Коммерсант: У трех компаний рунет без глазу

Аватар пользователя Mr.Wolf

Неправильная настройка подписей нарушила работу зоны .ru

Сайты, размещающиеся на доменах .ru, стали недоступны для пользователей интернета в России и мире из-за некорректной настройки DNSSEC. Подобные инциденты ранее случались и в других сегментах сети, например в Австралии. Проблема, по данным «Ъ», произошла из-за действий администратора зоны, Координационного центра доменов .RU/.РФ или его подрядчиков.

Система имен, созданная по закону о «суверенном рунете», восстановилась быстрее общемировой, однако это может объясняться тем, что в нее легче вносить изменения.

Вечером 30 января сервера доменных имен (DNS), отвечающие за работоспособность сайтов в домене верхнего уровня .ru, получили некорректные настройки DNSSEC, следует из данных сайта DNSViz. Это привело к тому, что некоторые сайты, размещающиеся на доменах в зоне .ru, стали недоступными. Источник «Ъ» в телеком-отрасли сообщил, что проблемы произошли на этапе проверки информации, полученной провайдерами от DNS-серверов домена верхнего уровня .ru. По данным облачного провайдера Yandex Cloud, проблемы с DNS доменов верхнего уровня наблюдались с 19:43 по московскому времени и были исправлены в 21:41.

DNS — это протокол, который позволяет сопоставлять домены сайтов и IP-адреса серверов, на которых размещаются сайты. DNSSEC — это расширения протокола, использующие систему цифровых подписей для верификации ответов от DNS-серверов. «DNSSEC используется в целях безопасности — чтобы не было подмены адресов на уровне отдельных доменов и всей зоны. Именно с этим сервисом произошла проблема, и у нее глобальный характер»,— сказал «Ъ» директор по информационным технологиям Ru-Center Евгений Мартынов.

Сбои наблюдались в работе большинства мобильных приложений крупнейших банков, свидетельствуют многочисленные отзывы их клиентов. В 21:05 большинство крупных банков восстановили работоспособность приложений. По словам собеседников «Ъ» на банковском рынке, сложности, возникшие в работе приложений, не привели к денежным рискам, но клиенты на какое-то время лишились возможности пользоваться мобильными приложениями для осуществления переводов и оплаты по QR-кодам через СБП.

В ответ на запросы «Ъ» проблемы с доступом пользователей к своим сайтам признали «Букмейт» (принадлежит «Яндексу») и онлайн-кинотеатр Start — они, однако, указали, что это связано с общими сбоями в сети, а не с работой сервисов. В маркетплейсе Ozon сообщили, что сроки выдачи заказов, которые надо было забрать 30 января, из-за интернет-сбоя продлят на два дня; в Wildberries сообщили, что продлят сроки хранения заказов, лежащих на полке.

В МТС отказались от комментариев. В «МегаФоне» «Ъ» сказали, что фиксировали снижение объемов трафика в российском сегменте интернета. «Проблема не на сети “МегаФона”, наша сеть работает штатно». В «Вымпелкоме» заявили, что их сеть работает штатно. «Возможные сбои в работе интернет-ресурсов вне зоны ответственности “Билайна”».

За работу доменов .ru отвечают три организации: Координационный центр .RU/.РФ (КЦ) является администратором зоны, MSK-IX — поддерживает инфраструктуру и сервера DNS, а также «Технический центр Интернет» (ТЦИ) — обслуживает реестр доменов .ru. В КЦ в 20:14 сообщили «Ъ», что специалисты двух других структур работают над устранением проблемы и «идут восстановительные работы».

При этом там отметили, что для тех, кто подключился к национальной системе доменных имен (НСДИ, альтернативная DNS-инфраструктура, предусмотренная законом о «суверенном рунете»), проблема уже была решена.

В Роскомнадзоре, чья структура (ЦМУ ССОП ГРЧЦ) отвечает за работу НСДИ, также заявили о штатной работе «суверенной» системы, а вопросы по поводу работы DNS перенаправили в ТЦИ, там на запрос не ответили. В MSK-IX в ответ на запрос сообщили, что «разбираются в ситуации», и попросили ориентироваться на информацию Минцифры (министерство в 20:21 продублировало в своем Telegram-канале информацию КЦ).

Неправильные настройки DNSSEC могут приводить к недоступности целых зон интернета: подобные случаи, в частности, документирует интернет-проект IANIX. Последний раз подобная проблема происходила 18 сентября 2023 года: тогда около часа не работали около 15 тыс. доменов зоны .au (Австралия). В масштабах целого домена верхнего уровня такое происходило 9 марта 2022 года с .fj (Фиджи).

Доступность сайтов, по мнению источника «Ъ», зависит от каждого конкретного элемента интернета: «В большей степени сбоям подвержены малые операторы, у которых нет ресурсов или экспертизы для того, чтобы оперативно прекратить кэшировать ошибочные DNS-записи». Он полагает, что проблемы возникли из-за действий Координационного центра .RU/.РФ как администратора зоны или его подрядчиков — MSK-IX или ТЦИ: «Так или иначе именно координационный центр подписывает изменения». Причастность Роскомнадзора к сбою он счел маловероятной, так как тот не имеет непосредственного доступа к глобальной инфраструктуре. Тот факт, что в НСДИ сбои были устранены быстрее, он объясняет тем, что в эту систему легче внести изменения.

Авторство: 
Копия чужих материалов
Комментарий автора: 

Ну, что можно сказать? Восстановили вроде быстро, так что никаких особых последствий для потребителей возникнуть и не должно бы. Тем не не менее - понять "что это было" - конечно же стоит.

К сожалению, "Ъ" - в своем амплуа, больше набрасывает, чем дает информацию. Но на безрыбье - и рак - рыба.

Может кто более точно знает: это было тупо разгильдяйство? Атака? Учения? Пиар-компания за переход на НСДИ? Что-то другое? Поделитесь, всем будет полезно. 

Комментарии

Аватар пользователя Сварог
Сварог(9 лет 5 месяцев)

из-за некорректной настройки DNSSEC

 Очень смешно. Всмысле, не что админы допустили ошибку, а то что вообще возможность для этого существует. Нет автоматической проверки корректности предполагаемых изменений. Изменения не проверяются вторым админом, или даже третьим. Что мешает изменения сначала тестировать на мышках.

Аватар пользователя Генадич
Генадич(3 года 7 месяцев)

По тому что любой админ царь и бог и попытка предложить ему проверку вызовет объявление вендетты.

Аватар пользователя Сварог
Сварог(9 лет 5 месяцев)

 Чушь.

Аватар пользователя Ёёё
Ёёё(6 лет 9 месяцев)

  вчера уже в горизонтальном положении дай думаю новостишки гляну... ничего не работало, ни мой мтс, ни домашний вайфай, ни один браузер на смартфоне... но афтершок загружался smile3.gif

  я подумал что всё... началось smile22.gif

Аватар пользователя Mr.Wolf
Mr.Wolf(5 лет 1 месяц)

Блин, опять обманули... smile14.gif

Аватар пользователя Ёёё
Ёёё(6 лет 9 месяцев)

  ладно, январь добили, в пятницу очередной просмотр дня сурка 0202... да, и с некоторых недавних пор новый год у нас начинается в конце февраля!

Аватар пользователя ДК
ДК(11 лет 8 месяцев)

а я уже думал начали сегментацию интернета

Аватар пользователя Kasapius
Kasapius(4 года 5 месяцев)

Автор правильно отметил, что читать Коммерсантъ, это как в помойке..

Есть факт, сбой был. Причина реально неизвестна. Никто вроде не говорил, что сбой был инициирован специально, для проверки чего-то , внесения каких-то изменений куда то.

Если он случился сам, то способы и выводы по борьбе с этим.

Если мы сами сделали, то значит так надо. Проверили всю устойчивость системы рурф. 

В любом случае автономность нам очень нужна в интернете. Прям проблема проблем. Здравствуй Виндоус. И завтра ничего не работает у нас 

Аватар пользователя Omni
Omni(11 лет 9 месяцев)

Если чинили, то явно не специально ломали, если починили быстро и никто не бахвалится, то не атака, а банальное раздолбайство.

За автономность не переживай.

Аватар пользователя Ёёё
Ёёё(6 лет 9 месяцев)

  щас я-браузер на компе отрубился, мелкомягкий едж за ним также, за ними весь комп... перезагружаю пока винду

smile14.gif