т.к. не справляется с обработкой такого количества пакетов. Примечательны такие атаки тем, что используются очень маленькие пакеты 52-60 байт, ввиду чего самих пакетов получается много, но вот в бит/с атака редко может напрячь каналы операторов связи. Как пример, для их атак в 7-8 Мппс (млн. пакетов в сек.) это где-то 2-3 Гбит/с, что может как-то и повлияло на отдельный сервис, но никак не убило интернет во всей стране.

2. UDP Amplification (в частности DNS) и IP Fragmentation — атаки стары как мир и бороться с ними максимально просто, особенно имея при себе Arbor. Примечательны атаки тем, что для них используется UDP, и в случае с DNS Ampl. это source port 53, а в случае с IP Fragment, пакеты всегда имеют флаг is fragmented. И то, и другое позволяет максимально просто идентифицировать и заблокировать атаку на каждый конкретный /32 хост (если конечно хотеть ее отбить, а не все наоборот). Делается это посредством BGP Flowspec, надстройки над BGP, которая позволяет отправлять внутри текущей сессии Firewall фильтры (а здесь достаточно временно запретить DNS и фрагментированный трафик) и блокировать трафик как у себя на границе сети, так и выше (при наличии отдельной договоренности с вышестоящими операторами). При всем этом, на самом арборе, делается это за минуту.

Ладно, допустим, флоуспеки не настроены, ниже спины уже припекает, ничего не работает. Как я уже сказал, атакуют на этих графиках хосты /32, что наверное и слишком грубо, но раз ничего под рукой нет, можно заблэкхолить, при этом, отдав блэкхол операторам выше. Тут на опыте скажу, что большинство операторов связи и тем более, телеком-гиганты, далеко не впервые слышат про DDoS и частенько готовы захолить насолившего кому-то клиента. А тут еще и арбор имеется, который упрощает холинг до трех кликов.

... продолжение...

По каждой отдельной аномалии, Arbor строит полноценные отчеты, с детальной информацией о протоколах, источниках, TCP флагах, странах и т.п.

вот как на картинке [zt]

Здесь же почему-то показаны только графики, оторванные от остальной информации, соответственно полной информации нам не дали, а чему здесь тогда верить, даже дат нет?

Если у кого-то есть возражения и/или дополнения по поводу CERT.BY — вы всегда можете изложить их в ЛС. Я опубликую.

А пока голосуем просто и незамысловато:

* палец вверх — мы верим CERT.BY и действительно на Беларусь напали хацкеры
* палец вниз — CERT.BY врет
* КОЗА — я ничего не понял, просто люблю ставить козу

Бизнес рассказывает о том,  как пережил блокировку интернета.
https://finance.tut.by/news696406.html

‼️Власти начали блокировать независимые СМИ!

На данный момент имеются проблемы с доступом к следующим ресурсам:

❌Euroradio
❌Belsat
❌Tribuna
❌Платформа "Голос"
❌Zubr
❌AFN
❌UDF
❌Virtualbrest
❌Vkurier

Всего в списках блокировок 73 ресурса!

Как выглядят блокировки в Беларуси

Если кто-то до сих пор считает, что в правительствах всяких заседают какие-то там гении или даже просто умные люди, то пример Лукашенко это наглядно опровергает.

В день выборов, 9 августа, у Лукашенки было на выбор три самых идиотских решения: убиться головой апстену, бегать по улицам Минска с голой жопой и отключить интернет. Так он выбрал САМОЕ ИДИОТСКОЕ.

ну и сейчас: блокировать что-то в интернетах в стране, где треть населения умеет обходить любые блокировки: НЕ, ОН ЧО — СЕРЬЁЗНО?

уж лучше б с голой жопой бегал

Прислали список заблокированных ресурсов в РБ с 22 августа: https://telegra.ph/Spisok-zablokirovannyh-resursov-BelGIEH-s-22-avgusta-v-Belarusi-08-21

Зона.Медиа — поздравляю, это успех! :)
Медуза — низачот.

Тут парни с канала  "Мы обречены"  сделали выпуск про события в Беларуси, в котором проинтервьюировали беларусских айтишников. Респект всем участникам выпуска.
👉 https://youtu.be/VtnR1BG53gA

⚡️⚡️⚡️ Белорусский список запрещенки:
https://usher2.club/dump-by/dump-20200821200422-f.xml

👉 XML, но хоть UTF-8 и то ладно

🔥🔥🔥 Да, просто политическая цензура в большинстве своём

😇  Блокируйте уже Telegram!!! У нас тут сезон конференций, а по блокировочкам всё стало уже скучным и обыденным. Давно жаренного контента не было. Вон, возьмите на свой Первый Канал Жарова, он имеет релевантный опыт

#людиработают
https://twitter.com/bocha_himself/status/1296725155734007812

«Мы не можем инвестировать в страну, где люди живут в страхе» — глава компании Rakuten Viber Джамел Агауа решил закрыть офис в Минске.

Причиной послужил налёт неизвестных людей в чёрном и с оружием на офисы «Яндекс» и Uber. Кроме того, были также задержаны два сотрудника Viber. Один был освобождён, второй — с серьёзными травмами находится в больнице. Он всё ещё под следствием.

«Мы против любых форм насилия. Люди в Беларуси должны решить свое будущее» — заявил Агауа.

Сконвертировали список заблокированных сайтов в Беларуси:
https://docs.google.com/spreadsheets/d/1pBdDf8pkzcc0sm6UKc35n1X0sK5To_jBhB3PjrmvQeI/edit?usp=sharing

Можно проанализировать, например.

Если очень быстро:

1. Всего в блэклисте 2183 ресурса. РКН со своим _действующим_ списком в 352 651 записей — хохочет ОНЦ в лицо.

2. Первая запись датирована 2015-03-06.
Формулировка блокировки:

В соответствии с подпунктом 1.2 пункта 1 статьи 38 Закона Республики Беларусь от 17 июля 2008 года «О средствах массовой информации» в средствах массовой информации (в том числе на информационных ресурсах, размещенных в глобальной компьютерной сети Интернет) запрещено распространение сведений, пропагандирующих потребление наркотических средств, психотропных веществ, их аналогов, токсических и других одурманивающих веществ, а также сведений о способах и методах разработки, изготовления, использования и местах приобретения наркотических средств, психотропных веществ, их прекурсоров и аналогов. На основании части третьей пункта 10 Декрета Президента Республики Беларусь от 28 декабря 2014 г. № 6 «О неотложных мерах по противодействию незаконному обороту наркотиков» доступ к ресурсам www.rc-market.biz, www.rc-forum.biz ограничен.

3. До 2016-12-30 в Беларуси хоть как-то пытались обосновывать блокировки. Потом тупо забили и стали писать просто: "На основании решения Министерства информации Республики Беларусь доступ к информационному ресурсу ограничен"

4. Судя по датам, пополнение реестра производилось компанейским методом. То есть — какое-то время, иногда довольно продолжительное, никто ничего не делает, а потом, прекрасным деньком, в реестр вносится несколько десятков ресурсов. Видимо, группа какая-то принимает решения.

5. До августа 2018 года пытались блокировать по IP. В том числе по IPv6. Потом — как образало. Только по домену и/или url

Это может примерно навести на мысль "как именно блокируют в Байнете". Правда, трудно понять практический смысл знаний о способах блокировок.

6. История новейших блокировок, датированных 2020 годом: до 21 августа за весь год было заблокировано 11 ресурсов. И ровно 21 августа — еще 44. Где есть все. От Тутаноты, Зенмейт и Потономайла (кстати, записан с ошибкой — https://protonmai1.com), до Бабарико.визжн и Euroradio.fm

7. Я очень плохо разбираюсь в беларуском политическом интернете — потому, проанализируйте самостоятельно какие там ресурсы стали крайними в разрезе борьбы. Я вижу много абсолютно бесполезных блокировок наркоты и гемблинга.


ВЫВОД: это не блокировки, это курам на смех *голосом ветерана Первой гражданской кибернетической и участника Битвы за Телеграм

Штож. Еще нужно сказать, ибо одного раза недостаточно.

Как показывает практика: блокировки и шатдауны в странах бывшего СССР только растут и ширятся. В Беларуси — сами видите. В России два задокументированных локальных шатдауна, сотни тысяч записей в реестре "запрещенных сайтов". В Казахстане — иногда блокируют без объявлений социальные сети и по-меньшей мере три зафиксированных локальных шатдауна. В Украине все еще не могут снять блокировку некоторых ресурсов.

Разумеется, это не может устраивать нормальных инженеров. Нужно решение....

Которое, на самом деле, есть. Это SDK NewNode для создания неубиваемых мобильных приложений.

В Беларуси нам удалось сделать пару имплементаций и выяснилось, что решение работоспособно даже во время шатдауна — 140 тысяч пользователей тому доказательство.

SDK прозрачно встраивается в любое приложение под Android и/или IOS и просто пропускает через себя весь трафик, если ничего не случается.

Но если что-то идет не так — источник данных становится недоступным (кстати по любой причине — вот тот же DDoS), то NewNode собирает данные от пиров, как в BitTorrent, и перенаправляет трафик через них. Грубо говоря, создается огромный рой шлюзов к ресурсу, которые заблокировать фактически невозможно.

Кроме того, NewNode  — это наследник известного проекта FireChat, который умел передавать данные без интернета, создавая mesh-сети по беспроводным интерфесам смартфонов — по Wi-Fi и/или BlueTooth. Собственно, этим методом и обеспечивается передача данных во время шатдауна — просто от одного аппарата к другому (D2D — Device-To-Device).

В общем, если у вас есть приложение и вы хотите, чтоб оно работало при любых условиях, то NewNode вам нужен.

ВАЖНО: это все открытый исходный код. SDK написана на C++ и сотни инженеров уже проревьюили код на предмет "чего плохого". Вы и сами можете взять, и просмотреть.

ЕЩЕ ВАЖНЕЕ: имплементация не простая. А ОЧЕНЬ ПРОСТАЯ для тех, кто занимается мобильной разработкой — при компиляции релизного проекта нужно в конфиги добавить путь размещения кода NewNode с GitHUB. И все. В реальности есть проекты, которые все сделали за пару часов.

И в догонку: мы не называем действующие проекты с имплементированным NewNode, чтоб не привлекать внимания властей. Но таких проектов уже достаточно много, чтоб точно сказать, что это все работает. А еще — многих мы просто сами не знаем. Взять код с Гитхаба можно и анонимно.

За консультациями вы и сами знаете куда обращаться.

Исходный код и документация вот тут: https://github.com/clostra/newnode

Спецификация с объяснялками на английском лежит тут [ОСТРОЖНО МОЗГ!] https://github.com/clostra/newnode/blob/master/docs/newnode-spec.md

И новость еще короткая: много раз спрашивали — будет ли версия для десктопа. Отвечаю: будет. Но позже.

Пока же чисто экспериментально можно развернуть под macOS / Linux

Создаем локальный репозиторий и компилируем:

git clone --recurse-submodules https://github.com/clostra/newnode.git
cd newnode
./build.sh

Запуск:

./client

Работать будет что-то типа прокси. Можно побаловаться.

БСка в Field, British Columbia, Canada - национальный парк Yoho

немного лондонского телекома