«Яндекс» поделился опытом использования технологии DPI, предписанной законом о суверенном Рунете, во время сетевой атаки на свои сервисы. Атаку в конечном счете удалось отбить, но из-за DPI доступ к сервисам был медленным.
Печальный опыт «Яндекса»
Недостатки технологии глубокой фильтрации трафика (DPI), повсеместное внедрение которой предусмотрено законом о суверенном Рунете, вызвали нарушения в работе сервисов «Яндекса» во время сетевой атаки, которая имела место в середине марта. Об этом сообщает РБК со ссылкой на директора по развитию сетевой инфраструктуры «Яндекса» Алексея Соколова. Заявление прозвучало на конференции «Обеспечение доверия и безопасности при использовании ИКТ».
«У нас пару недель назад невольно произошли некие «учения», когда по причинам, связанным с блокировками Роскомнадзора, трафик (до ресурсов «Яндекса»; —прим. CNews) пошел через существующие сейчас у операторов системы DPI. После этого большинство сервисов обвалилось, пользователи испытывали дикие трудности, и, соответственно, что это такое — пропускать трафик через DPI — мы на своей шкуре уже испытали», — приводит издание слова Соколова.
Заявление прозвучало на фоне того, что сегодня Госдума в третьем чтении приняла законопроект о безопасной и устойчивой работе Рунета, о чем и сообщила на своем сайте. Новый закон предполагает создание национальной системы маршрутизации трафика, при которой Рунет сможет работать в случае масштабной атаки извне.
«Из контекста закона (о суверенном Рунете; — прим. CNews) понятно, что вот эти средства борьбы с внешними угрозами представляют собой не более чем системы DPI, через которые планируется пропускать весь трафик. Соответственно, при текущих объемах трафика, таких DPI в мире не существует, и даже не разрабатывается, которые могли бы поддерживать такой режим без значительных потерь для сервисов», — отмечает Соколов.
Сетевая атака
В марте «Яндекс» и ряд других интернет-компаний подверглись DNS-атаке, которая была основана на умышленном изменении записи в системе доменных имен (Domain Name System, DNS). Злоумышленники использовали недостатки системы блокировки сайтов, которую применяет Роскомнадзор. С помощью DNS-атаки можно заблокировать совершенно законопослушный сайт, если в распоряжении преступника имеется домен, занесенный в реестр запрещенных ресурсов. Для этого достаточно привязать IP-адрес данного сайта к домену.
«Яндекс» пожаловался на замедление работы сервисов при глубокой фильтрации трафика
После того, как злоумышленники провели эту операцию, часть некрупных операторов заблокировала у себя некоторые IP-адреса «Яндекса». Крупным же операторам, которые блокируют нелегальные ресурсы с помощью DPI, пришлось фильтровать весь трафик, который шел на сервисы «Яндекса», через эту систему. Сервисы удалось спасти от блокировки, но при этом скорость доступа к ним для пользователей снизилась.
Подводные камни DPI
Системы глубокой фильтрации трафика (Deep Packet Inspection, DPI) осуществляют проверку сетевых пакетов, чтобы отфильтровывать вредоносное ПО, данные запрещенных приложений и сайтов, и другую информацию, которую по каким-либо причинам не следует пропускать. Помимо того, что это дорогостоящие системы, фильтрация трафика через DPI может вызвать задержки в его прохождении.
Опрошенные РБК эксперты утверждают, что в настоящий момент операторы фильтруют с помощью DPI не весь трафик, а только ту его часть, где могут содержаться нежелательные данные. Если же через данные системы пропускать весь трафик, то это потребует финансовых затрат, которые в России не сможет себе позволить ни одна компания. При этом во время аномальных нагрузок в любом случае будет происходить снижение скорости.
Выступая ранее в Госдуме, Соколов уже затрагивал проблему «черных ящиков», которые новый закон предписывает устанавливать в интернет-компаниях. По его мысли, с технической точки зрения для этих ящиков можно использовать только DPI. Кроме того, он отмечал, что, возможно, такое оборудование нужно устанавливать не везде, в то время как формулировка закона обязывает к этому даже небольшие компании, если они хотят иметь резервирование. Топ-менеджер отметил, что такие компании могут начать массово отказываться от автономных систем и резервирования, чтобы избежать выполнения закона, и это может отрицательно сказаться на связности российского интернета.
Отметим, что за все время рассмотрения законопроекта парламентарии всего один раз встретились с представителями отрасли, на этой встрече и присутствовал Соколов. Законопроект получил поддержку «Единой России», и не был поддержан ЛДПР, СР и КПРФ. Часть новых правил начнет действовать с 1 ноября 2019 г., пункты о шифровании и национальной системе доменных имен вступит в силу с 1 января 2021 г.
Закон о суверенном Рунете
Напомним, законопроект об автономном Рунете был подготовлендепутатом Андреем Луговыми сенаторами Людмилой Боковойи Андреем Клишасом. Документ в виде поправок в законы «О связи» и «Об информации, информационных технологиях и защите информации» предполагают наделение Роскомнадзора полномочиями по контролю за интернет-трафиком.
Документ вводит понятие автономной интернет-системы — уникального идентификатора совокупности средств связи и иных технических средств в интернете, имеющих единую политику маршрутизации. По сути, речь идет об организации, владеющей собственным IP-пулом. Также документ предполагает предъявление требований к владельцам технологических сетей связи.
Согласно законопроекту, операторы связи, организаторы обмена информации в интернете (ОРИ, интернет-сервисы для обмена сообщениями), владельцы технологических сетей связи и автономных интернет-систем должны устанавливать специальное оборудование для противодействия технологическим угрозам. Данным оборудованием будет управлять Роскомнадзор, для указанных лиц оно будет устанавливаться бесплатно.
Лица, установившие данное оборудование, не будут нести ответственности за сбои в своих сетях, вызванные его работой. Законопроект вводит требование о фильтрации доступа к запрещенным сайтам, которое ранее накладывалось только на операторов связи, для ОРИ, владельцев технологических сетей и автономных интернет-систем. Но при установке оборудования Роскомнадзора все эти лица не должны будут самостоятельно фильтровать доступ к запрещенным сайтам.
Законопроект был поддержан Минкомсвязью, Роскомнадзором, Россвязью, ФСБ и ФСТЭК (Федеральная служба технического и экспортного контроля). В отрасли же документ вызвал противоречивую реакцию. Против него выступили Российский союз промышленности и предпринимателей (РСПП), «Вымпелком», МТС, «Мегафон» и «Яндекс».
Данные компании указывают, что хотя установка оборудования для противодействия техническим угрозам будет осуществляться бесплатно, операторы все равно понесут расходы на его поддержку. Кроме того, не понятно, как определить, был ли некий сбой в сети связи вызван работой данного оборудования или нет. При этом законопроект был поддержан «Ростелекомом» и Mail.ruGroup.