«Железо» для закона о суверенном Рунете обвалило сервисы «Яндекса»

Печальный опыт «Яндекса» Недостатки технологии глубокой фильтрации трафика (DPI), повсеместное внедрение которой предусмотрено законом о суверенном Рунете, вызвали нарушения в работе сервисов «Яндекса» во время сетевой атаки, которая имела место в середине марта. Об этом сообщает РБК со ссылкой на директора по развитию сетевой инфраструктуры «Яндекса» Алексея Соколова. Заявление прозвучало на конференции «Обеспечение доверия и безопасности при использовании ИКТ». «У нас пару недель назад невольно произошли некие "учения", когда по причинам, связанным с блокировками Роскомнадзора, трафик (до ресурсов «Яндекса»; —прим. CNews) пошел через существующие сейчас у операторов системы DPI. После этого большинство сервисов обвалилось, пользователи испытывали дикие трудности, и, соответственно, что это такое — пропускать трафик через DPI — мы на своей шкуре уже испытали», — приводит издание слова Соколова. Заявление прозвучало на фоне того, что сегодня Госдума в третьем чтении приняла законопроект о безопасной и устойчивой работе Рунета, о чем и сообщила на своем сайте. Новый закон предполагает создание национальной системы маршрутизации трафика, при которой Рунет сможет работать в случае масштабной атаки извне. «Из контекста закона (о суверенном Рунете; — прим. CNews) понятно, что вот эти средства борьбы с внешними угрозами представляют собой не более чем системы DPI, через которые планируется пропускать весь трафик. Соответственно, при текущих объемах трафика, таких DPI в мире не существует, и даже не разрабатывается, которые могли бы поддерживать такой режим без значительных потерь для сервисов», — отмечает Соколов. Сетевая атака В марте «Яндекс» и ряд других интернет-компаний подверглись DNS-атаке, которая была основана на умышленном изменении записи в системе доменных имен (Domain Name System, DNS). Злоумышленники использовали недостатки системы блокировки сайтов, которую применяет Роскомнадзор. С помощью DNS-атаки можно заблокировать совершенно законопослушный сайт, если в распоряжении преступника имеется домен, занесенный в реестр запрещенных ресурсов. Для этого достаточно привязать IP-адрес данного сайта к домену. «Яндекс» пожаловался на замедление работы сервисов при глубокой фильтрации трафика После того, как злоумышленники провели эту операцию, часть некрупных операторов заблокировала у себя некоторые IP-адреса «Яндекса». Крупным же операторам, которые блокируют нелегальные ресурсы с помощью DPI, пришлось фильтровать весь трафик, который шел на сервисы «Яндекса», через эту систему. Сервисы удалось спасти от блокировки, но при этом скорость доступа к ним для пользователей снизилась. Подводные камни DPI Системы глубокой фильтрации трафика (Deep Packet Inspection, DPI) осуществляют проверку сетевых пакетов, чтобы отфильтровывать вредоносное ПО, данные запрещенных приложений и сайтов, и другую информацию, которую по каким-либо причинам не следует пропускать. Помимо того, что это дорогостоящие системы, фильтрация трафика через DPI может вызвать задержки в его прохождении. Опрошенные РБК эксперты утверждают, что в настоящий момент операторы фильтруют с помощью DPI не весь трафик, а только ту его часть, где могут содержаться нежелательные данные. Если же через данные системы пропускать весь трафик, то это потребует финансовых затрат, которые в России не сможет себе позволить ни одна компания. При этом во время аномальных нагрузок в любом случае будет происходить снижение скорости. Выступая ранее в Госдуме, Соколов уже затрагивал проблему «черных ящиков», которые новый закон предписывает устанавливать в интернет-компаниях. По его мысли, с технической точки зрения для этих ящиков можно использовать только DPI. Кроме того, он отмечал, что, возможно, такое оборудование нужно устанавливать не везде, в то время как формулировка закона обязывает к этому даже небольшие компании, если они хотят иметь резервирование. Топ-менеджер отметил, что такие компании могут начать массово отказываться от автономных систем и резервирования, чтобы избежать выполнения закона, и это может отрицательно сказаться на связности российского интернета. Отметим, что за все время рассмотрения законопроекта парламентарии всего один раз встретились с представителями отрасли, на этой встрече и присутствовал Соколов. Законопроект получил поддержку «Единой России», и не был поддержан ЛДПР, СР и КПРФ. Часть новых правил начнет действовать с 1 ноября 2019 г., пункты о шифровании и национальной системе доменных имен вступит в силу с 1 января 2021 г. Закон о суверенном Рунете Напомним, законопроект об автономном Рунете http://safe.cnews.ru/news/top/2018-12-14_v_gosdumu_vnesen_zakon_o_polnostyu_avtonomnom Ссылка на источник