«Яндекс» счел технологию из закона о Рунете ухудшающей работу сервисов
Положения законопроекта о суверенном Рунете, принятого Госдумой, предусматривают массовое внедрение систем глубокой фильтрации трафика (DPI), однако именно из-за недостатков этой технологии была нарушена работа сервисов «Яндекса» во время сетевой атаки в середине марта. Об этом рассказал директор по развитию сетевой инфраструктуры «Яндекса» Алексей Соколов, передает корреспондент РБК.
«У нас пару недель назад невольно произошли некие «учения» (сетевая атака на «Яндекс», произошедшая в марте. — РБК), когда по причинам, связанным с блокировками Роскомнадзора, трафик [до ресурсов «Яндекса»] пошел через существующие сейчас у операторов системы DPI. После этого большинство сервисов обвалилось, пользователи испытывали дикие трудности, и, соответственно, что это такое — пропускать трафик через DPI — мы на своей шкуре уже испытали», — сказал Соколов в ходе выступления на конференции «Обеспечение доверия и безопасности при использовании ИКТ».
Законопроект о комплексе организационных, административных и технических мер по защите и устойчивой работе сети интернет в России был принят Госдумой ранее сегодня. Ожидается, что большая часть его норм вступит в силу 1 ноября.
«Из контекста закона [о суверенном Рунете] понятно, что вот эти средства борьбы с внешними угрозами представляют из себя не более чем системы DPI, через которые планируется пропускать весь трафик. Соответственно, при текущих объемах трафика таких DPI, в мире не существует, и даже не разрабатывается, которые могли бы поддерживать такой режим без значительных потерь для сервисов», — заявил Алексей Соколов.
Технология глубокой фильтрации трафика (Deep Packet Inspection, DPI) подразумевает проверку и фильтрацию сетевых пакетов в зависимости от их содержимого. С ее помощью можно находить и блокировать вирусы, а также фильтровать информацию, которая не удовлетворяет заданным критериям — например, связана с определенным веб-приложением или сайтом (доступ к которым можно запретить).
Установка таких систем очень дорога, а обработка трафика с их помощью может приводить к задержкам, рассказывали ранее опрошенные РБК эксперты.
В середине марта компания «Яндекс», РБК и ряд других холдингов подверглись мощной DNS атаке, в результате которой ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы DPI, были вынуждены пропускать весь трафик до сервисов «Яндекса» через них. Это значительно снизило скорость доступа к ресурсам компании для пользователей.
Технические специалисты «Яндекса» отражали атаку в течение нескольких суток. «Блокировки сайтов удалось избежать, но атака не прошла незамеченной: активные пользователи сервисов компании заметили снижение скорости доступа к ним», — рассказывал РБК источник в самой компании.
По словам гендиректора провайдера Diphost Филиппа Кулина, пропускать весь трафик через оборудование DPI можно только теоретически. «Стоимость будет космической, и при аномальных нагрузках все равно могут возникать различные задержки. Я утверждаю, что просто анализировать абсолютно весь проходящий трафик не по карману сейчас никому», — пояснил он.
По словам Кулина, крупные операторы сейчас анализируют с помощью DPI только часть трафика, который они считают потенциально опасным. Кроме того, в будущем возможны сетевые атаки уже на сами DPI, считает эксперт.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
