После недавнего скандала с ошибочной блокировкой Google.ru Роскомнадзор обновил рекомендации операторам связи по ограничению доступа к запрещённой информации в Интернете. В частности, обновлены пункты 8.1-8.3 о технических условиях фильтрации (pdf новой версии документа).

Теперь провайдерам рекомендуется осуществлять фильтрацию не по IP-адресам, а непосредственно по содержимому пакетов:

Фильтрацию трафика рекомендуется производить готовыми аппаратно-программными комплексами DPI, свободно-распространяемыми программными комплексами анализа и фильтрации сетевого трафика, а также путем приобретения услуги по получению фильтрованного трафика от вышестоящего оператора связи.

Белорусский провайдер-монополист «Белтелеком» объявил условия тендера на закупку оборудования, которое будет использоваться доля фильтрации интернет-трафика.

Предложения по тендеру «Закупка аппаратно-программного комплекса осуществляющего сбор и хранение сведений о посещении пользователем интернет-ресурсов, блокировку интернет-ресурсов» принимаются до 16 июня 2015 года.

Технические подробности и стоимость оборудования не публикуются в открытом доступе.

По мнению специалистов, таким образом «Белтелеком» выполняет требования постановления Оперативно-аналитического центра при президенте Беларуси и Минсвязи о новом порядке ограничения доступа к неугодным сайтам, принятое в феврале 2015 года.

Новый порядок ограничения доступа обязал провайдеров за свой счёт обеспечить блокировку запрещённых сайтов. При этом в выборе технологии блокировки никаких ограничений нет: это может быть обычный брандмауэр или продвинутые варианты на основе DPI.

По новым правилам, блокировка сайтов распространяется не только на компьютеры в госорганизациях, как раньше, но и на всех пользователей. При этом провайдеры обязаны блокировать и сам сайт, и все возможные «средства доступа» к нему, то есть сеть анонимайзеров Tor, прокси-серверы вроде тех, которые действуют в браузерах Opera, Chrome и «Яндекс», а также анонимайзеры.

Автор телеграм-бота @rknshowtime Алекc Руденко предположил, каким образом «Ростелеком» блокирует MTProto прокси — популярный прокси для Telegram, который внедрили две недели назад. Напомним, что в этой технической реализации у клиента и сервера нет фазы открытого обмена информацией. Для всевозможных фильтров и анализаторов обмен данными с MTProto-прокси сервером выглядит как неструктурированный бинарный двунаправленный поток данных между клиентом и сервером. Это затрудняет распознавание протокола для блокировки.

Но «Ростелеком» нашёл выход из ситуации.

Чтобы разобраться, питерский разработчик Леонид Евдокимов (darkk) написал псведо-прокси poormansmtproto и протестировал DPI магистрального провайдера.

18 декабря 2018 года Русская служба Би-би-си со ссылкой на несколько анонимных источников сообщила, что Роскомнадзор планирует потратить до 20 млрд рублей на новую технологию блокировок Telegram, внедрив технологию Deep Packet Inspection (DPI).

По той информации, DPI планировали запускать уже в следующем году. Информацией об этом поделился специалист, близкий к одной из компаний-разработчиков подобной системы, а также ещё один источник, знакомый с деталями разработки проекта. Как можно догадаться, систему глубокой инспекции трафика для Роскомнадзора разрабатывают в России, так что бюджетные средства останутся в стране.

Источник: мониторинг реестра запрещённых сайтов «Эшер II»

После некоторой паузы Роскомнадзор опять начал вносить в реестр запрещённых сайтов IP-адреса телеграм-прокси. Канал Telegram Info сообщает, что блокировки начались ещё в преддверии нового года, следующая волна произошла 17 января, а 21 января было заблокировано около тысячи IP-адресов, среди которых много прокси.

Пока все усилия Роскомнадзора тщетны, а Telegram продолжает нормально работать у большинства пользователей.

Компания «Максима Телеком», которая работает в московском метрополитене, выиграла тендер на оказание услуги единого оператора городского Wi-Fi.

Тендер на 149,5 млн руб. предусматривает обязательное внедрение системы глубокого анализа трафика DPI, по образцу системы, которая работает в Китае. Такая система позволит более эффективно блокировать Telegram и запрещённые в России сайты. По условиям технического задания «Максима Телеком» должна обеспечить сбор, хранение, анализ данных мониторинга и трафика пользователей с использованием технологий Big Data и DPI, а также предоставлять отчёты властям.

В мэрии сказали, что это нужно «для прогнозирования социально-экономического развития города».

Фото: Андрей Рудаков / Bloomberg

Роскомнадзор направил руководителям трех операторов из «большой четверки» — МТС, «МегаФона» и «ВымпелКома» предложение протестировать на их сетях в любом из регионов оборудование для глубокой фильтрации трафика, которое разработано российской компанией RDP.RU. Тестирование необходимо для подготовки к реализации законопроекта о суверенном Рунете, о чем сообщает РБК.

Операторам связи необходимо предоставить в ведомство информацию об устройстве их сети для того, чтобы выбрать оптимальный для тестирования регион. Кроме того, это нужно для того, чтобы выяснить, где и в какой конфигурации установить оборудование DPI.

Александр Жаров в кулуарах форума «Спектр-2019» сообщил о начале тестирования оборудования для реализации закона об устойчивом Рунете. Предполагается, что это оборудование позволит фильтровать трафик (DPI), а в случае необходимости позволит российскому сегменту работать изолированно от глобальной сети.

Согласно закону, Роскомнадзор сможет контролировать все точки передачи данных за границу и маршрутизацию трафика, в том числе с помощью специального оборудования у провайдеров. Кроме того, операторы могут установить «технические средства, определяющие источник передаваемого трафика… Они должны обладать возможностью ограничить доступ к ресурсам с запрещённой информацией не только по сетевым адресам, но и путём запрета пропуска проходящего трафика».

Закон о «сувереном рунете» вступит в силу в ноябре 2019 года.

Сегодня примерно в 11:35 все операторы связи Беларуси начали глушить трафик Telegram.



Пока что VPN и прокси помогают обойти блокировку.

Прошло четыре месяца с момента, когда власти Беларуси с помощью DPI-комплекса Sandvine начали фильтровать интернет. За это время сеть Psiphon прокачала 4,81 петабайта данных от белорусских пользователей, рассказал президент и соучредитель Psiphon Майкл Холл.

Psiphon создан специально для борьбы с интернет-цензурой в авторитарных и тоталитарных государствах. В сети используется сочетание технологий защищённой связи и обфускации (VPN, SSH и HTTP-прокси).

В августе 2020 года у Psiphon было почти 2,5 млн пользователей из Беларуси — примерно треть всего взрослого населения страны.

По информации издания «Коммерсантъ», некоторые федеральные и региональные операторы связи начали фиксировать проблемы и сбои в своей сети из-за оборудования Роскомнадзора, установленного для исполнения закона о «суверенном рунете». Некоторые провайдеры пошли на крайние меры — временное отключение этого оборудования для восстановления работоспособности. РКН даже в случае аварии запрещает самостоятельно пытаться обойти эту обособленную защитную систему, за это может быть наложен штраф до 1 млн рублей.

9 апреля 2021 года Роскомнадзор опроверг наличие проблем и критических сбоев у российских операторов связи из-за установленного в их сетях оборудования для «суверенного рунета». Ведомство пояснило, что работа всех комплектов технических средств противодействия угрозам (ТСПУ) все время мониторится и «никоим образом не влияет на работу сетей операторов связи».

Источник изображения: cartoon.ru.

15 июня 2021 года члены комитет Госдумы по информационной политике, информационным технологиям и связи одобрили ко второму чтению поправку в закон «О связи» в рамках законопроекта №1087071-7, согласно которой небольшие операторы связи в РФ могут не устанавливать в разрыв на своих сетях технические средства противодействия угрозам (ТСПУ) от Роскомнадзора по закону о «суверенном Рунете».

По информации издания «Коммерсантъ», Главный радиочастотный центр (ГРЧЦ, входит в структуру Роскомнадзора) поднял вопрос о необходимости ужесточить доступ российских пользователей к порнографии в интернете. Ведомство предлагает давать разрешение на просмотр такого контента только совершеннолетним и после подтверждения сессии на портале госуслуг.

Все мы знаем, что DPI-решения операторы чаще всего покупают для урезания, а то и полной блокировки P2P-трафика (также, в Китае масштабно используется для «порчи» VoIP-трафика). Сюда же наши нелюбимые производители DPI-коробок привносят наличие кучи всяких «полезных» функций: вставка контекстной рекламы, приоритезация «нужного» и много чего ещё. Вообщем-то, придумать можно всё, что душе угодно, т.к. пакет можно анализировать полностью. Правда, с производительностью дела обстоят не так хорошо, как хотелось бы (сейчас существуют коробки с 2-мя 10G интерфейсами); здесь же можно ещё упомянуть качество определения тех же P2P-протоколов. В начале прошлого года EANTC пыталась провести тестирование DPI-систем. Причём, тестирование проводилось бесплатно для производителей оборудования — всё оплачивалось из кармана французской ассоциации звукозаписывающей/звукоохраняющей мафии. Результаты, мягко скажем, плохие :) 
    Ситуация получилась аналогична той, что есть на рынке антивирусов — протоколы P2P меняются/появляются новые, а производители DPI-систем выпускают сигнатуры для их определения. Например, взять всем известный протокол BitTorrent: если для передачи информации всегда использовался TCP, то теперь поддерживается и UDP, чем существенно усложнит жизнь dpi-коробкам + поддержка шифрования.
   Но рассказать я вам хотел не про это, а про систему кеширования P2P-контента, с которой мне уже удалось познакомиться: Oversi OverCache. Идея относительно проста: оператор устанавливает у себя кеширующие сервера и систему управления для них. 
  Система управления отвечает за:

• собирание статистики;
• управление контентом (выявление популярных ресурсов, удаленее старых непопулярных ресурсов);
• анонсирование доступности контента своим пирам (клиентам со всего адресного пространства оператора);
• управление кеш-серверами.

    Кеш-сервера раздают контент своим пирам. Причём, размещать сервера можно где угодно (по городам, по узлам и т.д.). 

    Как определяется популярный контент? Просто — для этого на систему управления надо зеркалировать (SPAN,TAP) исходящий к апстримам трафик (достаточно 30%), этот трафик анализируется (eDonkey2k-контент, обращения к torrent-трекерам, хеши файлов и т.д.). Плюс к этому можно добавить «локальный» поиск контента через DHT. Из этой информации уже можно выявить популярный контент, популярные трекеры и сделать какой-то threshold на кеширование/время жизни файлов. Дабы не нарваться на защитников копирайта — система не кеширует файлы полностью: для BitTorrent, к примеру, она не скачивает первый и последний блоки файла, что не позволяет стать системе seed'ом.
   Для flash-видео всё немного сложнее, помимо того, что мы должны перехватывать обращения к видео-сайтам (youtube тот же), мы ещё должны редиректить клиента на локальный кеш-сервер. Не знаю как у вас, а у меня жена и некоторые друзья регулярно смотрят фильмы, используя для этого ВКонтакте.Ру.
   По статистике эффективность решения до 80% процентов попадания в кеш. Бенефиты налицо: провайдер получает свободный аплинк-канал (а при наличии развитой системы кеширования и межрегиональные линки), клиенты получают ускоренную загрузку контента. Весь мир счастлив :)

Понадобилось мне тут вдруг для одной прикладной задачи генерировать PNG-шки на PHP, чтобы затем их можно было вставлять в документы и распечатывать. Но вот проблема, никак с помощью GD в PHP при сохранении нельзя задать разрешение в dpi, а ведь это очень важно при печати. С ImageMagick мне связываться не хотелось, поэтому я быстренько нагуглил PNG (Portable Network Graphics) Specification и написал вот такой код:

На ISN уже затрагивалась тема, что последнее время наблюдается некоторые неудобства с качеством поддержки в программах различных разрешений. Особенно эта проблема выходит на передний план с развитием новых решений, таких как например нетбуков на базе Atom. У этих устройств обычно нестандартные разрешения экрана, хотя так далеко можно и не ходить. Достаточно взять мой вполне обычный настольный монитор с разрешением 1680x1050 и выставленным DPI 125%.