Как Роскомнадзор блокирует вам интернет

Система фильтрации трафика: как работает DPI и ТСПУ

Устройства, которые Роскомнадзор использует для анализа и фильтрации трафика, называются ТСПУ. Расшифровка этой аббревиатуры: технические средства противодействия угрозам. Это те самые "черные ящики", которые установлены у всех российских операторов связи и интернет-провайдеров.

На самом деле ТСПУ выглядит как стойка с серверами, сетевым оборудованием и множеством кабелей. “Черными ящиками” их называют потому, что операторы не контролируют их работу. Их контролирует ЦСУ — центральная система управления, которая и применяет требования Роскомнадзора в сетях операторов.

ТСПУ бывают двух типов:

1. Тип А (первый эшелон) — основной тип оборудования, устанавливаемый у большинства операторов связи. Он предназначен для обработки большей части трафика и фильтрации ресурсов. В статье мы будем описывать именно его работу.

2. Тип Б (второй эшелон) — используется как дополнительный, работает с трафиком, который не прошел через ТСПУ типа А, а также с асимметричным трафиком.

Из чего состоит и как работает ТСПУ

ТСПУ состоит из трех основных компонентов:

1. Байпас — это устройство, которое обеспечивает физическую защиту канала связи. Он отправляет проверочные пакеты следующему компоненту в цепочке (балансировщику), чтобы убедиться, что он работает. Если ответа нет, байпас переключает трафик напрямую, чтобы сеть оператора оставалась работоспособной.

   В России используются байпасы Silicom (федеральный проект) и GL Sun (пилот на Урале). Silicom умеют плавно переключаться между режимами работы, а GL Sun — только аварийно отключаются.

2. Балансировщик принимает трафик от байпасов и применяет первые правила. Например, пропускает служебный трафик без фильтрации.

   Также балансировщик отслеживает состояние фильтров, отправляя им проверочные пакеты, и распределяет по фильтрам трафик на основе хэша (по IP-адресам и протоколам — TCP/UDP). Хэш симметричен, поэтому входящий и исходящий трафик одной сессии не разделяются.

3. Фильтры получают трафик от балансировщика, анализируют его и определяют: пропускать или блокировать. В фильтрах трафик подвергается последовательной обработке:

   3.1. Извлечение IP-пакета. Трафик, проходящий через ТСПУ, может быть инкапсулирован — пакеты “завернуты” один в другой с добавлением новых заголовков. Фильтр снимает внешние заголовки, чтобы достать IP-пакет, с которым может работать система DPI.

   3.2. Проверка по ACL. Access Control List (список контроля доступа) — это набор правил, который определяет, как дальше обрабатывать трафик: пропустить, заблокировать или передать на DPI-анализ. ACL работает на основе простых параметров: IP-адресов, портов, протокола (TCP/UDP).

   3.3. DPI-движок — это ядро всей системы ТСПУ. Система Deep Packet Inspection (глубокой проверки пакетов) рассматривает сессию целиком: адреса, порты, размеры пакетов, метаданные, сигнатуры протоколов, поведенческие характеристики. Она сопоставляет параметры сессии с набором правил, сформированных на основе списков Роскомнадзора, и решает: блокировать трафик, замедлить или пропустить.

Где устанавливаются “черные ящики” ТСПУ

ТСПУ встраиваются прямо в линию связи интернет-провайдера, чтобы анализировать весь проходящий трафик. Точка установки зависит от архитектуры сети конкретного провайдера. В зависимости от этой точки системе ТСПУ может быть лучше или хуже видно ваш реальный трафик и IP-адрес.

Варианты установки ТСПУ:

1. Между абонентом и терминатором сессий. Терминатор сессий снимает с трафика дополнительный слой (терминирует PPPoE-инкапсуляцию) и дальше передает обычные IP-пакеты. Если ТСПУ располагается до него, ему приходится извлекать IP-пакеты самостоятельно — это добавляет сложности. Зато здесь хорошо видно реальный трафик абонентов.

2. Между терминатором сессий и преобразователем IP-адресов. Здесь PPPoE уже нет, трафик — обычные IP-пакеты. Фильтры видят частные адреса абонентов. Это позволяет ТСПУ напрямую находить сессии конкретных абонентов.

3. Между преобразователем IP-адресов и интернетом. Здесь частный IP-адрес абонента уже преобразован в публичный IP оператора, поэтому ТСПУ не может однозначно связать IP с реальным устройством.

Как Роскомнадзор блокирует доступ к интернету

В большинстве случаев блокировка интернет-ресурсов не требует анализа всей сессии. Решение можно принять на раннем этапе: по IP-адресу или порту из заголовков пакета либо по данным, которые появляются в первых пакетах соединения.

Самый простой пример — блокировка по IP:

1. Вы пытаетесь открыть сайт из реестра запрещенных Роскомнадзором.

2. Ваш трафик приходит в ТСПУ. По первому же пакету трафика устройство видит адрес назначения — вся нужная информация находится в заголовке.

3. Адрес есть в списке блокировки — соединение сбрасывается.

Такой подход хорошо масштабируется и применяется массово. Однако у него есть побочный эффект: один IP-адрес часто используется сразу несколькими сайтами. В этом случае блокировка одного ресурса приводит к недоступности всех сервисов, расположенных на том же адресе.

Также модель блокировки по IP или порту не подходит для зашифрованного или замаскированного трафика. В этом случае требуются более сложные и ресурсоемкие методы фильтрации.

Как Роскомнадзор борется со сложными протоколами на примере Telegram

Сложные протоколы, такие как у Telegram, WhatsApp и продвинутых VPN, невозможно распознать сразу. Они используют различные приемы для обхода DPI: например, шифруют полезную нагрузку, изменяют паттерны трафика, маскируются под HTTPS.

При работе со сложным трафиком DPI-система анализирует несколько первых пакетов по множеству параметров, таких как начало соединения (handshake), размеры, интервалы между пакетами. В результате система делает предположение: “это соединение похоже на Telegram”.

Однако это только предположение: другой шифрованный трафик может ошибочно определяться как Telegram. Блокировка на этом этапе опять же приведет к тому, что перестанут работать случайные легитимные ресурсы. Поэтому DPI-системы используют двухэтапную блокировку: сначала “подозревают”, потом “доказывают” и блокируют.

Двухэтапная блокировка

Этап 1: Распознавание

На первом этапе DPI-фильтры распознают подозрительные протоколы, но не блокируют их. Они записывают данные в журналы логов и отправляют их в центральную систему управления.

Этап 2: Блокировка

Центральная система управления собирает данные с множества фильтров одновременно и выявляет закономерности: убирает случайные совпадения, оставляя только устойчивые паттерны. Из всех сессий, распознанных как Telegram, она формирует список адресов или узлов. Список отправляется обратно на фильтры для точечной блокировки.

Российская система фильтрации трафика уже стала одной из самых сложных распределенных DPI-инфраструктур: в отличие от китайской модели с крупными национальными точками контроля, она опирается на множество узлов в сетях операторов, управляемых централизованно.

Тем не менее в России остаются VPN-сервисы, которым по силам обход DPI. С ними Telegram и другие заблокированные ресурсы продолжают работать.

Борьба Роскомнадзора и VPN-сервисов — это постоянная гонка технологий: в какой-то момент одна сторона имеет преимущество, потом другая. В современных условиях цензуры пользователям стоит отдавать предпочтение сервисам, которые годами участвуют в этой гонке, и учитывать, что реакция на блокировки может занимать определенное время.

FAQ