Госпровайдер НЦОТ подменяет DNS-ответы для пользователей?

  • 16.05.2021, 13:09
  • 11 395
  • В конце апреля 2021 цифровые наблюдатели (волонтерское сообщество) зафиксировали аномалии в обработке DNS-запросов в сетях беларусских провайдеров, подключенных к глобальному интернету через сеть НЦОТ (Национальный центр обмена трафиком). Государственный инфраструктурный провайдер подменяет DNS-ответ для ресурсов: belarus2020.org, golos2020.org, golos-belarus2020.org, tempail.com.

    Госпровайдер НЦОТ подменяет DNS-ответы для пользователей?

    Как пишет сайт Humanconstanta.by, при переходе на эти сайты, пользователь не получает ответа и соединение прерывается. Подмена происходит, даже если пользователь обращается к публичным DNS-серверам, например 8.8.8.8 от компании Google.

    По мнению специалистов сайта, это вариант реализации «блокировки» сайтов из списка ограниченного доступа, не предусмотренный действующим законодательством, и крайне опасный для всех интернет-пользователей из Беларуси. Основываясь на опыте Турции, Сирии и Египта, где власти также использовали такой метод, можно предположить, что это может привести к интернету по “белым спискам”, подмене контента и целых сайтов, намеренному массовому заражению пользовательских устройств программами-шпионами и схожим по тяжести последствиям.

    Сейчас в Беларуси практически отсутствуют возможности оспорить такую практику в правовом поле. Необходимо широкое просвещение пользователей о появлении такой практики и возможных последствиях. На индивидуальном уровне пользователи могут обезопасить себя с помощью VPN. У провайдеров также есть инструменты защиты своих пользователей.

    НЦОТ

    *Национальный центр обмена трафиком — один из двух провайдеров-монополистов в Беларуси, у которых все остальные провайдеры покупают трафик для выхода за границу.

    Что такое DNS?

    DNS — Domain Name System, система доменных имён. Это своеобразная «телефонная книга» в которой понятные человеку адреса, например www.microsoft.com превращаются в IP-адреса. DNS-серверов много, и обычно они располагаются у провайдеров, чтобы пользователь не ждал ответа сервера слишком долго, а открывал сайт максимально быстро. Провайдерские DNS сервера запоминают результаты ответов в кеш и отвечают на новые запросы быстрее.

    Как происходит переход по URL?

    DNS сервера предлагаются провайдером, но пользователь может прописать альтернативные DNS-сервера вручную, например, указав адрес 8.8.8.8. — DNS-сервер Google, или любой другой.

    Когда пользователь набирает адрес сайта (URL), например, google.com, его устройство обращается к такому DNS серверу, чтобы получить в ответ IP-адрес этого сайта. После получения такого DNS-ответа совершается переход на указанный адрес. Если сервер не имеет ответа в кеше, то он обращается к другому, вышестоящему DNS-серверу и получает ответ от него.

    Важно упомянуть, что взаимодействие по DNS происходит в незашифрованном виде. То есть все провайдеры по пути следования запроса «видят» к каким DNS-серверам обращается пользователь, какие запросы отправляет и что они ему отвечают.

    Что произошло?

    Мы обнаружили, что у пользователей, чьи провайдеры выходят за рубеж через государственный провайдер НЦОТ (Национальный центр обмена трафиком), который сам не предоставляет трафик конечным пользователям, но продаёт его другим провайдерам (Деловая Сеть, А1, МТС, CosmosTV и многие другие), подменяет DNS-ответ для ресурсов: belarus2020.org, golos2020.org, golos-belarus2020.org, tempail.com и в качестве ответа выдаёт адрес 127.0.0.1. По умолчанию это всегда IP-адрес компьютера, с которого происходит запрос.

    *Для ресурса protonmail.com подмена происходила на момент измерений 15 апреля, по состоянию на 4 мая для этого домена подмены нет.

    Это означает, что при переходе по данным URL, пользователь не получает ответа и соединение прерывается, а пользователь видит, что сайт недоступен.

    Более того, даже если пользователь обращается к публичным DNS-серверам, например 8.8.8.8, так как это проходит по открытым каналам, на уровне НЦОТ некоей технологией этот запрос перехватывается и в качестве ответа присылается DNS-ответ с адресом 127.0.0.1. Мы проверили это на нескольких популярных DNS-серверах (9.9.9.9 — Quad9, 208.67.222.222 — OpenDNS, 8.26.56.26 — Comodo Secure DNS) и для 4х указанных доменов получили один и тот же ответ, содержаний подмену.

    По нашему мнению, это вариант реализации «блокировки» сайтов из списка ограниченного доступа.

    Что отвечает НЦОТ?

    42.TUT.BY направил электронное обращение в НЦОТ, где спросил, действительно ли центр применяет подмену DNS-ответа для некоторых ресурсов, если да, то с какой целью, каким законом это регулируется и будет ли применяться такая практика и в будущем.

    Им пришел ответ за подписью директора НЦОТ Игоря Авдеева.

    — Рассмотрев ваше обращение, республиканское унитарное предприятие «Национальный центр обмена трафиком» сообщает следующее, что осуществляет деятельность в рамках законодательных актов Республики Беларусь, — говорится там.

    * Наш канал в Telegram - @tvnews_by

    * Мы в "Яндекс.Новостях" - подпишись!


    * Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

    Рейтинг:

    (6)
    TVnews.by