В условиях изменяющейся сетевой инфраструктуры пользователи мобильного интернета сталкиваются с вопросами: какие ресурсы остаются доступными, и как это выглядит на техническом уровне? Этот материал — результат практического исследования с использованием стандартных инструментов сетевого анализа.

Никаких домыслов — только измерения, цифры и технические факты.

Дисклеймер: Статья носит исключительно образовательный и исследовательский характер. Все измерения проводились на личном устройстве в легальных целях изучения сетевого трафика.

---

Методика исследования

Стенд для тестирования

[iPhone с мобильным интернетом] 
         ↓ (режим модема)
    [MacBook] 
         ↓ (тестирование + захват)
   [Bash-скрипты + Wireshark]

Почему такая схема:

• Мобильный интернет показывает актуальное состояние фильтрации на уровне оператора;

• Режим модема не искажает трафик;

• MacBook позволяет использовать профессиональные инструменты.

Что тестировалось

Для объективности был составлен список из 26 доменов в нескольких категориях:

Параметры тестирования

Для каждого домена выполнялись:

1. DNS-запросы к двум серверам:

   • Yandex DNS (77.88.8.8)

   • Google DNS (8.8.8.8)

2. ICMP Ping (3 пакета) — проверка доступности IP

3. HTTPS-запрос с таймаутом 10 секунд

4. Traceroute (первые 5 хопов) — маршрут до хоста

Время проведения: 5 ноября 2025, 22:58–23:11 (MSK)
Длительность: 13 минут
Параллельный захват: Wireshark (PCAPNG формат)

---

Результаты: сухие цифры

Общая статистика

Из 26 протестированных доменов:

Детальная таблица результатов

---

Ключевые находки

1. Google DNS полностью недоступен

Результат для ВСЕХ 26 доменов:
DNS (Google): ;; connection timed out; no servers could be reached

Вывод: DNS-сервер Google (8.8.8.8) не отвечает ни на один запрос. Это означает ограничение на уровне оператора.

2. Yandex DNS работает избирательно

Yandex DNS (77.88.8.8) успешно резолвит 25 из 26 доменов (96%), включая:

• Все российские сервисы

• Государственные порталы

• Зарубежные ресурсы (Wikipedia, GitHub)

• Заблокированные соцсети (Twitter, Facebook)

Но: DNS-резолвинг не гарантирует доступность!

3. Промежуточный маршрутизатор оператора

У всех работающих соединений в traceroute появляется хоп:

198.18.9.129 ~33-40ms

Что это:

• 198.18.0.0/15 — диапазон для CGNAT (Carrier-Grade NAT)

• Это шлюз/маршрутизатор оператора с NAT

• Разрешённый трафик маршрутизируется через него

• Заблокированный трафик дропается ДО этого хопа

У неработающих соединений этого хопа нет:

1  172.20.10.1  (локальный шлюз)
2  * * *
3  * * *

4. Государственные сервисы не работают (парадокс!)

Госуслуги из "официального белого списка", но:

gosuslugi.ru:
  DNS (Yandex): 213.59.253.7  ✅ резолвится
  Ping: timeout               ❌ не отвечает
  HTTPS: Connection failed    ❌ не подключается
  Traceroute: только локальный шлюз

То же самое с:

• government.ru

• kremlin.ru

• vybory.gov.ru

Это критическая находка: даже сервисы из официального списка недоступны.

5. Операторы связи: 1 из 5 работает

Из пяти порталов операторов доступен только mts.ru. Остальные (beeline.ru, megafon.ru, rostelecom.ru, t2-mobile.ru) имеют DNS, но TCP-соединение не устанавливается.

6. Контрольная группа подтверждает картину

Нейтральные зарубежные ресурсы:

• Wikipedia ❌

• GitHub ❌

• StackOverflow ❌

DNS резолвится, но HTTPS не работает — идентично госуслугам.

Известные заблокированные:

• Twitter ❌

• Facebook ❌

• Instagram ❌

Поведение точно такое же, как у госуслуг и зарубежных ресурсов.

---

Технический анализ

Архитектура фильтрации

На основе данных можно реконструировать схему:

┌──────────────┐
│   Клиент     │
│  (172.20.x)  │
└──────┬───────┘
       │
       ↓
┌──────────────┐
│  Локальный   │
│    шлюз      │ 
│ (172.20.10.1)│
└──────┬───────┘
       │
       ↓
    ╔══════════════════════════╗
    ║  Фильтр оператора        ║
    ║  (уровень 1: DNS)        ║
    ╟──────────────────────────╢
    ║  • Google DNS → блок     ║
    ║  • Yandex DNS → OK       ║
    ╚═════════╦════════════════╝
              │
              ↓
    ╔══════════════════════════╗
    ║  Фильтр оператора        ║
    ║  (уровень 2: IP/фильтр)  ║
    ╟──────────────────────────╢
    ║  IF (IP in whitelist):   ║
    ║   → ROUTE (маршрутизация)║
    ║  ELSE:                   ║
    ║    → DROP                ║
    ╚═════════╦════════════════╝
              │
              ↓ (только разрешённые)
    ┌─────────────────┐
    │  198.18.9.129   │
    │  (CGNAT-шлюз)   │
    └────────┬────────┘
             │
             ↓
    ┌─────────────────┐
    │  Интернет       │
    └─────────────────┘

Почему DNS резолвится, но сайт не открывается?

Это классическое поведение двухуровневой фильтрации:

Уровень 1 — DNS:

• Yandex DNS работает и возвращает реальные IP-адреса

• Это создаёт иллюзию "всё резолвится"

Уровень 2 — IP-фильтрация на маршрутизации:

• Пакеты к "неразрешённым" IP дропаются на уровне маршрутизатора 

• Нет RST, нет ICMP unreachable

• просто тишина - Клиент ждёт таймаута (10 секунд в нашем тесте) 

• Разрешённые пакеты проходят через CGNAT-шлюз (198.18.9.129) и дальше в интернет

Роль 198.18.9.129

Этот IP — ключ к пониманию механизма:

Это CGNAT-шлюз оператора для маршрутизации разрешённого трафика.

 Как это работает: 

1. Клиент делает DNS-запрос → получает реальный IP (например, vk.com = 87.240.x.x) 

2. Клиент отправляет SYN на этот IP

 3. Оператор проверяет destination IP в пакете 

4. Если IP в белом списке: пакет маршрутизируется через инфраструктуру оператора (включая 198.18.9.129) 

5. Если нет: пакет просто дропается на уровне маршрутизации

Подтверждение:

# Все работающие сервисы:
traceroute vk.com
  1  172.20.10.1
  2  198.18.9.129    ← CGNAT-шлюз оператора
  3  * * *           ← дальше в интернет

# Все неработающие:
traceroute gosuslugi.ru
  1  172.20.10.1
  2  * * *           ← трафик дропается, не маршрутизируется
  3  * * *

---

Сравнительный анализ

Что работает: признаки

Категории:

• Российские соцсети (VK, OK, Mail.ru)

• Сервисы Яндекса

• Маркетплейсы (Ozon, Wildberries, Avito)

• Rutube

• MTS

Что НЕ работает: признаки

Категории:

• Государственные порталы (!)

• Большинство операторов связи

• Зарубежные ресурсы

• Известные заблокированные соцсети

---

Парадоксы и аномалии

1. Госуслуги недоступны

Ожидание: Как государственный портал, должен быть в приоритете
Реальность: Не открывается, несмотря на DNS-резолвинг

Возможные причины:

• IP-адрес госуслуг не в белом списке оператора

• Технический сбой маршрутизации

• Временные изменения в фильтрации

2. VK.com работает без DNS

vk.com:
  DNS (Yandex): timeout
  DNS (Google): timeout
  Ping: OK (451ms)
  HTTPS: 200 OK

Как это возможно?

• Вероятно, в системе был закешированный DNS-ответ

• Или соединение идёт напрямую по IP без нового DNS-запроса

• Curl использует /etc/hosts или системный кеш

3. Операторы не открывают свои сайты

4 из 5 операторов связи не могут обеспечить доступ к своим порталам через собственную сеть. Ну тут довольно банальна история - открывается лишь сайт оператора, который используется. У меня МТС.

4. Нет разницы между Wikipedia и Twitter

С точки зрения сетевого поведения, нейтральный образовательный ресурс (Wikipedia) и известный заблокированный сервис (Twitter) ведут себя абсолютно идентично:

• DNS резолвится ✅

• TCP не устанавливается ❌

• Traceroute до локального шлюза

Это указывает на позитивную фильтрацию (whitelist), а не блокировку конкретных ресурсов.

---

Выводы

1. Модель "белого списка" подтверждается

Данные убедительно показывают позитивную фильтрацию:

• Не "блокируются плохие", а "разрешаются хорошие"

• Всё, что не в списке — недоступно по умолчанию

• Даже государственные ресурсы могут не попасть в список

2. Google DNS заблокирован полностью

100% запросов к 8.8.8.8 возвращают таймаут. Это намеренная блокировка альтернативных DNS-серверов.

3. Двухуровневая фильтрация

Уровень 1: DNS (контролируется выбором DNS-сервера)
Уровень 2: IP/Transport (жёсткая фильтрация на стороне оператора)

4. CGNAT-шлюз для маршрутизации разрешённого трафика

IP 198.18.9.129 (CGNAT-диапазон) — это маршрутизатор оператора с NAT. Через него проходит весь разрешённый трафик. Заблокированный трафик дропается до этого шлюза и не маршрутизируется вообще.

5. Нестабильность даже в "белом списке"

Формально разрешённые ресурсы (госуслуги, операторы) часто недоступны — это говорит о:

• Несовершенстве реализации

• Динамических изменениях списков

• Возможных технических ошибках

---

Что это значит для специалистов

Для разработчиков

Если ваш сервис стал недоступен:

# Проверьте DNS-резолвинг
dig +short your-service.com @77.88.8.8
dig +short your-service.com @8.8.8.8

# Если Yandex резолвит, но Google нет — это первый сигнал

# Проверьте TCP-соединение
curl -v --connect-timeout 5 https://YOUR-IP

# Traceroute покажет, где обрывается маршрут
traceroute -m 10 your-service.com

Если видите:

• DNS работает

• Traceroute обрывается на 1-2 хопе

• Curl зависает и таймаутится

→ Ваш IP не в whitelist оператора.

Для системных администраторов

Диагностика проблем:

1. DNS-уровень:

   • Используйте несколько DNS-серверов для проверки

   • Yandex DNS (77.88.8.8) — основной работающий вариант

2. Transport-уровень:

   • Захват tcpdump/Wireshark покажет, где обрываются пакеты

   • Ищите SYN без SYN-ACK

3. Маршрутизация:

   • MTR покажет полный путь и потери

   • Обращайте внимание на хопы в диапазоне 198.18.0.0/15

Для бизнеса

Если ваш B2C/B2B сервис критичен:

• Размещение на российских хостингах может улучшить доступность

• Согласование с операторами для включения в whitelist

• Мониторинг доступности с разных операторов

• Альтернативные точки входа (зеркала, CDN)

---

Методологические замечания

Ограничения исследования

1. Один оператор, одно время

   • Данные собраны только с одного мобильного оператора

   • В другое время суток картина может отличаться

2. Ограниченный список доменов

   • Протестировано 26 доменов

   • Реальный whitelist может содержать тысячи записей

3. Snapshot, а не мониторинг

   • Это моментальный срез на 5 ноября 2025

   • Списки могут динамически изменяться

Воспроизводимость

Все использованные инструменты — стандартные:

# DNS
dig @77.88.8.8 domain.com

# Ping
ping -c 3 domain.com

# HTTP
curl -v --connect-timeout 5 https://domain.com

# Traceroute
traceroute -m 5 domain.com

Скрипты автоматизации доступны по запросу (под лицензией MIT).

---

Заключение

Проведённое исследование показывает, что сетевая инфраструктура мобильного интернета в России работает по модели строгого whitelist:

✅ Работает:

• Ограниченный набор российских сервисов

• Крупные соцсети (VK, OK)

• Маркетплейсы

• Яндекс-сервисы

❌ Не работает:

• Большинство зарубежных ресурсов

• Альтернативные DNS-серверы

• Даже часть государственных порталов

? Техническая реализация:

• Двухуровневая фильтрация (DNS + IP/Transport)

• Прокси-слой для разрешённого трафика

• Полная блокировка Google DNS

Для технических специалистов важно понимать эти механизмы, чтобы корректно диагностировать проблемы доступности и проектировать устойчивые системы.

---

Дополнительные материалы

Инструменты

• Wireshark — https://www.wireshark.org/

• tcpdump — встроен в macOS/Linux

• dig — brew install bind / apt install dnsutils

• mtr — brew install mtr / apt install mtr

Полезные команды

# Быстрая проверка доступности
curl -I -m 5 https://example.com

# DNS через разные серверы
dig example.com @77.88.8.8 +short
dig example.com @8.8.8.8 +short

# Маршрут с потерями пакетов
mtr -r -c 10 example.com

# Захват трафика для анализа
sudo tcpdump -i any -w capture.pcap port 443 or port 53

Фильтры Wireshark

# DNS-запросы и ответы
dns

# Сброшенные TCP-соединения
tcp.flags.reset == 1

# Неотвеченные SYN
tcp.flags.syn == 1 and tcp.flags.ack == 0

# Трафик к конкретному IP
ip.addr == 198.18.9.129

---

Дата публикации: Ноябрь 2025
Автор: Технический анализ на основе реальных измерений
Лицензия: Статья создана в образовательных целях

Автор не призывает к нарушению законодательства и не предоставляет инструкции по обходу ограничений. Все данные получены легальными методами с использованием стандартных инструментов сетевой диагностики.

---

Небольшое дополнение, чтобы было понятно, что служит причиной моего детального разбора. Уже две недели я не могу зайти в банковские приложения для проведения оплаты в магазине с мобильного интернета, работает только яндексПэй. Не работает ни один мессенджер, кроме МАКСа. Работает Авито и озон, но не работает условный Apple Music.