В Беларуси не утихают протесты и регулярно глушат связь. Но Бацька заявляет, что он не давал приказов – дескать, интернет отключают из-за границы.
Лукашенко пояснил: людей лишают интернета, чтобы вызвать их недовольство. А национальный оператор «Белтелеком» сообщил, что связь падает из-за кибератак за пределами страны.
На примере Беларуси разбираемся, возможно ли такое технически и что нужно сделать, чтобы отрезать целую страну от интернета.
Как работает интернет в Беларуси
Основной обмен трафиком для Беларуси проходит через Belarusian Internet Exchange (BY-IX), которая входит в европейскую ассоциацию Euro-IX. Первичный провайдер в стране – «Белтелеком».
Емкость внешнего шлюза BY-IX, в который напрямую подключен «Белтелеком», достигает 1100 Гбит/с. К нему подсоединены автономные сети (ASN) – магистральные операторы Qline и Flynet, провайдер Mediatek и др.
«Белтелеком» – это унитарное республиканское предприятие, которое находится под абсолютным контролем властей страны. Он подключен как минимум к каналам десяти крупнейших российских и европейских интернет-провайдеров: это Ростелеком, Мегафон, Вымпелком, МТС, Cogent, TeliaSonera, Level и др.
Также есть прямые пиринговые каналы обмена трафиком с Google, «ВКонтакте», «Одноклассниками», Mail.ru. Это позволяет ускорить обмен данными с ресурсами.
Крупнейшие мобильные операторы страны – А1, МТС и life:). 10 августа, на следующий день после президентских выборов, ресурсы вроде tut.by чаще были доступны с мобильного интернета. По крайней мере там, где вообще была мобильная связь.
В 2010 году в Беларуси создали РУП «Национальный центр обмена трафиком» (НЦОТ). Он должен был координировать создание ЕРСПД (единой республиканской сети передачи данных) и подключение к зарубежным сетям. А также, к примеру, «осуществлять технический контроль за пропуском международного трафика и присоединением к сетям электросвязи иностранных государств».
Итого: внешние каналы связи в Беларуси контролируют НЦОТ и «Белтелеком». В руках «Белтелекома» – практически весь кабельный и часть мобильного интернета внутри страны.
Как власти объясняют перебои с интернетом
Доступность онлайн-платформ в Беларуси в день президентских выборов 9 августа. Данные NetBlocks
Пока ещё президент страны Александр Лукашенко заявил, что власти не блокировали доступ к интернету. На встрече с исполнительным секретарем СНГ Сергеем Лебедевым он подчеркнул, что во всем виноват Запад:
Даже из-за границы отключают интернет, чтобы вызвать недовольство у населения. Сейчас наши специалисты разбираются, откуда идет эта блокировка. Поэтому если интернет плохо работает, это не наша инициатива, это из-за границы.
В «Белтелекоме» рассказали, что с 8 августа, за день до выборов, объемы трафика с внешних IP-сетей серьезно выросли. Замглавы «Белтелекома» по техническим вопросам Вадим Шайбаков добавил:
В настоящее время мы наблюдаем перебои с доступом к некоторым ресурсам и перегрузку каналов из-за зарубежного трафика в большом количестве. Пока не можем определить, генерируют его люди или машины — сейчас работаем над этим.
Национальный центр реагирования на компьютерные инциденты Беларуси (есть и такой!) тоже говорил: 8 августа на BY-NET пошла волна кибератак:
Были совершены атаки в 2.52 и 6.17, их продолжительность составила около 1 часа для каждой. …пиковое значение зафиксировано на отметке 203 Гб/с, а среднее из расчета 91+49 Гб/с.
Применяли якобы технологии UDP Flooding, UDP Fragment, UDP0 Flooding, DNS Flooding, ICMP Misuse и NTP Flooding. Особенно активно DDoS-или оборудование, на котором хостились сайты КГБ и МВД. Защита (Anti-DDoS) с атаками справилась, но потом начались проблемы с техникой.
Основатель Red Shield VPN Владислав Здольников отметил, что технически такое действительно возможно:
Входящий трафик в рамках атаки мог перегрузить не очень широкие каналы «Белтелекома» в страну, из-за чего работа интернета ухудшилась у всех пользователей. …я думаю, что они [представители центра] просто подгоняли «новость об атаке» под свои же действия по тестированию отключения и реакции на отключение интернета. Им просто сказали: напишите побольше умных слов.
Что в этой ситуации не так
Серьезные проблемы с доступом начались 8 августа. Перестали работать Viber, Skype, Telegram, VK, OK, Facebook, Instagram, YouTube, Google Play и популярные местные сайты.
Использование прокси или VPN, особенно заточенного под обход цензуры Psiphon, чаще всего позволяло белорусам заходить в сеть. Если бы проблема была в оборудовании провайдера, этот номер практически наверняка не прошел бы.
Но с вечера 9 августа VPN перестали справляться. Проблемы возникали и с внешними, и с белорусскими ресурсами. Падал и мобильный интернет. Сотрудники служб такси не могли работать – платформы были недоступны. Возникали проблемы и с оплатой в терминалах на кассах.
Списков прокси для Telegram хватало на полчаса, потом приходилось искать новые. Позднее мессенджер сам решил проблему.
Ресурс NetBlocks на видео показал, как распространялись ограничения доступа к сети в течение дня:
Update: It has been almost 24 hours since #Belarus fell largely offline after a series of worsening internet disruptions during Sunday's elections.
Real-time network data confirm the incident is ongoing, limiting freedom of expression and assembly ?
? https://t.co/JcBhvhgVcR pic.twitter.com/Siz33QIFqU
— NetBlocks.org (@netblocks) August 10, 2020
ИТ-специалист и российский оппозиционер Леонид Волков из «Общества защиты интернета» написал о ситуации:
Выключили главный рубильник в «Белтелекоме», и еще какое-то количество рубильников, до которых смогли дотянуться. Это привело к падению связности в пять раз, до 20% от обычного уровня. То есть от общего числа точек сопряжения белорусских сетей с зарубежными осталось лишь 20%. Это приводит, разумеется, к куче неприятных последствий. Вплоть до того, что люди в Минске не могут расплачиваться банковскими картами. Ну и, понятное дело, многие сервисы не работают.
Из-за границы белорусские сайты также были то доступны, то нет. Например, tut.by писал, что на него можно зайти из Польши, но не из Великобритании. Сейчас связи с ресурсом нет по всему миру.
К слову, за несколько дней до выборов госсекретарь Совета безопасности страны Андрей Равков предупреждал, что в стране могут ограничить доступ в интернет. Если будет нужно, конечно.
При чем здесь DPI и шейпинг
По словам технического директора hoster.by Дениса Отвалко, ситуация больше похожа на работу фильтрующего оборудования на внешних каналах связи. Это DPI (Deep Packet Inspection) – системы для глубокого анализа сетевых пакетов, которые позволяют блокировать отдельные ресурсы, сервисы и протоколы.
В 2018 году НЦОТ закупил технику для DPI на 2,5 млн долларов США. Российские операторы, к слову, используют такую технику с 2010 года – например, блокируют сайты по IP из «черного списка» Роскомнадзора.
Есть вероятность, что система DPI в Беларуси перестала справляться, поэтому частично отключали внешние каналы связи. В итоге связь периодически появлялась, часть пакетов доходила, часть – нет.
Исполнительный директор «Общества защиты интернета» Михаил Климарев тоже считает, что корень проблем с доступом к интернету в Беларуси – в фильтрующем оборудовании и использовании шейпинга.
Климарев следил за ситуацией и отметил, что 10 августа около 8 утра практически все зарубежные каналы связи в Беларуси одновременно отключились. В частности, упал AS6697 – один из крупнейших зарубежных аплинков «Белтелекома», через который проходит большая часть гражданского трафика. При этом AS60280, канал НЦОТ, продолжал работать.
Климарев предположил, что все маршруты НЦОТ перенаправили на единственную сеть с установленным оборудованием DPI. Затем часть маршрутов потом вернули, часть нет.
Связанность с российскими ресурсами частично работала. Сами российские компании также отметили проблемы с трафиком из Беларуси утром 10 августа. Затем связность восстановилась, но трафик шел «в полочку» (до конкретного уровня на графике), он был «зашейпен».
Что такое шейпинг? Это ограничение пропускной способности канала для отдельного узла сети. Технология позволяет уменьшить потребление трафика узлом связи.
Как это выглядит на практике? Канал, рассчитанный на 100 ГБ, внезапно начинает выдавать 1 ГБ. Или 1 МБ. Или 10 КБ. То есть связь как бы есть, но канала на всех не хватает.
Эксперты предположили, что дело не в самих каналах, а в пропускной способности DPI-системы. Невозможно фильтровать трафик без потерь скорости.
Когда DPI перенастраивали, скорость могла расти. К примеру, если начинали фильтровать трафик к одним узлам и не трогали другие.
Telegram-канал «За Телеком» выложил скриншот доступности ресурсов. Авторы отметили: Telegram, TOR и Psiphon в Беларуси работали, а часть VPN-сервисов — нет.
Число пользователей TOR-мостов (непубличных сетевых адресов, о которых не знают власти) из Беларуси в дни после выборов резко подскочило.
Похоже, скоро про TOR и VPN будут знать даже самые технически не подкованные слои населения. Но чтобы инструменты позволяли выходить в интернет, нужно, чтобы работали каналы связи.
И всё же: могли положить белорусский интернет из-за границы или нет?
Официальный аккаунт публичной политики Twitter пишет: “Мы наблюдаем блокировку и ограничение доступа к Twitter в Беларуси в ответ на протесты против результатов выборов. Отключение интернета очень губительно. Оно в корне нарушает основные права человека и принципы открытого интернета”.
Короткий ответ: в целом да. можно атаковать «Белтелеком» и забить его канал. А потом пойти в атаку на мобильных провайдеров – чтобы уже наверняка.
Доцент кафедры телекоммуникационных систем НИУ «Московский институт электронной техники» Александр Шаромок предположил, что импортное телеком-оборудование может содержать «недекларированные возможности» (известные производителю уязвимости). Через них можно удаленно отключать устройства или самые важные узлы.
Но это не DDoS-атаки – их чаще применяют для конкретных серверов. Здесь же клали распределенные сети. Вердикт: технически работать могли и изнутри, и снаружи.
Глава аналитического центра Zecurion Владимир Ульянов заявил:
…внешние атаки более заметны и менее вероятны в целом, нежели если предположить какие-то искусственные действия, инициированные самими владельцами какого-то сегмента сети.
Ульянов допустил, что проблемы могли наложиться друг на друга. Но чем вызван сбой в работе конкретных узлов, пока однозначно сказать нельзя.
Интернет-эксперт Павел Лунин отметил, что полностью отключать интернет невыгодно: на него завязана значительная часть экономики. Но в Беларуси фильтровали практически весь шифрованный трафик, для передачи которого используются протоколы TLS или HTTPS.
В целом DPI позволяет работать прицельно. Но когда нужно заблокировать много и быстро, приходится применять «ковровые методы». Лунин пояснил:
В воскресенье вечером все белорусские сайты, использующие протокол https, из Франции не открывались, включая сайты провайдеров, интернет-магазинов. Зато открывались правительственные сайты, на которых шифрование было отключено и использовался протокол http, например сайт ЦИК. Многие VPN-сервисы не работали, потому что они использовали заблокированный властями протокол TLS.
Напомним, в 2010 году интернет в стране тоже ложился в день выборов. Блокировали оппозиционные сайты, LiveJournal, Twitter, связь по защищенному протоколу HTTPS. Задержали 7 кандидатов в президенты. Лукашенко набрал 79,65%.
Что насчет России
И Лунин, и Климарев не верят, что в РФ может повториться белорусский сценарий. Интернет здесь не настолько централизован – нет единого крупного провайдера, который беспрекословно исполнит приказ.
В Беларуси около 100 операторов, в РФ – более 60 тыс. Именно поэтому в РФ создают суверенный рунет, который позволит отключить сеть рубильников по команде сверху.
Но пока такая система не построена, связанность независимых узлов в РФ не сможет, как в Беларуси, одномоментно упасть в пять раз. Вместе с социальными сетями и VPN упадут и интернет-магазины, и государственные новостные каналы, и платежные системы. Вряд ли власти на такое пойдут.
Источник:
