Поговорим про DPI? В России эту аббревиатуру DPI большинство интернет-пользователей воспринимает негативно, так как она ассоциируется с блокировкой Телеграма – по мнению многих, одного из самых юзер-френдли мессенджеров. В 2018 году это событие вызвало широкий общественный резонанс. Конечно, DPI позволяет блокировать приложения, будь то мессенджеры, соцсети, да и вообще любой сервис в сети, однако сценариев применения операторами DPI гораздо больше. Вот несколько типовых примеров.
Сценарии использования DPI
Под DPI (Deep Packet Inspection) подразумевается глубокий анализ пакетов, который позволяет «заглянуть» в трафик до уровня Layer 7 модели OSI и далее делать с этим трафиком что угодно: приоритизировать, пересылать по заранее определенным маршрутам, дублировать, блокировать, «шейпить» (то есть уменьшать полосу), и т.д.
Сценарий #1
DPI способен на большее, например, с его помощью можно переключать каналы связи между приложениями при сбоях и бесшовно переключаться на альтернативные маршруты так, что пользователи сервиса «Х» даже не узнают о том, что произошла авария на каналах связи.
Сценарий #2
Еще один сценарий использования DPI — приоритизация приложений. Чтобы было легче понять суть приоритизации DPI, приведу такой пример: Например, у нас есть дорога, по ней едут автомобили, и началась пробка (аналогия с забиванием канала провайдера). Совершенно очевидно, что критически важному транспорту (скорая помощь, пожарные, полиция) нужно проехать эту пробку как можно быстрее. Но как DPI идентифицирует тех, кому нужно срочно пробраться через пробку? Для этого надо маркировать машины (приложения в трафике), чтобы DPI смог находить приоритетные приложения из всего потока. Именно таким выявлением и занимается DPI.
Сценарий #3
DPI применяют в сфере Security Issues, например для определения аномальных запросов, чтобы оперативно реагировать на DDoS-атаки, вирусы и прочие подозрительные события в сети.
Сценарий #4
Реализация специальных тарифов с гарантированным доступом к сервисам. Например, бесплатный доступ к мессенджерам (WhatsApp, Telegram) можно встретить у операторов связи из большой четверки. DPI позволяет идентифицировать использование приложений, которые предоставляются абоненту бесплатно согласно тарифу, и не тарифицировать подобные сервисы.
Предлагаю теперь посмотреть, как DPI развивался в России и странах СНГ и какие вендоры присутствуют на этих рынках.
2004 год
Allot в России
Израильская компания Allot Communications начала продвижение и предоставление своих решений на российском рынке.
«Первый клиент у нас появился в 2004 году — это был „Транстелеком“, но это было для службы безопасности. Для внутренней сети», — говорит Роман Ферстер, энергичный глава RGRCOM, дистрибутора израильского Allot в России.
Продуктовое портфолио Allot включает в себя cемейство решений NetEnforcer, позволяющих управлять LAN-трафиком для повышения QoS/SLA и осуществлять мониторинг трафика в реальном времени на базе оператора связи.
2009 год
«МегаФон» внедрил DPI от Huawei
2010 год
Alcatel-Lucent установила адаптеры интегрированных услуг ISA (Integrated Services Adapter) на имеющиеся у Armenian Datacom Company сервисные маршрутизаторы. Адаптеры ISA используют технологию «глубокой инспекции пакетов»
Компания Alcatel-Lucent объявила о том, что Armenian Datacom Company (ADC), альтернативный оператор сети передачи данных в Армении, приобрел решение Alcatel-Lucent для управления потоками IP-трафика с одновременной поддержкой качества обслуживания клиентов и контролем над расходами сети.
2011 год
DPI от Cisco
МГТС ввела в эксплуатацию новый программно-аппаратный комплекс по управлению интернет-трафиком и фильтрации веб-контента в московских школах.
Установленная МГТС система фильтрации контента запрещает доступ к веб-страницам с эротическим содержанием, ограничивает доступ к сайтам, посвященным алкоголю, курению, наркотикам, терроризму, экстремизму, а также к ресурсам, предлагающим нелегальную помощь школьникам и студентам в решении контрольных и экзаменационных задач.
2012
В России начал действовать единый реестр запрещенных сайтов
Роскомнадзор, ответственный за реестр, вносит интернет-ресурсы в список запрещенных сайтов на основании судебных решений, а также данных, полученных от МВД, ФСКН и Федеральной службы по надзору в сфере защиты прав потребителей. Реестр размещен по адресу zapret-info.gov.ru.
Интернет-общественность была против. Законопроект предусматривал блокировку сайтов как по адресам конкретных страниц (URL), так и по IP-адресам. Блокировка по IP-адресу чревата тем, что вместе с противоправным сайтом заблокированными оказываются и законопослушные ресурсы, также использующие этот адрес.
«Вымпелком» внедрил DPI-решение Procera Networks
Компания «Инфосистемы Джет» объявила о реализации проекта по внедрению на сети «Вымпелкома» DPI-решения Procera Networks, выбранного оператором в рамках программы оптимизации и развития собственной транспортной сети.
2014 год
DPI от Procera / Yota и «Инфосистем Джет»
Компании Yota и «Инфосистемы Джет» завершили проект по внедрению комплекса динамического управления трафиком на базе DPI от Procera и программного продукта компании «Инфосистемы Джет» Jet Subscriber Manager (JSM). Решение позволяет анализировать структуру проходящего контента и оптимально перераспределять полосу пропускания между сервисами. В результате повысилось качество предоставляемых услуг для пользователей, сообщили «Инфосистемы Джет» изданию CNews.
DPI PL10024 компании Procera Networks (США) внедрена на сети МГТС
Каталог платформы содержит 100 млн записей, на основе которых производится блокировка сайтов с запрещенным контентом.
МегаФон внедрил DPI от Procera Networks
2017 год
Tele2 внедрила DPI компании Ericsson
2018 год
Сбой в сети «Транстелекома»
При внедрении DPI у ШПД операторов случаются серьезные сбои.
Вечером 14 марта 2018 г. пользователи «Транстелекома» испытывали проблемы с доступом в интернет. Пресс-служба компании сообщила, что из-за кратковременного сбоя в некоторых городах абоненты провайдера испытывали снижение качества сервиса, но проблема была оперативно исправлена.
По мнению Филиппа Кулина (основатель проекта Эшер II – мониторинг реестра запрещенных сайтов Роскомнадзора), злоумышленники решили воспользоваться этим моментом и начать «атаку» через Реестр запрещенных сайтов. Для этого они получили доступ к доменам двух ресурсов, – tlpp.biz и piek.biz, – заблокированных ранее за распространение наркотических средств.
Далее на двух вышеупомянутых доменах было создано 296 поддоменов. Затем в системе DNS (отвечает за соответствие доменов и IP-адресов) к каждому из этих поддоменов добавлялось по несколько тысяч IP-адресов. Отметим, что владелец домена может в системе DNS приписать к нему любой IP-адрес, в том числе и не используемый им.
Так, злоумышленники приписали к своим доменам более 1 млн IP-адресов, подсчитал Кулин. Это и вызвало технические проблемы на сети «Транстелекома», так как оборудование провайдера автоматически определило все эти адреса и попыталось их заблокировать.
Это уже не первый случай, когда злоумышленники пытаются устроить сбои, используя механизм автоматического определения провайдерами IP-адресов заблокированных сайтов. В 2017 г. к ряду доменов заблокированных ресурсов были добавлены IP-адреса известных сайтов.
Несостоявшаяся блокировка Telegram в России
Роскомнадзор блокировал Telegram с апреля по решению суда за отказ передать ФСБ ключи для дешифровки сообщений пользователей.
Ранее Telegram изменил политику конфиденциальности и назвал условия предоставления спецслужбам данных пользователей. Суть обновлений раскрывается в пункте 8.3 «Политики конфиденциальности» мессенджера под названием Law Enforcement Authorities. В этом пункте говорится, что Telegram может раскрыть IP-адрес и номер мобильного телефона пользователя, если получит судебное решение, подтверждающее, что пользователь подозревается в терроризме.
Дуров рассказал, что Telegram начал готовиться к блокировке в России еще до того, как в апреле 2018 года было принято соответствующее решение суда. Однако несмотря на это первая неделя блокировки оказалась непростой и у многих пользователей в России возникли проблемы с доступом, напомнил он. Но с мая 2018 года Telegram стал широкодоступным в России благодаря тому, что его поддержали «тысячи российских инженеров», которые создали собственные прокси-серверы для пользователей и сформировали децентрализованное движение «Цифровое сопротивление», как написал Дуров.
По его словам, в течение двух лет команде Telegram приходилось регулярно обновлять технологии для обхода блокировок. Эти наработки не должны оказаться на полке, отметил Дуров.
«Вот почему мы решили направить наши ресурсы для борьбы с цензурой в другие места, где Telegram по-прежнему запрещен, — в такие страны, как Иран и Китай. Мы просим администраторов бывших прокси-серверов для российских пользователей сосредоточить свои усилия на этих странах» — добавил Дуров.
Подробнее о хронологии блокировки Telegram можно почитать в Википедии
2019 год
Вступление в силу закона о «суверенном интернете»
N 90-ФЗ от 1 мая 2019 г. «О внесении изменений в Федеральный закон „О связи“ и Федеральный закон „Об информации, информационных технологиях и о защите информации“», предусматривающего создание национальной системы маршрутизации интернет-трафика, инструментов централизованного управления и др.
В соответствии с законом интернет-провайдеры должны устанавливать у себя специальные Технические средства предотвращения угроз (ТСПУ), к которым относится и DPI. При возникновении угроз сети Роскомнадзор с помощью данных средств вводит централизованное управление сетью, начиная самостоятельно определять маршруты трафика. При этом ТСПУ должны устанавливаться за счет государства.
Роскомнадзор начал монтировать оборудование под закон об автономном Рунете
В рамках пилотного проекта в одном из регионов России Роскомнадзор уже устанавливает на сети операторов связи оборудование для выполнения закона об автономном Рунете.
По словам главы ведомства Александра Жарова, в пилоте участвовали все крупные операторы сотовой связи в России.
2020 год
Интернет в Белоруссии отключали с помощью DPI-«железа» из Канады компании Sandvine
Bloomberg обнаружил связь между выходом из строя интернета в Белоруссии в дни президентских выборов и поставкой канадского оборудования для фильтрации трафика по заказу властей страны. «Железо» для работы технологии DPI предоставила российская компания.
Согласно предположению Би-би-си, власти Белоруссии закупили оборудование Sandvine, в 2018 г. в рамках контракта на 2,5 млн долларов США. В своей заявке на приобретение «железа» они заявили, что им требуется помощь по борьбе с нарушениями, связанными с онлайн-активностью.
2021 год
Оборудование для «суверенного интернета» вызывает системные сбои у МТС, «МегаФона», «Билайна» и Tele2
Собеседник «Коммерсанта», представляющий одного из крупных телеком-операторов, подтвердил информацию о том, что в марте 2021 г. все операторы так называемой «большой четверки» столкнулись с трудностями, вызванными использованием DPI-оборудования. К «большой четверке» в России принято относить таких операторов связи, как МТС, «МегаФон», «Билайн» («Вымпелком») и Tele2.
После публикации данного материала пресс-служба Роскомнадзора распространила пресс-релиз, в котором утверждается, что в статье «Коммерсанта» изложена непроверенная информация, не соответствующая действительности.
«Оборудование ТСПУ работает без сбоев и не оказывает влияние на работу сетей операторов связи. Дежурные службы центра мониторинга и управления сетями связи общего пользования (ЦМУ ССОП) активно взаимодействуют с операторами связи в круглосуточном режиме и проводят анализ всех возможных неполадок их инфраструктуры. За все время функционирования ТСПУ замечаний от операторов связи не поступало», – говорится в сообщении пресс-службы ведомства.
Замедление Twitter
В марте 2021 года произошло замедление работы Twitter на всех мобильных устройствах и половине стационарных для «защиты российских граждан от влияния противоправного контента». Об этом сообщил регулятор.
Ведомство объяснило это тем, что соцсеть с 2017 года не удаляет контент, «склоняющий несовершеннолетних к совершению самоубийств, содержащий детскую порнографию, а также информацию об использовании наркотических средств». Роскомнадзор направил более 28 тысяч жалоб, но 3168 материалов соцсеть все еще не удалила.
«Ростелеком» приобретает российского разработчика DPI-систем компанию RDP (ООО «РДП.РУ»)
CNews ссылается на сведения в годовом отчете «Ростелекома». Согласно им, в результате череды сделок (первая из них состоялась еще в 2016-м) «Ростелеком» заплатил за 100% акций «РДП.ру» 1,81 млрд рублей. 1,68 млрд из этой суммы были выплачены в 2020 году.
В это время идет «массовая» установка оборудования ТСПУ у операторов связи по всей России.
Конец 2021 – начало 2022 года
Блокировка Интернета в Казахстане при использовании DPI-решения компании Allot (Израиль)
«С помощью DPI местные власти пытались блокировать мессенджеры и VPN-протоколы», - приводит Forbes слова технического директора «Роскомсвободы» Станислава Шакирова.
Ограничить доступ к интернету при помощи данной технологии не получилось, а крупнейший оператор республики «Казахтелеком» приобретал соответствующее оборудование для сбора аналитики. Как передает источник издания, данное оборудование оказалось «не заточено» под блокировки, что привело к необходимости отключать сеть «практически вручную».
Небольшое отступление.
В январе 2022 года вышла статья с громким названием "В Казахстане не смогли заблокировать интернет оборудованием как у России", но легко заметить одну существенную, на мой взгляд, неточность.
Автор статьи пишет в заголовке про оборудование из России, но в статье ссылается на то, что в Казахстане использовалось DPI-оборудование израильской компанию Allot: "Интернет по расписанию и отключения вручную: как блокируют связь в Казахстане".
Несложно найти статьи с упоминанием того, что в России используется DPI-оборудование компании РДП.
Выходит, что статья может вводить в заблуждение читателей и заголовок больше похож на кликбейт.
Основатель Telegram-канала "ЗаТелеком" Михаил Климарев (https://career.habr.com/klimarev, директор НКО «Общество защиты интернета») нередко сообщал о том, что реализация «суверенного интернета» невозможна, так как государство, по его мнению, некомпетентно.
Можно легко найти подобные записи в канале по словам «ТСПУ», «сувенирный интернет», «суверенный интернет». Приведу несколько скриншотов:
Основатель другого Telegram-канала "IT и СОРМ" обвиняет Михаила в неправоте :)
Несмотря на скептическое мнение экспертов, что подобное решение недееспособно, оно показало, что решение вполне справляется с поставленными задачами.
Блокировка VPN
В декабре 2021 года в России было заблокировано 20 VPN-сервисов. Среди них довольно крупные и популярные: ExpressVPN, Nord VPN, Opera VPN, Cloudflare WARP, PrivateTunnel, Lantern и т. д.
Ситуация в мире
Использование DPI для блокировки сервисов и приложений осуществляют и в других странах. Например, в ОАЭ заблокированы WhatsApp, Skype и некоторые другие коммуникационные сервисы. Крупные телекоммуникационные компании ОАЭ Etisalat и Du сообщили, что работа сервисов, предлагающих услуги связи по VoIP-протоколам, будет приостановлена до получения ими соответствующих лицензий.
Как сообщает компания Etisalat, «доступ к приложению Skype заблокирован по причине того, что данная программа предлагает нелицензированные услуги связи через интернет по протоколу VoIP, что противоречит нормам законодательства ОАЭ».
О причинах запретов сервисов до сих пор продолжаются жаркие обсуждения на quora: "Why is WhatsApp call unavailable in Dubai?"
Среди главных версий блокировки мессенджеров — упущенная выгода операторов связи:
В конце 2017 года в Иране на фоне акций протеста заблокировали доступ к Telegram.
«Иранские власти блокируют доступ к Telegram для большинства иранцев после нашего публичного отказа закрыть https://t.me/sedaiemardom и другие каналы мирных протестующих», — написал Дуров в Twitter.
Рынок DPI в мире растет и, судя по тренду, это будет продолжаться в ближайшие годы. Исследовательские агентства прогнозируют совокупный среднегодовой темп роста DPI (CAGR) 5.9% к 2024 г. (12,5 млрд долларов США).
Публикация первого исследования DPI в России
На сегодняшний день официальных исследований практически нет. Если кто-то располагает информацией об обзорах DPI решений в России — напишите, пожалуйста, в комментариях или в личном сообщении, с удовольствием дополню свой пост.
В 2018 году вышел отчет, проведенный консалтинговой компанией J'son & Partners Consulting «Исследование глобального и российского рынка DPI-решений».
В исследовании участвовали вендоры Napa Labs, VAS Experts, НТЦ Протей, Петер-сервис и RDP.RU. Судя по результатам исследования больше всего баллов у компании RDP.RU, на втором месте компания VAS Experts, на третьем – Napa Labs и НТЦ Протей, завершает рейтинг Петер-Сервис.
Отчет доступен на сайте агентства J’son & Partners Consulting:
5 известных вендоров DPI в России
Сегодня "на слуху" у сетевых специалистов больше всего следующие вендоры DPI:
Российские компании в этом списке – VAS Experts и RDP. Судя по таблицам с характеристиками, они схожи, но, на мой взгляд, есть одно принципиальное отличие.
Компания VAS Experts продает DPI в виде программного обеспечения, таким образом, заказчик может приобрести лицензию на софт и установить на собственное железо. Это удобно и, скорее всего, удешевляет использование DPI.
Компания RDP продает DPI в виде программно-аппаратного решения, которое, как они заявляют, гарантирует высокую производительность. Таким образом, компания несет ответственность и за софт, и за железо.
Еще один игрок рынка DPI – компания Carbon Soft. Она специализируется на создании исключительно программного обеспечения (без железа) для высоконагруженных систем и делает ставку на операторов связи. Компания придерживается философии предоставлять свой продукт Carbon Reductor DPI X по доступной цене и под ключ. Производительность при этом остается под вопросом.
Однако заказчику решать, какой подход ему ближе.
P.S.:
Напишите, пожалуйста, в комментариях, хотите ли, чтобы в ближайшем будущем я больше внимания уделил обзору технических характеристик DPI?
Источники:
О зарубежных производителях оборудования глубокого анализа трафика (DPI)
"Forbes: в Казахстане пытались точечно блокировать интернет при помощи DPI-оборудования"
"Запрет не сработал": Дуров подвел итоги блокировки Telegram в России
Роскомнадзор принял меры по защите российских граждан от влияния противоправного контента
Дуров объяснил решение Telegram передавать данные спецслужбам