Это не только у вас. Интернет по всему миру замедляется из-за возросшего трафика

Что стало причиной падения соцсетей, и какую роль в этом сыграли BGP-протоколы

Филипп Кулин, автор телеграм-канала

Весь интернет поделён на соты, пчелиные соты. Каждая сота — это своя сеть, сеть вашего провайдера. Все эти соты пронумерованы: например, провайдеры говорят, что у нас есть адреса в соте номер №1. Другие провайдеры говорят тоже самое. Соты обмениваются адресами и образуется большая табличка с множеством адресов, которые передаются между провайдерами. Получается коммуникация.

Этот обмен называется протокол BGP. Он раскидывает пограничные маршрутизаторы, которые связываются с другими пограничными маршрутизаторами, перекидываются информацией, какие у кого соты, и прокидывают между собой наш трафик. Если вы сломаете этот пограничный маршрутизатор, то всё упадёт. О вас и вашем сервисе никто больше не знает, так как сеть упала.

Григорий Бакунов, автор телеграм-канала

Люди часто думают, что интернет — это такое сквозное полотно, но на самом деле это большой набор сетей, которые связаны друг с другом довольно хитрым образом. Есть специальные протоколы которые позволяют понять компьютерам, как из одной части сети отправить данные в другую часть сети. К ним относится BGP — это стандарт общения маршрутизаторов, которые рассказывают друг другу, как правильно отправить данные.

Любое крупное изменение в BGP системе приведёт к тому, что сервера потеряют видимость друг друга. Что и произошло — сеть интернета перестала видеть сеть внутри фейсбука, а разработчики фейсбука ведь тоже пользуются внешней сетью соцсети, например, через своего провайдера. Когда фейсбук сказал, что не знает, как попадать в нужную ему подсеть, чтобы изменить нужные ему настройки маршрутизации, всё и повалилось.

Михаил Климарев, исполнительный директор «Общества защиты интернета»

С BGP вообще много проблем. Существует понятие утечки BGP маршрута, когда сеть начинает анонсить как доступную другую сеть (они независимы друг от друга), а она маленькая и не может справиться со всем трафиком. Подобное случилось в 2017 году, когда упали сервисы Google: японский оператор неправильно настроил BGP, из-за чего мировой трафик ломанулся через этого японского оператора и успешно завалил его, а из других участков Google не был доступен. Но падение длилось минут 15.

Схема работы BGP из статьи CloudFlare о падении фейсбука. На ней изображены шесть автономных систем (AS) в интернете и два возможных маршрута (быстрый и медленный, по которым может передаваться пакет данных — от начала (Start) до конца (End). 

Видео

VPN заблокируют в России целиком?

Кулин. В перспективе — да. Причем не только сервисы [, а технологию как таковую].

Климарев. Оказалось, что могут. Ну, то есть вот мы думали, что нет, а оказалось, что могут. В теории в интернете ничего заблокировать по определению нельзя, потому что это полносвязный граф, и если на пути этого графа стоят какие-то преграды, ты всегда сможешь найти обходные пути. Тем более при современном развитии криптографии. Разумеется, мы придумаем что-нибудь, что потом будет массово использоваться. Но на текущий момент получается, что Роскомнадзор может блокировать, в том числе и протоколы.

Здольников. Роскомнадзор понимает, что на точечную блокировку тысяч VPN-сервисов у них просто не хватит ресурсов, поэтому они решили ударить по самым популярным, заблокировав самый современный протокол WireGuard. Его по умолчанию использует и бесплатный Cloudflare WARP, и многие платные, вроде NordVPN. Скорее всего еще несколько популярных VPN-сервисов, которые используют другие протоколы, будут блокировать точечно перед выборами или во время них.

Селезнев. Могу лишь сказать так: Роскомнадзор атакует своими ТСПУ пока крупные сервисы. Если говорить о законодательстве в этой сфере, то практически вся нормативная база, которая последние пару лет принимается в этой сфере, прямо противоречит международным стандартам. Так, ООН считает анонимность и шифрование в интернете базовым правом человека — смотреть утвержденный в 2015 году доклад Дэвида Кая.

Помимо платных и бесплатных VPN-сервисов есть частные VPN, которые люди сами поднимают за границей. Может ли ТСПУ блокировать такие VPN — или это слишком трудозатратно?

Здольников. Блокировки по протоколам, которые сейчас применяет Роскомнадзор для борьбы с VPN, затрагивают любые подключения. Не важно, к большому сервису или к собственному серверу.

Селезнев. Даже при перекрытии всех коммерческих VPN-серверов очень сложно перекрыть все индивидуальные VPN, которые энтузиасты разворачивают для личного/семейного/корпоративного использования. Просто по причине их скрытности и огромного количества. Таким образом, будет идти речь о техническом противостоянии между ТСПУ, оборудованием, которое при помощи DPI пытается выявить трафик VPN и средствами маскировки этого трафика. Такие технологии вовсю обкатываются, достаточно почитать форумы IT-энтузиастов.

Кулин. Я думаю, это сейчас и тестируют, именно этот вопрос. Одна из основных проблем блокировки частных VPN в том, что на этих же технологиях построены VPN компаний. Так можно сделать, только если ты опричник и метешь метлой мразь всякую, недостойных граждан и фирмы, которые не опричь. Но да, мы уже видим победившую опричнину. «Системообразующие компании не пострадали» © А.Жаров. «Мы разослали по ведомствам» ©, и так далее.

Смысл в том, что сервисы имеют понятные эндпойнты. А связь между филиалами «Рогов и Копыт» можно идентифицировать десятилетиями. А главное, что они ничем не отличаются от Росатома, Ростеха, Роскосмоса и так далее, где свой бардак.

Климарев. Ребята, которые умеют что-то делать, они все эти вещи тоже обойдут. Они решат эти проблемы: есть возможность сделать обфускацию трафика, сделать нестандартные порты, какие-то вещи поднастроить, это индивидуально делается. Не думаю, что кто-то будет бегать [за рядовыми пользователями] ради таких вещей, поэтому да, это возможно, но связь даже при такой архитектуре в любом случае будет хуже, чем без [VPN]. Приедете в любую страну со свободным интернетом, включите VPN, а потом выключите его — и почувствуете разницу.

Какие меры могут принять компании, чтобы избежать подобных сбоев? Окажет ли это влияние на работу интернета?

Михаил Климарев

Во избежания таких случаев следует пересмотреть планы по Disaster Recovery, внести коррективы, снизить уровень централизации, добавить децентрализации. Планы которые смотрят в сторону централизации и управления сетей должны быть точно пересмотры, потому что пока, как мы видим, это приводит к серьёзным проблемам.

Владислав Здольников

Американские бигтех-компании последнее время всё больше погружаются в политику и сращивание с государством, нежели фокусируются на продукте и его качестве. Я понимаю, что эта мысль может показаться далёкой от случившегося, но считаю, что главная причина произошедшего — именно в этом. Конечно, такие сбои могут быть и происходят у каждого сервиса, но в данном случае мы видим полный хаос в организации работы — как в случае с причиной сбоя, так и во время его устранения.

В зависимости от итогов расследования о причинах сбоя, фейсбук пересмотрит внутренние регламенты. Сложно прогнозировать повторение таких ситуаций, но в случае с американскими бигтех-корпорациями есть все условия для учащения таких случаев.

Филипп Кулин

Я думаю, эта тема станет довольно популярной у [IT-компаний] для докладов в духе «Как мы положили сеть». Многие пересмотрят свои нормативы после проверок. Я очень сочувствую фейсбуку, понятно, что люди не спят сутками, у кого-то нервные срывы, и всё в этом духе, но внешне ситуация выглядит очень смешно. Так что, думаю, это станет обсуждаемой темой, и даже я где-нибудь посмотрю — вдруг у меня что-то упадёт и не сработает.

В подготовке материала участвовала Яна Ломакина.

Теги