Krok 1. DNS — rekordy A/AAAA/CNAME oraz NS/SOA
Komenda
$hostName = "lkul.nalog.ru"
Resolve-DnsName $hostName -Type A
Resolve-DnsName $hostName -Type AAAA
Resolve-DnsName $hostName -Type CNAME
Resolve-DnsName "nalog.ru" -Type NS
Resolve-DnsName "nalog.ru" -Type SOA
Wynik
-
lkul.nalog.ru→ A = 213.24.64.178 (TTL 3600)
-
- Strefa
nalog.ru:-
- NS:
ns3.nalog.ru,ns4.nalog.ru
- NS:
-
- SOA admin:
defir_unixadmin.rt.ru
- SOA admin:
-
- Strefa
Interpretacja
To jest model „państwo trzyma wszystko u siebie”:-
- Brak CNAME do typowych globalnych pośredników (Cloudflare/Akamai/Imperva/Azure Front Door itd.).
-
- Własne serwery NS w domenie
nalog.ru.
- Własne serwery NS w domenie
-
- W SOA administrator
rt.ru– to wygląda na obsługę lub utrzymanie przez Rostelecom / infrastrukturę operatorską. To nie jest dowód na WAF, ale jest dowód na krajową warstwę telekomunikacyjno-hostingową.
- W SOA administrator
Krok 2. HTTP/HTTPS — nagłówki odpowiedzi i ślady warstwy pośredniej
Komenda
curl.exe -vkI https://lkul.nalog.ru/ 2>&1Wynik (kluczowe elementy)
-
HTTP/1.1 200 OK
-
Server: nginx
-
X-Powered-By: PHP/7.3.19
-
Set-Cookie: XSRF-TOKEN=...; samesite=lax
-
Set-Cookie: lkul_check_portal_session=...; httponly; samesite=lax
-
- Brak nagłówków typowych dla CDN/WAF:
-
- brak
Via, brakX-Cache, brakCF-*, brakAkamai-*, brakX-Iinfo/Incapsula, brak „challenge”.
- brak
-
- Brak nagłówków typowych dla CDN/WAF:
Interpretacja
To wygląda na bezpośredni front aplikacji, a nie na globalną usługę ochronną:-
- Dostajesz normalne 200 OK i normalne cookies aplikacyjne (XSRF + session).
-
- Nie ma „śladu palca” znanych WAF-ów w nagłówkach.
-
Server: nginxbywa fałszowany, ale w zestawieniu z DNS i certyfikatem niżej – tu raczej jest prawdziwy.
Krok 3. TLS — certyfikat i łańcuch z OpenSSL
Komenda
openssl s_client `
-connect lkul.nalog.ru:443 `
-servername lkul.nalog.ru `
-tls1_2 -showcertsWynik (kluczowe)
-
- Certyfikat serwera:
CN=*.nalog.ru
- Certyfikat serwera:
-
- Issuer:
GlobalSign GCC R3 DV TLS CA 2020
- Issuer:
-
- Łańcuch: GlobalSign (Root R3 → GCC R3 DV TLS CA 2020 → *.nalog.ru)
-
- TLS:
-
Protocol: TLSv1.2
-
Cipher: ECDHE-RSA-AES256-GCM-SHA384
-
Secure Renegotiation IS supported
-
- brak ALPN (czyli nie negocjuje HTTP/2)
-
- TLS:
Interpretacja
-
- *TLS kończony na infrastrukturze prezentującej certyfikat .nalog.ru. To ważne, bo gdyby siedział tu typowy globalny WAF/CDN, często widziałbyś albo ich cert/łańcuch, albo charakterystyczne cechy edge (np. wymuszone HTTP/2/3, specyficzne suites, dodatkowe nagłówki).
-
- CA = GlobalSign, DV. To jest dość „zachodnie” i „cywilne” (GlobalSign). Wniosek jest prosty: Rosja nie musi tu używać krajowego CA, a infrastruktura może być utrzymywana lokalnie mimo użycia globalnego urzędu certyfikacji. To nie jest wskaźnik WAF – to wskaźnik polityki certyfikatów.
-
- Brak ALPN, brak HTTP/2. To często koreluje z brakiem nowoczesnego edge/CDN, choć nie jest dowodem samym w sobie. W połączeniu z resztą: wygląda na „prosty, własny front”.
Wniosek końcowy: kto robi WAF / edge?
W skrócie: nie widać tutaj zewnętrznego WAF/CDN. Najbardziej spójny obraz jest taki:-
- Edge/hosting jest krajowy (DNS i SOA wskazują na otoczenie
rt.ru– operator/hosting).
- Edge/hosting jest krajowy (DNS i SOA wskazują na otoczenie
-
- Na froncie stoi nginx i klasyczny stos aplikacyjny (PHP + sesje + XSRF).
-
- Brak identyfikowalnych sygnatur globalnych WAF-ów w nagłówkach i zachowaniu.
-
- TLS jest negocjowany „normalnie”, bez cech typowych dla wielkich globalnych pośredników.
Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65