Cloudflare интегрирует скрытые службы Tor в свои DNS

Cloudflare запустила интегрированную службу DNS Tor. Служба является преобразователем DNS (Domain Name System), который похож на URL-адреса, такие, как «Cloudflare.com» с их конкретными и соответствующими числовыми IP-адресами. Это помогает пользователям выявлять, где данный домен размещается на географическом уровне, и затем может сопоставлять его с соответствующими серверами и аппаратными устройствами. Это означает, что имя домена предоставляет людям всю информацию о том, кто контролирует и владеет определенным сайтом.

Согласно Cloudflare, процесс включал очистку своих журналов, которые не сохраняли IP-адреса клиентов.

Глобальный сбой Cloudflare

В заявлении Cloudflare объявила, что на сервисе resolver произошел сбой, указывающий на то, что это был глюк в своей собственной системе, а не кибер-атака. «Благодаря контролю над кодированием в нашем Gatebot DDoS mitigation pipe» (смягчение атак DDoS).

Gatebot может предложить защиту от множества различных типов DDoS-атак 7, 4 и 3 уровней, путем сбора и измерения прямого трафика для автоматического обнаружения вредоносного трафика, а также выбрать оптимальный способ смягчения.

После получения нового кода, Gatebot сразу же начал перехватывать трафик Cloudflare, обозначая его как атаку, а затем блокировал. Это связано с тем, что одно из изменений, внесенных в новую версию, включает автоматизацию процесса, в котором Gatebot определяет, является ли адрес IP-адресом Cloudflare или нет. В ходе интеграции разработчик не учитывал исключение диапазона IP-адресов.

По сообщению компании:

API Provision API RESTful просто используется для предоставления такого рода информации. Ранее перед его использованием Gatebot должен был выполнить полную конфигурацию, для определения подлинности IP-адреса Cloudflare, проверив длинный список сетей из файлов с ручной кодировкой. Поэтому мы интегрировали новый код, который связывает Gatebot с Provision AIP. То, что не было включено кодерами, было вручную закодированным списком адресов Cloudflare Gatebot для 1.1.1.0/24 и 1.0.0.0/24 рекурсивных диапазонов IP распознавателя DNS. Вся идея исправления заключалась в том, чтобы просто закрыть ручную кодировку gotchas. Gatebot, логическая система для автоматического смягчения DDoS. Она очень эффективна, но тщательного исследования мы увы не провели. Вся идея заключалась в том, чтобы избавиться от подводных камней.

Это сложный и поучительный рассказ для тех, кому поручено программировать сложные алгоритмы, входящие в автоматизированную логику смягчения. Адрес resolver dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion, доступный через tor.cloudflare-dns, такой же сложный, как выглядит, поскольку он является основным открытым ключом, который используется при шифровании связи со скрытой службой. Он использует HTTP-заголовок Alt-Svc для отправки уведомлений в браузер о том, где и как получить доступ к источнику. Отмеченное сообщение обычно поддерживается Mozilla с Firefox Nightly, предлагающим адреса .onion в качестве альтернативной службы.

Этот заголовок уведомляет браузер о том, что адрес .onion доступен для tor.coudflare-dns.com, например, в случае с прокси-сервером SOCKS, и только после этого браузер продолжает проверять информацию о безопасности, такую как имя сервера и сертификаты. Если все в порядке, браузер отправляет запросы на альтернативную службу, которая является скрытым разрешением Tor, но убедитесь, что ваши последующие запросы не покидают сеть Tor.

Согласно Cloudflare, в пакете есть несколько других защит, предлагающих скрытый сервис:

В частности, пользователи защищены от атак деанонимизации и вредоносных узлов, которые могут разоблачить детали истории просмотра или даже лишить SSL. Единственное идеальное решение для таких атак - полностью исключить необходимость для этих выходных узлов с помощью скрытой службы. Если ваш клиент не поддерживает прямую поддержку зашифрованных DNS-запросов, использование скрытой службы распознавателя может защитить ваше соединение от атак по пути, а также атаки на захват BGP.

Чтобы быть в курсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/ruonionblog