Роскомнадзор отменяет белые списки

Роскомнадзор отменяет белые списки

Роскомнадзор отменяет белые списки

У Роскомнадзора отпала потребность составлять «белые списки» сайтов, которые не должны блокировать операторы связи. Надзорное ведомство нашло технический способ предотвращать атаки, которые ранее приводили к блокированию популярных ресурсов.

В начале июня этого года создатели заблокированных Роскомнадзором сайтов подменяли их оригинальные IP-адреса на IP-адреса крупных законопослушных ресурсов (технически это довольно просто). В результате пользователи испытывали проблемы с доступом к ряду популярных российских сайтов, например к «Яндексу» и «ВКонтакте». Чтобы не допустить блокировки законопослушных ресурсов, Роскомнадзор оперативно разослал операторам связи «белые списки» сайтов, которые не должны быть заблокированы ни при каких условиях, пишет iz.ru.

— Проблема, из-за которой нам понадобились «белые списки», решена, — заявил на форуме «Спектр-2017» глава управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев. По его словам, ведомство придумало, как исключить блокировку законопослушных сайтов.

Ведомство сейчас мониторит DNS-атаки (с их помощью производят подмену IP-адреса) и старается их оперативно отслеживать, отметил замглавы Роскомнадзора Олег Иванов. По его словам, одновременно подключается система контроля со стороны операторов — разработан регламент оперативного их оповещения в случае блокировок.

Несмотря на все принятые меры, по словам Олега Иванова, ведомство не может исключить, что «белые списки» не понадобятся в дальнейшем.

— Это война, — отметил замглавы Роскомнадзора. — Компетентными органами были определены источники и персоналии, которые за этой атакой стояли.

По словам Олега Иванова, после создания «белых списков» в Роскомнадзор пришло большое количество писем от администраций различных сайтов — с просьбой добавить в них определенные ресурсы.

— «Мы такие нужные, критически важные, что должны быть внесены», — писали нам в письмах, — рассказал Олег Иванов. — Однако на сегодня нет определенных критериев для внесения или невнесения в «белый список».

Поэтому Роскомнадзор отозвал письмо провайдерам, в котором просил их создать «белые списки». Тем не менее, по словам Олега Иванова, ведомство консультируется с юристами по поводу создания таких списков в будущем.

— Возможно, мы еще вернемся к этому вопросу, — рассказал он.

Директор по взаимодействию с госорганами RDP.RU Алексей Болдин рассказал, что DNS-атаки по-прежнему возможны. Это связано с тем, что многие операторы связи до сих пор используют примитивные методы фильтрации. Например, блокируют запрещенные ресурсы по IP-адресу или осуществляют предварительную фильтрацию по IP на маршрутизаторе. Такие сети уязвимы для возможной DNS-атаки, при которой владелец заблокированного ресурса добавит к своему домену большой список различных IP-адресов. В этом случае таблица доступа маршрутизатора может переполниться — и это приведет к сбою в работе сети. Безусловно, это отразится на пользователях. Алексей Болдин отметил, что решить проблему можно путем предоставления Роскомнадзору полномочий не просто рекомендовать способ блокировки, а устанавливать его на законодательном уровне.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число «зондирующих» DDoS-атак в России выросло в 10 000 раз

Компания StormWall зафиксировала резкий рост коротких «зондирующих» DDoS-атак в рунете. Такие атаки, длящиеся не более 15 минут, используются злоумышленниками не для нанесения прямого ущерба, а в разведывательных целях — чтобы понять, как устроена защита, какие фильтры срабатывают, где слабые места.

По данным StormWall, в мае 2025 года таких атак было свыше 450 тысяч, тогда как год назад — всего 44. Это взрывной рост — в 10 000 раз. Почти половина всех DDoS-атак в первом квартале 2025 года также укладывается в категорию «зондирующих».

Как правило, они идут по HTTP/HTTPS (уровень L7) и имитируют действия обычных пользователей — например, с ограниченного числа IP-адресов запускаются HTTP-флуды или формируются всплески RPS без длительной нагрузки. Это затрудняет их обнаружение: классические фильтры или WAF могут не среагировать.

Есть несколько косвенных признаков, по которым можно заподозрить зондирование:

  • короткие, повторяющиеся всплески трафика;
  • неожиданные пиковые нагрузки на frontend, API или админки;
  • кратковременные перебои (5–10 минут);
  • флуктуации без очевидной причины.

Если такие сигналы появились, специалисты рекомендуют усилить наблюдение за инфраструктурой — от сети до приложений, перепроверить работу защитных механизмов (WAF, rate limiting, антибот-фильтры), при необходимости — переобучить поведенческую модель. В ряде случаев может потребоваться пентест или имитация атаки, чтобы подготовиться к возможному масштабному удару.

По словам представителей StormWall, игнорировать «зондирующие» атаки нельзя. Это подготовка к чему-то большему. Если система не будет готова, в момент настоящей атаки могут быть серьёзные перебои, компрометация API или внутренних компонентов. В отдельных случаях — ощутимые финансовые потери для бизнеса, особенно в сфере e-commerce, доставки, бронирования и онлайн-игр.

Недавно мы писали про самую мощную DDoS-атаку в истории: Cloudflare отбила удар в 7,3 Тбит/с.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru