Новость о том, что РКН нашел новый, стопроцентный способ блокировки Telegram, была встречена с иронией. Но вокруг технологии DPI, которую для этого собрались применять, разгорелась дискуссия. Рассказываем суть дела.
«Ведомости»: Роскомнадзор нашeл «стопроцентный» способ заблокировать Telegramhttps://t.co/HNFTOEGjb8 pic.twitter.com/hiF0L2jZ2P
— Лентач (@oldLentach) 29 марта 2019 г.
Они все-таки не сдаются: сотовые операторы протестируют новую систему блокировки Telegram в надежде, что на этот раз точно получится.
— Новости от 66.RU. Здесь все всё понимают (@66ru) 29 марта 2019 г.
Мы, конечно, ни на что не намекаем, но Роскомнадзор пытается блокировать Telegram уже год и происходит примерно ничего https://t.co/Xezigot9Jx pic.twitter.com/1XMRb07XPu
Что такое DPI
О том, что Роскомнадзор начал тестирование технологии, рассказал РБК:
«По итогам тестирования на сети «Ростелекома» в прошлом году DPI-система от RDP.RU получила, так скажем, «зачет». Какие-то вопросы у регуляторов к ней были, но в целом система успешно прошла тестирование. Поэтому я не удивлен, что тестирование решили сделать более масштабным и развернуть уже на сетях большего количества операторов», — сказал РБК совладелец RDP.RU Антон Сушкевич. Информацию о новом тестировании Рунета на «суверенность» он не комментирует.
Операторы связи от комментариев отказались, так что пока мы имеем дело со слухами и предположениями. Но не беспочвенными.
DPI (Deep Packet Inspection) — «глубокая инспекция пакетов», или способ анализа интернет-трафика, при котором можно установить, какое приложение или сайт является его источником. Доступнее всего принцип работы описал lifehacker.ru:
Чтобы было понятнее, приведём аналогию. Представим, что блокировщик — это таможенник, который проверяет посылки. Раньше он смотрел только на их отправителей, так что, если Telegram отправлял свою «посылку», то есть пакет данных, через прокси, блокировщик-таможенник её пропускал.
Если же сотрудник пограничного контроля будет работать по технологии DPI, он не просто проверит имя адресанта, но и вскроет посылку и по содержимому поймёт, что она следует из запрещённого источника.
Аналогия не совсем точная, так как даже с технологией DPI блокировщик не сможет просматривать сами сообщения, которые вы отправляете. То есть данные остаются конфиденциальными, но их «упаковка» однозначно указывает на запрещённый сайт или приложение, что позволяет заблокировать пакет.
Сейчас технология применяется сотовыми операторами не для блокировок, а для замедления скорости, когда пользователь исчерпал объем трафика на тарифе, или пытается использовать торрент-трекеры.
Почему это не поможет заблокировать Telegram
Как любая другая подобная технология, DPI не идеален и может обрабатывать данные с ошибками. Принимать пакеты одних сайтов за другие, блокировать таким образом разрешенные ресурсы.
А телеграм, скорее всего, начнет дополнительно шифровать свои данные, чтобы определить их было еще труднее, чем сведет эффективность на нет. Экс-директор особых направлений Telegram Антон Розенберг уже комментировал бессмысленность таких действий:
DPI не поможет заблокировать Telegram, так как последний может маскировать свой трафик под HTTPS, инкапсулировать в VPN и другие протоколы. Причём менять схему может более оперативно, чем производители оборудования.
Тогда зачем все это нужно?
Замедление скорости и приоретизация трафика
Основное недовольство экспертов заключается в том, что все эти нововведения просто замедлят нарождающийся суверенный интернет и позволят устанавливать «приоретизацию», то есть замедлять работу одних ресурсов в сравнении с другими. Таким образом президент Ростелекома Михаил Осеевский предлагал переложить часть расходов на исполнение «закона Яровой» на Google и Facebook.
По мнению главы «Ростелекома», который является лидером российского рынка широкополосного доступа в интернет и совладельцем сотовой сети Tele2, за операторами должна быть закреплена возможность регулировать трафик в зависимости от его приоритетности и в соответствии с интересами государства и общества, передавая быстрее трафик тех компаний, которые за это заплатили. «Еще в большей степени эта проблема актуальна при выполнении требований «закона Яровой», потому что значительный объем трафика, который мы должны будем хранить, приходится на видео, которое будут качать пользователи», — отметил Осеевский.
Это называется отмена сетевой нейтральности, когда доступ ко всем ресурсам осуществляется без ограничений, если публикуемая информация не запрещена законом. Подобный подход уже успели окрестить лоббированием интересов крупных IT-компаний и инструментом цензурирования.
Михаил Климарёв, исполнительный директор «общества защиты интернета», прокомментировал ситуацию таким образом:
В сотый раз говорю — DPI не является какой-то волшебной таблеткой, которая может всё. Есть миллион вещей, которое DPI не может. Например, варить кофе. И фильтровать любой трафик, выявляя попакетно тележку от НЕ тележки, DPI тоже НЕ может.
Главное, что может любой супир-пупир-DPI — это воровать бабло у акционеров. Особенно, когда «приказали сверху».
Банальная арифметика показывает нам накладные расходы маршрутизатора на пересылку одного пакета:
а) принять пакет
б) посмотреть destination
в) сравнить его с таблицей маршрутизации
г) отправить пакет
ИТОГО: 5 операций
А что делает DPI:
а) принять пакет
б) посмотреть destination
в) сравнить его с таблицей маршрутизации
г) посмотреть «содержимое пакета» — порт, заголовки, сигнатуру и еще что-то
д) сравнить его с таблицей сигнатур (сто-пиццот разных метрик)
е) принять решение
ж) отправить или дропнуть пакет
ИТОГО: 7 операций, из которых минимум две — это «регулярное выражение», сложность вычислений которых растет квадратично с количеством сравнительных характеристик.
В итоге, использование DPI повышает нагрузку на бордер-роутеры В НЕСКОЛЬКО ТЫСЯЧ РАЗ. Три порядка. И все это приведет только к одному — интернет станет медленне, пинги длиннее, потерь пакетов больше, джиттер увеличится.
Все это уже пройденный этап — «великий китайский фаерволл» именно так и тормозит. И ничего не блокирует. Но всем плевать на китайцев, потому что GCFW стоит на границе страны. Он влияет только на сервисы, которые за пределами страны. Внутри — все бегает.
Проблема российской архитектуры «каждому провайдеру свой DPI» в том, что тормозиться будет вообще все. Каждый пакетик будет обрабатываться на уровне ядра сети у каждого оператора.
Пока не понятно, дадут ли ход этой истории, или она закончится на этапе тестирования, но тенденция вырисовывается не самая оптимистичная. Мы будем держать вас в курсе происходящего.
