- PVSM.RU - https://www.pvsm.ru -
Красным указано оборудование ТСПУ (технические средства противодействия угрозам) — «чёрные ящики» от РКН, которые операторы связи размещают с подведением электропитания в отдельных стойках на своих площадка по всей стране, но доступа к устройствам не имеют.
10 марта 2021 года с 10 часов утра по московскому времени Рунет вступил в новые правила игры. Роскомнадзор начал «замедлять [1]» на 100% мобильный и 50% трафик широкополосного доступа сервиса микроблогов Twitter.
За этим последовало несколько знаменательных событий. Глобальная авария [2] на оборудовании Ростелекома на полдня нарушила доступ к госсайтам и сети оператора. Более 113 тыс. доменов оказались [3] в контуре «замедления» РКН, так как они имеют в своём название «t.co», короткий домен Twitter, на который реагирует оборудование ТСПУ.
Хабр совместно с коллегами из «РосКомСвободы [4]» постарался рассказать, почему такая ситуация стала возможной, что теперь делать пользователям и как будут развиваться события с Twitter и другими соцсетями.
Официальной публичной информации о том, как именно РКН это делает не существует. Ведомство начало готовиться [5] к этому с лета 2019 года. Именно тогда территориальные управления Роскомнадзора начали рассылать операторам связи по всей России требования предоставить сведения о точках обмена трафиком, а также схемы подключения оборудования провайдеров. Именно с помощью интеграции внутрь этих схем специального оборудования ТСПУ сотрудники РКН получили возможность «управлять» Рунетом.
С 1 ноября 2019 года вступил в силу закон об изоляции рунета. Роскомнадзор и операторы связи начали проводить [6] полноценное тестирование оборудования, которое позволит изменить маршрутизацию трафика и отфильтровать нежелательный контент. Система DPI (Deep Packet Inspection) работает на различных уровнях модели OSI (от второго до седьмого) по протоколам, приложениям, сервисам, включая multicast и служебные протоколы. Для первых испытаний универсальной системы фильтрации трафика (DPI) выбран Уральский федеральный округ [6]. Вероятно, что в Мурманской области некоторые провайдеры [7] также проводили аналогичное тестирование системы DPI.
Из-за секретности Роскомнадзора пока точно не известно, какое конкретно оборудование поставляется для «суверенного рунета», но можно сделать предположения, исходя из ассортимента продукции RDP.RU, что это в основном системы на базе EcoDPI [8].
Ещё не так давно операторы связи заявляли о том, что нет ни одного готового комплекса, полностью удовлетворяющего требованиям законодательства РФ, для «заглядывания» внутрь SNI [9], определения домена, а также использования более глубокого и расширенного во времени анализа трафика.
Комплекты ТСПУ от РКН анализируют весь интернет-трафик (пакеты) пользователей по ряду параметров и решают, пропустить его (по-умолчанию), ограничить скорость (правила для Twitter) или заблокировать (для запрещённых сайтов). Настраивают и управляют элементами ТСПУ специалисты РКН.
РКН включил сегодня утром в России специально настроенное оборудование ТСПУ, чтобы шейпить, а тем самым ограничивать скорость доступа к ресурсам Twitter. Фактически, ограничение скорости соцсети осуществляется по именам доменов, через DPI. Причём не только доменов Twitter непосредственно, но и CNAME-имён Akamai. В частности, замедление видеоконтента наблюдается на video.twimg.com, eip-ntt.video.twimg.com.akahost.net, video.twimg.com.eip.akadns.net, но не на более технических доменах, таких как cs531.wpc.edgecastcdn.net. При обращении к IP-адресу сервиса напрямую, без SNI, скорость остаётся высокая. Пассивный обход DPI помогает обходить замедление, например, при использовании nfqws.
Активация ТСПУ привела к тому, что РКН стал шейпить и множество других доменов. Сейчас в Рунете замедляется любой домен, содержащий в каком-либо месте в названии домена строку t.co (короткий домен твиттера). Например, под раздачу попали rt.com, reddit.com, microsoft.com, githubusercontent.com. В логику ТСПУ вставили проверку для замедления на все .*t.co.*, вместо, например, ^t.co$.
В итоге, по первоначальным подсчетам [10], более 113 тыс. хостов попадали под ограничение скорости из-за Роскомнадзора, включая icloud-content.com, pinterest.com, microsoft.com, blogspot.com, snapchat.com, googleusercontent.com (специальный домен для раздачи различных файлов от Google, вкл. медиа), deviantart.com, beget.com (российский
Вероятно, что это косвенно или напрямую связано с неработающими сервисами РТК, так как ТСПУ обрабатывало и тормозит все ресурсы, которые содержат последовательность t.co. Пострадали, например, www.rtcomm.ru [13] и субдомены типа ns01.rtcomm.ru и так далее. Такая проблема могла возникнуть из-за неаккуратного составления правил блокировки: в общеупотребимом синтаксисе регулярных выражений неэкранированный символ точки означает любой символ.
Сейчас rt.com уже в некоторых регионах не шейпится. Скорее всего, этот ресурс срочно внесли в исключения в ТСПУ, но не везде.
С начала этого года, согласно Федеральному закону от 30.12.2020 № 482-ФЗ [14] «О внесении изменений в Федеральный закон «О мерах воздействия на лиц, причастных к нарушениям основополагающих прав и свобод человека, прав и свобод граждан Российской Федерации» (страницы 5-6). А также в соответствии с законом «Об информации, информационных технологиях и о защите информации» (149-ФЗ [15]), после того, как распространение информации интернет-сервисом Twitter было внесено РКН в перечень угроз.
Именно согласно тексту ФЗ от 30.12.2020 № 482 РКН может ограничить полностью или частично доступ российских пользователей к проблемному сервису в сети Интернет. Это ведомство и начало делать, приняв меры централизованного реагирования.
Это довольно странное заявление РКН, которое вносит ещё больше неразберихи в рабочие гипотезы о том, как именно это сейчас реализовано. Дело в том, что если верна текущая рабочая гипотеза об использовании для шейпинга DPI-оборудования, через которое провайдеры обязаны «гонять» свой трафик, то возникает вопрос «почему именно 50%, а не все?». Вероятно, что используются какие-то локальные договорённости с конкретными провайдерами, чтобы те игнорировали обращения пользователей о замедлении и не отключали соответствующее оборудование для фильтрации, так как выбрано какое-то уж слишком ровное число. Или же РКН в курсе, что может контролировать мобильный трафик у операторов связи почти полностью, а ТСПУ у множества небольших локальных провайдеров по стране ещё не установлено. Или у ведомства нет возможности оперативно управлять таким большим количеством железок, поэтому ШПД также контролируется ТСПУ только у операторов связи, что оценивается РКН как половина от всех стационарных пользователей.
Во-первых, большинство стационарных пользователей, кроме в сети РТК и Дом.ру, замедления не замечают. По большей части эффект торможения и медленной загрузки сервисов заметили сегодня пользователи мобильных операторов связи. Например, сайт грузится дольше, чем обычно, картинки сначала обозначаются кваратиками, видео тормозит и долго включается.
Есть более однозначно определяющий «попадание под замедление» метод, но он требует некоторой технической подготовки. Метод заключается в использовании, например, утилиты cURL и подстановки разных доменов в SNI при запросах на нужный сайт (в случае которого есть возможность многоразового замера скорости скачивания определённого файла), и сравнении результатов: если замедление существенное (точно не укладывается в статистическую погрешность) и воспроизводится постоянно, то значит замедление есть. Однако, простым пользователям вполне можно опираться на личные наблюдения и «ощущения» по результатам обычного сравнения скорости загрузки контента на смартфоне, стационарном ПК или на смартфоне через VPN.
Самый простой и доступный способ — проксирование или туннелирование трафика, в том числе с использованием VPN. Да, теперь это становится насущной проблемой и у нас. Есть ещё варианты, связанные с обфускацией трафика (попытками замаскировать его под то, чем он не является), но для их реализации нужны определённые умения и возможности. Не каждый пользователь сможет их использовать.
Увы, прогнозировать пойдёт ли Twitter на уступки сейчас довольно сложно. Тут всё зависит, что называется, «от настроения» владельцев. Мы имеем и примеры «договаривающихся» соцсетей (типа того же Facebook), и примеры соцсетей, которые решили что накладные расходы на такие договоры выше, чем прибыль от частичной потери рынка — LinkedIn.
А ещё, очень хотелось бы помечтать о том, что Twitter присоединится к так называемому Fediverse — сообществу частных соцсетей, которые могут общаться друг с другом и не имеют единого центра, соответственно не имеют и единой точки отказа. И тогда также будет не страшна никакая потенциальная блокировка, о которой может далее пойти речь в недрах РКН в случае, если шейпинг не возымеет эффект.
РКН пока что не планирует блокировать соцсети и ещё только начал обкатывать работы элементов ТСПУ. Вероятно, что в течение некоторого времени будут возникать различные проблемы и ограничения у многих пользователей, пока ведомство не решит их или самостоятельно, или с помощью операторов связи. РКН может замедлить и другие соцсети, например, Facebook. Twitter с ~100 тыс. пользователей в России фактически РКН использует в качестве испытательного стенда для ТСПУ. У ТСПУ также есть ограничения по количеству одновременно обрабатываемых сессий. Нельзя так просто взять и начать шейпить все пользовательские сервисы — в сети начнутся зависания, вплоть до временного шатдауна.
Автор: Денис
Источник [16]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/twitter/362308
Ссылки в тексте:
[1] замедлять: https://habr.com/ru/news/t/546280/
[2] Глобальная авария: https://twitter.com/Rostelecom_News/status/1369587254621003776
[3] оказались: https://ntc.party/t/twitter/907/45
[4] РосКомСвободы: https://habr.com/ru/company/roskomsvoboda/
[5] начало готовиться: https://habr.com/ru/post/459894/
[6] начали проводить: https://habr.com/ru/news/t/469121/
[7] Мурманской области некоторые провайдеры: https://habr.com/ru/news/t/471970/
[8] EcoDPI: https://rdp.ru/products/service-gateway-engine/ecodpi/
[9] SNI: https://habr.com/ru/company/webo/blog/327410/
[10] первоначальным подсчетам: https://ntc.party/t/twitter/907/49
[11] хостер: https://www.reg.ru/?rlink=reflink-717
[12] ValdikSS: https://habr.com/ru/users/valdikss/
[13] www.rtcomm.ru: http://www.rtcomm.ru
[14] 30.12.2020 № 482-ФЗ: http://publication.pravo.gov.ru/Document/View/0001202012300002?index=4&rangeSize=1
[15] 149-ФЗ: http://www.consultant.ru/document/cons_doc_LAW_61798/
[16] Источник: https://habr.com/ru/post/546422/?utm_source=habrahabr&utm_medium=rss&utm_campaign=546422
Нажмите здесь для печати.