Как Роскомнадзор замедляет Twitter

Все уже в курсе, что 10 марта Роскомнадзор начал замедлять скорость работы твиттера в России из-за того, что соцсеть не стала удалять запрещённый контент.

Как это технически возможно?

Ведомство применило технологию «глубокого анализа пакетов» (DPI): она работает через специальное оборудование ТСПУ (технические средства противодействия угрозам). Его обязали устанавливать на сетях провайдеров после принятия закона «об автономном рунете», и оно способно фильтровать трафик между оператором и интернетом. Это дорогое оборудование, которое пока установили только самые крупные операторы и «большая четвёрка».

Устройства ТСПУ позволяют выявлять трафик конкретного ресурса или приложения, например, соцсетей. Затем они могут либо полностью его заблокировать, либо пропустить, либо замедлить — это называется «шейпингом». Такая техника управления сетью задумана для оптимизации сетей и увеличения пропускной способности одних типов пакетов за счёт задержки других.

Как считают сетевые специалисты, в случае с твиттером Роскомнадзор ограничивает скорость по именам доменов — вероятно, из-за того, что сервис хранит изображения и видео на отдельных поддоменах. Таким образом замедляют не только twitter.com, но и video.twimg.com, и даже CDN-серверы Akamai eip-ntt.video.twimg.com.akahost.net, video.twimg.com.eip.akadns.nen.

Когда DPI находит домен для ограничения скорости, он либо начинает сам замедлять соединение и пропускать только определённое количество пакетов в секунду, либо передаёт отметку маршрутизаторам провайдеров, чтобы замедление происходило на сетевом оборудовании. Скорость в среднем ограничивают до 128 кбит в секунду, а при обращении напрямую по IP скорость не замедляется.

Роскомнадзор обещает, что замедление в основном коснётся только фото- и видеоконтента, а передачу текста не ограничат. Вероятно, это связано с тем, что текст слишком небольшой по размеру: на скорость его публикации можно повлиять лишь незначительно.

Впервые о массовой установке DPI заговорили в 2018 году на фоне безуспешной блокировки Telegram: тогда Роскомнадзор, Минцифразвития и ФСБ проводили испытания систем в подмосковном Реутове. В конце года «Би-би-си» сообщал, что уже с 2019 года власти начнут блокировать сайты с помощью DPI и готовы потратить на это 20 миллиардов рублей, но о замедлении скоростей речи не шло.

По задумке чиновников, DPI решила бы проблему с методом обхода блокировок, которым пользовались разработчики Telegram, постоянно менявшие IP-адреса серверов. Это также позволило бы избежать ущерба в виде блокировок случайных ресурсов, оказавшихся на одном IP.

Применение DPI при ограничении доступа к Telegram уже тогда вызывало сомнения, ведь мессенджер мог, например, маскировать трафик под HTTPS или использовать инкапсуляцию. К тому же стало бы неясно, что именно и когда блокируется.

Непрозрачность замедления скорости — один из самых пугающих аспектов нового механизма ограничений рунета. Если о блокировке тех или иных ресурсов всегда можно было узнать благодаря специальному реестру запрещённых сайтов, то об ограничении скорости можно узнать лишь от самого Роскомнадзора — если он захочет об этом сообщить.

Суть проблемы очевидна на примере замедления скорости сайтов GitHub, Microsoft и Steam, которые случайно попали под ограничения. Если бы информация была открытой, вероятно, ошибку с «t.co» могли бы заметить раньше. Теперь, когда тот или иной сайт не загрузится как обычно, нельзя быть уверенным, что скорость доступа к нему ограничил не Роскомнадзор — намеренно или случайно. Проверить это наверняка можно только вручную, используя служебную программу curl.

Так же эксперты обращают внимание, что через оборудование Роскомнадзора проходит весь трафик всех пользователей, даже если он не ограничивается — устройства производит компания «РДП.РУ», они называются ЭкоDPI.

«Операторы давно, по своей воле и за свои деньги, используют оборудование этой фирмы для решения внутренних задач, вроде NAT или тех же блокировок. Но оно никогда не использовалось на деле так, как сегодня: для ограничения скорости от конкретного популярного ресурса с настоящей нагрузкой в сотни тысяч пользователей. Поэтому софт на оборудовании дал сбой, и так как через него проходит весь трафик, интернет раскорячило.»

«Шейпинг» трафика действительно не предназначен для массового ограничения скорости доступа к отдельным сайтам. Любая реализация «шейперов» имеет конечный буфер и по-разному справляется с его переполнением. Самый популярный способ — «отброс хвоста», когда весь приходящий трафик отбрасывается до тех пор, пока буфер заполнен до конца. В более сложных вариациях могут использоваться алгоритмы «случайного раннего обнаружения», которые тоже будут игнорировать часть трафика.

Хотя операторов давно обязали установить государственные DPI-устройства, процесс до сих пор идёт медленно. Поэтому Роскомнадзор использовал в своих целях DPI-оборудование, которое уже стояло у многих провайдеров. Есть мнение, что подобные устройства не могут справляться с по-настоящему большой нагрузкой долгое время. По его мнению, в конечном итоге это ударит по карману операторов, и, соответственно, абонентов.

Источник: https://masterok.livejournal.com

Поделиться ссылкой:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *