Предположений о том, что Россия из-за санкций отключится от глобального Интернета, предостаточно. На сетевом уровне российский Интернет очень взаимосвязан и довольно устойчив, и какого-то большого эффекта от санкций на этом уровне пока нет. И хотелось бы рассмотреть, как выглядит российский Интернет, что изменилось за последние недели и какие будут возможные последствия в целом для Интернета за пределами России.

Интернет состоит из более чем 70 000 сетей. Каждая из них подключена к остальной части Интернета через одно или несколько подключений с другими сетями. Очень грубая классификация этих сетей будет следующей: сети с пользователями («сети глазного яблока»); сети с серверами («контентные сети»); и сети, обеспечивающие связь между сетями («транзитные сети»).

Текущая маршрутизация



На картинке показана взаимосвязь между сетями в России (красные узлы) с другими сетями внутри и за пределами России (последние представлены синими узлами). Сети первого уровня (Tier-1) представлены в виде зелёных узлов. Размер узла определяется его «важностью» для интернет-маршрутизации для конечных пользователей. Эта «важность» измеряется с точки зрения степени, в которой конечные пользователи в России зависят от этого узла для доступа к остальной части Интернета.

Например, Rascom (AS20764) подключён ко многим зарубежным сетям, но это не означает, что он фундаментально зависит от этих сетей; это просто показывает, что взаимосвязи существуют. Многие из сетей, которые видны вокруг Rascom, зарегистрированы в Европе, потому, что Rascom является пирингом со многими точками обмена интернет-трафиком (IXP) в Европе, и здесь видны эти пиринговые соединения. Кроме того, Rascom подключён к большему количеству нероссийских сетей, в отличие от других сетей на картинке, и поэтому Rascom виден лучше остальных.

Провайдеры Tier-1


Так называемые сети «уровня 1», Tier-1, являются фундаментальной частью взаимосвязи Интернета. С уплотнением Интернета их роль несколько снижается (поскольку всё больше и больше взаимосвязей обходят их стороной), но если в Интернете есть что-то похожее на его ядро, то это будут Tier-1.

Как видно на картинке выше, некоторые из этих сетей в настоящее время очень важны для подключения к Интернету для российских конечных пользователей, в частности AS1299 (Arelion, также известная как Telia) и AS3356 (Lumen, также известная как Level3). Что касается санкций, то и Lumen, и Cogent (AS174) сделали публичные заявления об ограничении предоставления услуг в России.

Если посмотреть на изменения в сетевом соседстве между этими тремя уровнями 1 в период с 1 февраля по 19 марта, можно увидеть следующее:


Транзитные контракты обычно заключаются на ежегодной основе, поэтому вполне возможно, что существующие контракты не будут продлеваться, а последствия отключения услуг будут видны в долгосрочной перспективе.

Cogent (AS174)


Согласно собранным данным о маршрутизации, из перечисленных выше сетей Cogent — единственная, которая не добавила ни одной российской сети. Сеть перестала подключаться к восьми зарегистрированным в России сетям, в первую очередь "Транстелеком" (ТТК, AS20485) и МТТ (Межрегиональный Транзиттелеком, AS49476).
Но если посмотреть на то, как изменились точки взаимосвязи между Cogent и Ростелеком, то можно заметить, что нет свидетельств исчезновения каких-либо из этих основных точек межсоединений в период с 1 февраля по 17 марта.

Задержка


В отчёте Internet Health Report есть графики задержки, основанные на трассировках RIPE Atlas. Если сравнить задержку для ряда российских сетей до и после начала «спецоперации», можно заметить некоторые изменения. Если до вторжения этот сигнал был довольно ровным, то после вторжения заметны суточные изменения. Точно неизвестно, что это означает, но такая картина обычно начинает проявляться, когда сеть становится более перегруженной (как было в начале пандемии COVID).

Из основных российских сетей Ростелеком (AS12389) и Транстелеком (AS20485) показывают такую ​​картину:



IXP (LINX)



Одним из самых заметных событий стала Лондонская интернет-биржа (LINX) приостановила членство крупных российских провайдеров, МегаФона (AS 31133) и Ростелекома (AS AS12389). На картинках ниже показано, что происходило в течение дня 11 марта. Чтобы понять, что именно происходило 11 марта, необходимо рассмотреть периодические трассировки в RIPE Atlas за день до этого (10 марта).


Видно, как меняется подключение на путях, которые ранее шли исключительно через порт IXP MegaFon. Синяя линия (обозначенная как linx-lon1-port-mf) показывает количество путей, включающих порт MegaFon IXP в LINX. 11 марта около 16:00 UTC видно значительное уменьшение путей через этот порт. Непонятно, почему это не падает до нуля.

Оранжевая линия (обозначенная как linx-lon1-other) представляет пути, которые проходят через другие порты в LINX. Они начинают появляться примерно в то же время, когда пути через порт MegaFon уменьшаются. Это указывает на смещение путей к другим сетям в LINX. Примерно в то же время также видны два других IXP на этих путях: AMS-IX (Амстердам) и DE-CIX (Франкфурт). Так как многие сети имеют избыточные пиринговые соединения с LINX, AMS-IX и DE-CIX, такой переход вполне ожидаем.


На этой картинке видно, как меняется подключение к сетям на отслеживаемых путях. Направления этих путей находятся в абонентском конусе МегаФона, поэтому, скорее всего, это российские сети. На графике показаны только сети с наиболее резкими сдвигами. Для этого набора заметен сдвиг примерно в 16:00 UTC. До 16:00 был виден только AS31133 (МегаФон). По истечении этого времени примерно 25 % путей остаются с МегаФоном, а на остальных путях начинают появляться другие сети, обеспечивающие транзит в России: AS3216 (Вымпелком), AS12389 (Ростелеком), AS20485 (Транстелеком) и AS9002 (РЕТН). Это показывает избыточность взаимосвязи: пока в Интернете существуют альтернативные пути, выход из одной транзитной сети вызовет перемаршрутизацию. Так что каких-либо существенных изменений нет, что указывает на то, что достижимость пунктов назначения не была затронута.

Эффекты за пределами России


Хоть и нет серьезных изменений в сетевом подключении, наблюдаемые эффекты задержки могут свидетельствовать об увеличении трафика и/или уменьшении доступной ёмкости между Россией и остальным миром. Это заставляет задуматься: какие последствия будет иметь снижение пропускной способности российских (транзитных) сетей для других стран? Удаление российских транзитных сетей может повлиять на доступную полосу пропускания в этих странах и за их пределами, если интернет-трафик больше нельзя будет направлять через основные российские сети. Другой эффект может быть финансовым.

Предварительное рассмотрение этих эффектов показывает большую зависимость пользователей в Казахстане от российских сетей «Вымпелком» (AS3216) и «МегаФон» (AS31133), как показано на картинке ниже (согласно Internet Health Report):


Эту зависимость может объяснить, почему крупный казахстанский провайдер (AS9198, КазахТелеком) начал демонстрировать такие же суточные графики, что и российские сети:


Заключение


В этом посте показана высокоуровневая структура взаимосвязи российских сетей, а также то, как они связаны с более широким Интернетом. Приведены примеры того, что изменилось, но в целом картина такова, что с начала «спецоперации» в Украине, мало что изменилось.

Поскольку ряд дополнительных вопросов остаются открытыми, поощряется использование открытого инструментария для дальнейшего самостоятельного исследования.

Комментарии (19)


  1. ifap
    06.04.2022 18:01
    +9

    Предположений о том, что Россия из-за санкций отключится от глобального Интернета, предостаточно.

    Предположений? Откройте глаза, половина сайтов госорганов недоступна из-за рубежа, включая самое уж ближнее зарубежье - Белоруссию. Это жопорукие безопасники так борятся с отаками хацкеров. Некоторые невластные сайты - тоже, тот же Сбер выкобенивается на что угодно: IP, UA, URL... Россия уже вовсю отключается от Интернета, причем по собственной инициативе, санкции тут ни при чем.


    1. nanshakov
      06.04.2022 18:45

      А зачем вам госуслуги из РБ ?


      1. ifap
        06.04.2022 19:09
        +6

        А что, есть какой-то регламент, где обязан находиться получатель госуслуг?


      1. EmmGold
        06.04.2022 21:11
        +4

        Воспользоваться услугами. Особенно если есть имущество в РФ и/или гражданство(родсвтенники) в РФ. Да банально в поликлинику записаться, с оказией находясь в коммандировке в РФ. Да мало ли чего ещё…


      1. mons3x
        07.04.2022 00:18
        +1

        Мне, например, справку надо было заказать. Пришлось просить знакомых поднять впн и через него ходить.


    1. Popadanec
      06.04.2022 19:58
      -7

      Они и раньше частью не были доступны. Госуслуги точно. А для остальных особо и не зачем доступ за границей.


      1. ValdikSS
        07.04.2022 07:17

        Всегда всё было доступно. Не помню за последние ≈5 лет хоть сколь-либо значимую недоступность сайтов из-за рубежа.


    1. edo1h
      07.04.2022 00:08
      +3

      Россия уже вовсю отключается от Интернета, причем по собственной инициативе, санкции тут ни при чем.

      да нет, процесс обоюдный. в один прекрасный день я понял, что процентов 20 переходов по ссылкам в гуглопоиске выдают мне 403 и перенастроил роутинг в vpn со списков РКН на все зарубежные сети.


      но всё это пока не окончательное отключение интернета, связность [в основном] не нарушена.
      беда будет если решат обрубить европейские аплинки (и я скорее поверю в то, что инициатива будет исходить не из рф). конечно, азиатские аплинки останутся, но с доступом к европейским (а, возможно, и американским) ресурсам сразу станет намного печальнее.
      совсем беда случится если ripe всё-таки решит разделегировать российские сети. или тот же cogent решит не просто обрубить линки, а анонсирует маршруты до российских сетей и пустит трафик в /dev/null.


      1. ifap
        07.04.2022 00:34

        Последнее ИМХО все же маловероятно. RIPE обещала так не делать, Cogent же подобными действиями создаст прецедент: можно одному - можно всем. Хотя вон Thawte и Let's Encrypt создали с отзывом сертификатов, и пока не слышу волны возмущения.


        1. edo1h
          07.04.2022 01:52
          +1

          RIPE обещала так не делать

          да. но с другой стороны сказали
          The RIPE NCC will at all times comply fully with EU sanctions. An article clarifying this in light of the current situation is available on RIPE Labs.

          The RIPE NCC complies with this restriction by freezing the registration (not the use) of the Internet number resources in the RIPE Database. This means that sanctioned entities cannot acquire further resources or transfer resources. However, we do not deregister their resources or terminate their


          То есть ограничения уже есть. И при изменении санкционной политики ЕС могут стать жёстче.


          Cogent же подобными действиями создаст прецедент

          это будет совсем ужас-ужас-ужас, надеюсь, что до подобного не дойдёт.


    1. ValdikSS
      07.04.2022 07:23
      +2

      Причем некоторые сервисы не просто заблокировали другие страны на IP-адресах веб-серверов, но еще и на DNS, и они перестали резолвится не только с частных зарубежных резолверов, но и через 8.8.8.8, например.

      Ответ от Петроэнергосбыта:

      Уважаемый заявитель!

      В ответ на Ваше обращение сообщаем, что в  настоящее время возможны перебои в работе сайта компании в связи с настройками безопасности. Доступ с иностранных ip заблокирован. Приносим извинения за неудобства и благодарим за понимание.

      В связи с временно введенными ограничениями в работе с зарубежными сегментами сети Интернет под блокировку попали DNS сервера Google. Рекомендуется на пользовательских устройствах\роутерах в качестве DNS-сервера настроить Яндекс-DNS: 77.88.8.88 или 77.88.8.2.


      1. SevenTimes
        07.04.2022 11:05

        Самое смешное, что под днс Яндекса оно тоже не грузится, пришлось качать на телефон приложение


    1. Paul_Arakelyan
      07.04.2022 16:24
      +1

      Давайте так:

      Я живу в Украине. И если бы вдруг на то, за что я отвечаю, повалил DDoS из мира - я бы просто оставил анонсы только в UA-IX (точка обмена трафиком) и иже с ним. Далее были бы другие действия, если доступность из мира нужна. Но это - просто, быстро (1 строка) и действенно, не требует ничего "эдакого".

      "Жопорукие" часто не безопасники, а писатели сайтов, которые вместо отдать чуток plain html со скоростью 100500 заросов/с генерируют на лету вагоны всего, после чего ложатся сервер(ы) и каналы даже при простой посещаемости "выше среднего". А ддосят сейчас все (да, прикиньте, любая домохозяйка - хоть с компа, хоть с смартфона, может принять участие в этом скоординированном движе, ибо без координации не получилось бы ничего) и всё, что хоть как-то кажется важным (иногда мимо кассы бывало, но теперь всё продуманнее, и с пояснением для домохозяек "шо это", и зачем именно это), используя любые доступные ресурсы, и начхав на все эти ToS/AUP взех этих амазонов с гуглами и прочим. То есть, "режим чебурашка" - это единственный верный вариант, но и он не очень помогает от ботнетов и прочего внутри РФ.

      То есть, всё пришло к тому, что безопасность ресурсов страны стала ЛИЧНЫМ делом и обязанностью каждого пользователя из этой страны. Вот зайдёт домохозяйка из РФ посмотреть котиков - а страничка начнёт ддосить с её компа сбер и ещё 100500 сайтов, попутно показывая котиков, канешна. Это - не фантастика, это - жабаскрипт, хотя можно и на html такое сделать, будет хуже - но работать будет.

      И отключаться - придётся, ибо смотришь на все эти соц-сети, и количество людей с манией "посмотрите на меня" в них - видишь угрожающую ситуацию для безопасности страны (думаю, любой страны). И это мы не говорим о всяких обменах мнениями и попытках убедить граждан в неправоте действий их правительства и "всё пропало" (это взаимно, очевидно).

      Отключение пары провайдеров от точки обмена трафиком - суть дебилизм самой этой точки, ибо BGP это исправит, загрузятся другие каналы, может станет чуть хуже и/или дороже. Я бы понял, если бы скоординированно отключили ВСЕ внешние каналы. Или RIPE вынес их AS/подсети из базы - было бы смешно (не очень) очень быстро, есть опыт жизни после такого действия райпа (то есть, "жизнь" заканчивается быстро, начинаются извращения). Но и это имело бы свои положительные стороны - DDoS бы точно не прошёл :).


      1. ifap
        07.04.2022 16:42
        +1

        Далее были бы другие действия, если доступность из мира нужна.

        Далее - это когда? Через месяц после начала DDoS - это уже достаточно далее? ;)

        любая домохозяйка - хоть с компа, хоть с смартфона, может принять участие в этом скоординированном движе

        и при этом у нее будет российский (украинский в Вашем примере) IP, который заблокировать нельзя, ergo блокировка по "географии" - признак рук, растущих из несколько нетрадиционного места, и отсутствия головы на плечах.

        При этом, прошу заметить, вторая половина российскийх госсайтов не блокирует посетителей "по географии" и (большую часть времени) доступна, несмотря на DDoS и прочие излишиства нехорошие. Ergo, можно, когда нужно и руки и правильного места.


  1. CatalogLoader
    06.04.2022 19:45

    Вы не представляете что творится с платежами у всех. Ох, вот мы в КаталогЛоадер (Баларусь) не могли принять платежи из России, но благо, что МИР подключили одними из первых в Беларуси. Но теперь ждем когда нас подключат ЮМани! Это просто полная жесть, то как ЮМани отвечают... На уровне подключения уже просто полный аврал, а что будет когда начнем работать, но других вариантов просто нет - придется вот так.


    1. Popadanec
      06.04.2022 20:04
      -5

      Зато Виза/Мастеркард освободили огромную нишу, дав возможность развиться другим, которую потом не факт что вернут, т.к. народ это надолго запомнит. А не вернутся, так к тому моменту альтернативы нормально распространятся и заработают.


    1. YooMoneyHelp
      06.04.2022 20:59
      +1

      Здравствуйте! Отправьте, пожалуйста, ваш ИНН или номер заявки на merchants@yoomoney.ru. Детально проверим ситуацию.


      1. CatalogLoader
        06.04.2022 21:42

        такой почты как вы указали нет.


      1. CatalogLoader
        06.04.2022 21:47
        +1

        вижу , что уже поменяли вы почту . ок отправлю на   merchants@.