Средства для фильтрации трафика Рунета, которые Роскомнадзор использует в том числе для ограничения доступа к запрещенным ресурсам, перегружены и не справляются с блокировками, узнал Forbes. Проявляется перегрузка в том числе таким образом, что иногда становятся доступны WhatsApp (принадлежит Meta, которая признана экстремистской организацией и запрещена в России), в чем убедились корреспонденты Forbes, и другие заблокированные сервисы. Эксперты допускают, что к таким последствиям могло привести замедление Telegram, требующее больших мощностей

«Не хватает пропускной способности»

Роскомнадзор (РКН) перестал полностью справляться с блокировками, рассказал Forbes источник в одном из операторов фиксированной связи. По его словам, заблокированные ранее ресурсы время от времени становятся доступными. В частности, как убедились корреспонденты Forbes на личном опыте, а также опросив родных и знакомых, появился доступ к WhatsApp.

Кроме того, у ряда операторов на некоторых подсетях IP-адресов заработал YouTube. «Причина, почему ТСПУ (технические средства противодействия угрозам) не справляются, неизвестна, но подтверждение этой информации идет из разных каналов — и от операторов, и от пользователей», — отметил источник.

«Насколько мы понимаем, у РКН не хватает пропускной способности обработать весь трафик Рунета, чтобы полностью заблокировать все запрещенные ресурсы», — подтверждает источник Forbes в магистральном операторе. Он напоминает, что ТСПУ — это, по сути, фильтр, который пропускает через себя весь трафик операторов связи, и это оборудование имеет ограничения по пропускной способности.

ТСПУ фильтруют весь трафик российских операторов связи. РКН, согласно закону о суверенном интернете, самостоятельно устанавливает это оборудование на сетях операторов связи и обслуживает. Оно позволяет блокировать доступ к запрещенным ресурсам с помощью технологии DPI (Deep Packet Inspection, глубокая фильтрация трафика по содержимому пакетов).

У ТСПУ предусмотрен режим bypass (с англ. «обход»), поясняет источник в ИБ-департаменте крупной компании: если система не справляется с обработкой трафика, его можно пустить напрямую, без фильтрации. По оценке собеседника Forbes, в настоящее время используется около 2,5 млн правил фильтрации, то есть параметров, по которым анализируется трафик. Мощность узлов ТСПУ далеко не одинакова, подчеркивает источник, и если какие-то из них не справляются с трафиком, то включают режим bypass: «Поэтому и становятся временно доступными заблокированные ресурсы».

Решения уполномоченных органов о снятии ограничений в отношении мессенджера WhatsApp не поступали, сообщили в пресс-службе РКН.

В «Ростелекоме» (владеет Т2), МТС, «Вымпелкоме» (бренд «Билайн»), «Мегафоне» отказались от комментариев.

Временная доступность

«Насколько я понимаю, пропускная способность ТСПУ (это DPI-оборудование производства «РДП.РУ» — дочерней структуры «Ростелекома») составляет 100 Гбит/с. На работу устройства DPI влияют и другие параметры, в том числе емкость таблицы состояний (определяет стабильность работы под нагрузкой) и глубина анализа (определяет, успеет ли устройство разобрать поток без задержек)», — говорит партнер Comnews Research Леонид Коник.

Эксперт не исключает, что временная доступность заблокированных ресурсов связана с переброской всех ресурсов ТСПУ на замедление Telegram. «Но операторы говорят, что РКН периодически удаленно перезагружает ТСПУ, и в это время происходит сброс всех настроек. Сколь долго ТСПУ работает в режиме полного пропуска трафика, мне неизвестно. Также операторы сами периодически по каким-либо причинам отключают электропитание ТСПУ. Несмотря на то что сами эти устройства принадлежат РКН, электричество для них предоставляют и оплачивают операторы», — указывает Коник.

«На пределе»

Роскомнадзор еще в начале года задумывался о том, как освободить необходимые мощности ТСПУ для блокировки Telegram, рассказывает источник Forbes на телекоммуникационном рынке. По его словам, сейчас ТСПУ перегружает не столько блокировка самого мессенджера, сколько использование встроенного прокси (посредник между пользователем и ресурсом) MTProxy. «Он генерирует много мусорного трафика, который не похож на трафик Telegram, что создает нагрузку на ТСПУ», — поясняет собеседник издания.

MTProto Proxy, или MTProxy, — сетевой протокол семейства MTProto, разработанный командой Telegram. Трафик шифруется по криптографическому протоколу MTProto, на основе которого шифруются все данные в инфраструктуре Telegram.

Независимый IT-эксперт Филипп Кулин не исключает, что такое возможно, не обязательно с использованием собственного прокси Telegram. «Такого типа прокси-протоколы заставляют клиента сервиса генерировать тысячи небольших валидных запросов куда-либо. Когда количество запросов выходит за пределы стандартного числа, ТСПУ может не справиться», - рассуждает он. В публично доступных программах прокси Telegram, включая собственно софт мессенджера, заявленной функциональности, по его словам, нет. При этом Кулин подчеркивает – это теоретические размышления, на практике он этого не видел: «Хотя слухи ходят».

Бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий рассказал, как устроена работа MTProxy. По его словам, это встроенный в Telegram тип прокси-серверов, разработанный специально для защиты и маскировки трафика мессенджера. «Он работает эффективнее VPN (virtual private network, виртуальная частная сеть), так как не только заставляет трафик выглядеть как простое зашифрованное HTTPS-соединение, но и заточен исключительно под протокол MTProto Telegram, что обеспечивает более быструю работу, чем обычный VPN», — пояснил эксперт. Поддержка таких прокси встроена непосредственно в настройки Telegram и не требует установки сторонних приложений, говорит Лукацкий: «Хотя серверная часть, разворачиваемая в облаке, при этом, конечно, нужна».

Поскольку MTProxy специально разрабатывался для обхода цензуры, он реализует несколько совершенно различных методов сокрытия трафика Telegram, продолжает Алексей Лукацкий. Это заставляет ТСПУ, по его словам, тратить больше вычислительных ресурсов на попытки анализа содержимого или вынуждает их блокировать трафик полностью, что требует обработки каждого пакета. «Последнее также приводит к существенной нагрузке на ТСПУ, который должен «не забывать» блокировать и другие запрещенные в России сервисы. Возможно, именно эта работа «на пределе» и приводит к тому, что ТСПУ не справляется с нагрузкой и начинает пропускать трафик, который должен блокировать», — размышляет он.

Источник: forbes