Вопрос надежной, но бюджетной блокировки запрещенных сайтов из реестра Роскомнадзора (РКН) уже не первый год волнует операторов связи. Недавние технические сбои привели к определенным размышлениям о том, что широко используемые в настоящее время инструменты для блокировки ресурсов из реестра РКН при ряде условий не способны обеспечивать соответствие требованиям закона. Кроме того, такие «инструменты для блокировки» вызывают нештатные ситуации на сети и связанные с ними репутационные и финансовые потери. Отчетливо проступили очертания новой проблемы: подавляющее большинство операторов связи используют несовершенные, устаревшие и уязвимые методы блокировки реестра РКН, риски по которым могут ударить ощутимо больнее штрафов за пропуски.
Насколько экономной должна быть экономия?
Блокировать запрещенные ресурсы можно по-разному. Существует ряд методик: например, блокировка по DNS, блокировка по IP, глубокий анализ сетевых пакетов (DPI) и другие. Операторы хорошо знают сильные и слабые стороны этих технологий, а выбирают, как правило, самые простые и бюджетные. Наиболее эффективный метод (DPI на весь трафик) традиционно считается затратным.
Понять участников рынка несложно. Операторский бизнес требует постоянных вложений: модернизация инфраструктуры, привлечение новых абонентов, удержание существующих, обеспечение требований регулятора… Поэтому многие операторы стараются решить вопрос «малой кровью», используя блокировку в два этапа. Метод предельно прост: на первом этапе весь исходящий трафик фильтруется штатными маршрутизаторами (firewall, blackhole) на основе IP-адреса (адреса «подозрительных» ресурсов заранее резолвятся и заносятся в таблицу маршрутизации), на втором – небольшой объем оставшегося трафика поступает на простейшее низкопроизводительное DPI-решение.
Несмотря на все недостатки, которые операторам давно известны, эта схема весьма популярна и встречается даже у крупнейших игроков рынка связи. Однако такая методика способна закрыть вопрос фильтрации только до какого-то определенного момента. Проблема в том, что в процессе резолвинга неконтролируемо большое количество правил ACL может в автоматическом режиме попасть на маршрутизаторы, которые на выполнение таких задач совсем не рассчитаны.
В итоге переполняется память и прекращается пропуск не только запрещенного, но и всего остального трафика. Кроме того, сам объем трафика, направляемого с предфильтра на фильтр, может существенно меняться по мере включения в реестр РКН новых запрещенных URL (недавно, например, была попытка заблокировать Amazon cloud). На фильтрующий модуль, рассчитанный на трафик ~10% от общей полосы, может резко «политься» 50%. Все это происходит без участия человека и автоматически приводит к неработоспособности сети.
Тут есть, над чем задуматься. Надежды на то, что все условно бесплатные «заплатки» на предфильтрах, блокировка по IP и другие полумеры позволят еще долго держаться на плаву, с каждым днем слабеют. Судите сами: реестр растет, количество IP-адресов растет (у одного сайта их могут быть тысячи, что не является само по себе нештатной ситуацией), а ресурсов у маршрутизаторов больше не становятся – напротив, скоро они будут исчерпаны. Оставшиеся ресурсы, которые мы «из экономии» хотим использовать для фильтрации, уже недостаточны для решения задач не только завтрашнего, но и сегодняшнего дня. Схема «предфильтр-фильтр» сегодня является для провайдера настоящей бомбой замедленного действия.
DPI – не роскошь, а механизм
Что делать? Пожалуй, стоит признать, что старая схема «латания дыр» себя практически исчерпала: сейчас блокировка на предфильтрах уже выглядит, как «шлагбаум в океане». Похоже, пришла пора подыскивать адекватную по стоимости и функционалу систему на базе DPI-технологий.
DPI в разрезе реальных потребностей российских операторов связи – это, в первую очередь, функционал, и не обязательно использовать на нем весь возможный перечень функций. Как показала практика, правило «оптом дешевле» справедливо далеко не всегда, а вот «взвешивать точно в граммах» – это ровно то, что нужно, но DPI-вендоры не торопятся переходить к такой парадигме. Фактически, оборудованием класса DPI может быть любое решение, способное «заглядывать» чуть дальше, чем заголовки сетевых пакетов, и работать с их содержимым, что гарантированно закроет потребность в фильтрации с хорошим заделом на будущее.
Этим механизмом вполне можно пользоваться в необходимых объемах, не переплачивая за лишнее. При таком подходе польза от внедрения становится очевидной: во-первых, сам инструмент (да, он наверняка окажется дороже «бесплатных» решений) станет значительно дешевле продуктов от нишевых игроков DPI-рынка с их пакетными предложениями; во-вторых, стоимость должна однозначно перекрывать риски вероятных убытков в результате сбоев и потерь самого ценного для любого оператора – его абонентов.
Безусловно, здесь, как и в любом деле, необходимо найти золотую середину между ценой, надежностью и производительностью. Возможно, её стоит поискать на молодом, но уже окрепшем рынке российских DPI-решений.
Недавно Роскомнадзор протестировал ряд российских систем и опубликовал отчеты на своём официальном сайте. Среди них есть решения на базе DPI-технологий, обладающие достаточной пропускной способностью для установки «в разрыв» на весь трафик оператора. Надо отметить, что операторы, использующие подобные системы для фильтрации, никак не почувствовали на себе проблем, от которых недавно «трясло» почти весь российский сегмент Интернета.
Что в перспективе?
Конечно, задачи, стоящие перед участниками рынка связи, могут быть разные. Кто-то пытается закрыть вопрос бесплатно, пусть и ненадолго. Кто-то думает о будущем развитии и выбирает гибкие масштабируемые решения, оперативно изменяемые и дорабатываемые за счет актуализации софта. Кто-то пытается совмещать «неприятное с полезным», монетизируя данные, получаемые с трафика от DPI-систем, и защищая тем самым инвестиции, потраченные на внедрение DPI.
В любом случае, постоянно усложняющиеся требования регулятора, эволюция реестра РКН (увеличение списка блокируемых ресурсов, появление новых протоколов и др.) и связанный с ней прогноз развития систем фильтрации однозначно позволяют утверждать: двухэтапная блокировка уходит в прошлое. DPI на весь проходящий трафик, исключающий пути обхода и позволяющий заглядывать внутрь пакетов, – это единственный доступный уже сегодня метод, дающий практически стопроцентный результат. Пока регулятор настоятельно рекомендует использовать DPI для выполнения требований федерального законодательства, а в будущем, возможно, и обяжет. В результате развития ситуации те, кто уже вложился в устаревшие технологии, будут вынуждены заплатить дважды.
А пока всё, что мы имеем – это участившиеся случаи сбоев и DNS-атак. Что будет делать государство? Позволим себе предположить, что прежде всего оно обязано пристально следить за происходящим и реагировать на инциденты, особенно когда эти инциденты влияют на оказание операторами федерального масштаба критичных социальных услуг населению. Может так случиться, что уже завтра метод резолвинга будет запрещен. И попытки блокировки Telegram это скорее подтверждают. Особенно, если возникнет вопрос регулирования P2P-сетей: без функционала DPI на всем трафике такое регулирование технически просто неосуществимо.
Разумеется, всё это в скором времени может повлиять на ценовые политики вендоров, даже российских. Поэтому уже сейчас необходимо задуматься, какие методы и механизмы будут актуальны в новых технических и правовых условиях. Выбор есть: сегодня отечественные разработчики готовы предложить широкий спектр оборудования как для среднего сегмента, так и для топовых игроков – например, мультитерабитные кластеры, способные масштабироваться до десятков Тб, но при этом предлагая и бюджетные решения для довольно большого объема трафика, которые вполне могут быть пригодны для небольших и даже средних провайдеров. Как из этого многообразия выбрать искомую золотую середину – оборудование с хорошим КПД и оптимальной удельной стоимостью, – отдельный вопрос, ответ на который операторам еще только предстоит найти.
Дмитрий Иванов, директор департамента развития сетевых проектов Центра сетевых решений компании «Инфосистемы Джет»
Комментарии (59)
Stecenko
24.04.2018 17:18+1Может так случиться, что уже завтра метод резолвинга будет запрещен
Прошу прощения, а может так случиться, что послезавтра хождение пакетов по протоколу IP тоже будет запрещено?tvr
24.04.2018 17:27+3-А можете запретить хождение пакетов?
-Да не вопрос, они же (пакеты) экологию разрушают, вон весь мировой океан пластиком загадили уже. Запрещаем.
iiifx
24.04.2018 17:37-4Раньше было замечательное правило: Хабр не для политики. Нет политике в статьях, нет политике в комментариях. Но времена меняются: хорошее становится дерьмовым, дерьмовое со временем отмирает. Эволюция. RIP Хабр
diamond_nsk
24.04.2018 19:48+4Так какбэ это наоборот политики полезли в IT, пытаясь регулировать эту область средневековыми подходами и инструментами… А IT вроде не особо-то и расстраивается, привыкши к не особо образованному депутатскому слою населения.
quwy
24.04.2018 23:16+2Банально сработал принцип «если ты не занимаешься политикой, то политика займется тобой».
EvilGenius18
24.04.2018 17:44+3<хмм...>
Ниже код на Python, который рандомно принимает политические решения.
Даже не знаю расстраиватся ли или радоваться… код из нескольких строк за пару секунд принял больше логичных решений, чем сотни законописателей за год
import random def solve(x): question = x decision = ["да" , "нет"] print(random.choice(decision))
>>> solve("Нужно ли блокировать телеграмм?") нет >>> solve("Стоит ли отменять конституционное право на свободу тайной переписки?") да >>> solve("Логично ли тратить 30 миллионов на логотип?") нет
</хмм...>
decomeron
24.04.2018 17:51+1Это подсказка, чтоб наконец забанили? Или где
dipsy
24.04.2018 18:14Просто рассуждения технического специалиста о возможности осуществления некоторого вида деятельности. Ну как, не знаю, мне почему-то напомнило, как в одной европейской стране в 1939 году тоже наверное профильные специалисты так же сидели и рассуждали, что расстреливать это дорого и непрактично, а вот газовые камеры гораздо более технологичное решение, за которым будущее.
akurilov
24.04.2018 18:42Причём за деньги самих же осуждённых. Если казнить дешевле, то можно получить больше прибыли с денег «осуждённых»
akurilov
24.04.2018 18:41+5Разумеется, всё это в скором времени может повлиять на ценовые политики вендоров, даже российских.
Это прекрасно. Гос-во тратит налоги, на то, чтобы запрещать нам телеграч с попутным раздалбливанием кучи других полезных сервисов, а бизнец будет тратить наши же деньги на то, чтобы помогать ему в этом. А ни пойти бы вам (депутатам, чиновникам и представителям бизнеса, которые в этом будут участвовать) куда подальше?0x131315
24.04.2018 20:18+3Да все нормально. Просто процессы эволюции коснулись и интернета.
Чем суровей среда, тем сильнее становятся выжившие.
С каждым годом все сильнее закручивают гайки, а клиенты становятся все умнее.
Лет 10 назад в ходу были простейшие клиенты, с централизованными серверами, без шифрования, просто на протоколе tcp. Сейчас же все как один распределенные и шифрованные.
Да, еще недостаточно распределенные — у телеграмма вон управляющие сервера есть, хотя есть и автономный функционал.
Но как только закрутят гайки, как только станет понятно, что на сервера нельзя полагаться — в ход пойдут полностью децентрализованные схемы.
Сейчас порознь эти куски инфраструктуры существуют — есть хорошо отработанные децентрализованные сети, и есть клиенты с шифрованием. Осталось скрестить ежа с ужом.
И тогда блокировать станет просто нечего: трафик весь шифрован множеством слоев, и замаскирован, ходит только p2p, по цепочкам, и никто, кроме отправителя и получателя, не знают, откуда и куда идет пакет информации, что в нем находится.
Как заблокировать сайт, когда он работает в сетях p2p?
У него нет традиционного айпишника, никто его не знает — в p2p сетях свой слой адресации, там только хэши. Все пакеты идут по заранее выбранным отправителем цепочкам, инструкции по маршрутизации записаны в сам пакет, и каждый промежуточный узел знает только то, что необходимо, не больше. Никто не знает отправителя и получателя.
Нет постоянных цепочек доставки, и адреса можно менять как угодно.
В общем остается только 2 варианта: физически уничтожить сервер (а если их много? А если зеркала и репликаторы? Попробуй найди) или выдавать интернет по паспорту с жестко ограниченным списком айпишников, куда можно ходить… выдавать доступ к каждому отдельному айпишнику по паспорту)))Jammarra
24.04.2018 21:45-1Все эти игры в песочнице закончатся когда начнут давать реальный срок за телеграмм и другие запрещенные приложения на телефоне. Благо проверить труда не составит. Состряпают закон что обязан показывать все приложения когда в метро заходишь например. В целях борьбы с терроризмом конечно же.
dabrain
24.04.2018 19:02Надо отметить, что операторы, использующие подобные системы для фильтрации, никак не почувствовали на себе проблем, от которых недавно «трясло» почти весь российский сегмент Интернета.
Это какие, например. Не рекламы ради, а очень интересно. Хочу кое что проверить. А то вдруг операторы не почувствовали, а клиенты — вполне себе.
homeles
24.04.2018 19:12Если я правильно помню законотворчество — оборудование СОРМ должно быть установлено за счет государства(хотя когда принимались законы о блокировке — вроде как была строка — «бюджетных денег не надо»). Однако на практике — платят-покупают провайдеры рекомендованные куратором от местного ФСБ решения… И, да, это оборудование — как с «военной приемкой» — для простых стоит Хденег, а с сертификатом — 5*Хденег. Но при этом оно лучше не становится.
GDragon
24.04.2018 23:14Должно… Вот только «денег нет, но вы держитесь».
Кураторы из фсб прямым текстом говорят, или покупаете оборудование сами, или ждёте оборудование (и лицензию) до мартышкина заговения.
klirichek
24.04.2018 19:15Вот со стороны тут как раз больше всего жалко провайдеров…
ДЕБИЛЫ из РКН сделали выгрузку… Ладно, если там голые айпишники (тогда все вопросы к РКН). А если пакеты, что требуют DPI, тогда либо пользователи НЕ рады и жалуются, либо власть НЕ рада и тоже наезжает. "вот, я зашёл через openvpn и подключился к telegram. Гав!". "А теперь я подключился через TOR и подключился к telegram. Гав!". "Вот, у вас в сети кулибин-самоучка накодил свой слой туннеля, и я подключился к telegram. Гав!"...dartraiden
24.04.2018 20:21+4Я просто оставлю это здесь.
Возможность извинений и компенсаций владельцам сервисов, которые пострадали от проходящей блокировки мессенджера Telegram, зависит от того, насколько провайдеры признают ответственность за нарушение работы того или иного сервиса, заявил пресс-секретарь президента России Дмитрий Песков.
Перевожу на русский:
«Так, провайдер, блокируй подсети, которые мы велим. Блокируй IP-адреса, в которые резолвится google.com (отваливается reCaptcha, GDrive, Play Market). Ты всё это блокируй, но не блокируй. Да меня не колышет — как. Ты ж провайдер!»
Goodkat
24.04.2018 19:39«Почему даже заняв очередь с утра в пятницу, освободиться получается только в субботу к вечеру; преимущества перехода на электронную очередь; размышления о распараллеливании и переносе части нагрузки с субботы на другие дни недели. Комментарии специалиста»
potan
24.04.2018 19:55Задача правильного оператора связи не заблоктровать ресурс, а удовлнтворить РКН с минимильными затратами. Извращаться со сложными схемами бесполезно, и даже вредно.
RainDreamer
24.04.2018 23:01Не только с минимальными затратами, но ещё и с сохранением работоспособности — кому нужна лежащая сеть?
potan
25.04.2018 09:00Клиенты понимают, что google не открывается не из-за провайдера, а из-за роскомнадзора, и по такому пустяку менять провайдера не станут. А вот если блокировку будет сложно обойти, это повод провайдера поменять на выполнфющего идиотские и преступные требования регулятора менее ретиво.
UncleSam27
24.04.2018 23:01Так оно и есть, все больше знакомых размещают ревизор в «песочнице» с десятком другим «сварливых» абонентов для которых работает низкопроизводительный DPI. Для остальных блокировка или вообще отсутствует или механизмы куда попроще и менее разрушительные для пользователей.
YarosWD
24.04.2018 20:00+1Неужели в государственных компаниях сидят люди не способные спрогнозировать, просчитать на 5-10 шагов вперед прежде чем запускать такой процесс по блокировке, тем самым показывая свою несостоятельность или цель именно в этом реклама Telegram и профит рынка VPN.
pda0
24.04.2018 20:16+2Нет. Их задача угодить начальству. И в этом последствия просчитываются. А к чему приведут действия не важно. Даже если к фейлу и гневу начальства. Потому что тот гнев завтра будет, а не сегодня.
youROCK
24.04.2018 21:46Как DPI поможет с HTTPS? Без расшифровки трафика нельзя сказать, это телеграм или это yandex.ru
alexxz
24.04.2018 23:33+1HTTPS не совсем всё скрывает. Начало комуникации происходит вполне открыто.
strace -s10000 curl 'https://habr.com' 2>&1 | grep '(3,' |grep habr.com
Там можно приметить, как минимум, имя домена к которому шло обращение, цепочки сертификатов и на что они выданы, даже протокол по которому намеривается общение «http/1.1».
А еще, глядя на размер и направление пакетов, можно с большой вероятностью классифицировать тип трафика и блокировать большие входящие потоки предполагая, что это скачивание файлов или стриминг видео. Аналогично установление VPN соединений тоже волне детектируется такими средствами.
Примерно по таким не очень трудным приметам и реализуются основные фичи DPI.
Ну а уж отличить прямой трафик мессенджера даже и шифрованный от браузерного мне видится довольно простой задачей.alexxz
24.04.2018 23:49Продолжу свой ответ. DPI позволит заглянуть в домен и сертификаты трафика и потенциально с ними бороться, но мне кажется, что если бы они хотели бороться с доменными именами — было бы проще прочесать открытый DNS/UDP трафик и подменить ответы.
Как мне кажется, это было намеренное решение бороться по IP потому что полное количество IP адресов вполне ограничено сверху (4 миллиарда) и можно находить ответственных за использование IP (выдаются централизованно), чего не скажешь о распределенном и неограниченном DNS.
L0NGMAN
24.04.2018 23:55+2А что на счёт TLS 1.3? Там же домена не видно
alexxz
25.04.2018 00:12Ну, я не готов дискутировать на тему стандарта, который всё ещё находится в драфте. (Не считая того, что я недостаточно глубоко в теме). Внедрение займёт какое-то время.
Предположу, что будет предусмотрен вариант фолбека на предыдущую версию. Наверняка man in the middle будет вполне в состоянии немного подменить открытый трафик, чтобы форсировать фолбек и замедлять внедрение стандарта. На это уйдет несколько лет.
lafushon
24.04.2018 23:00Тоже спрошу глупость. А это вообще законно, использование DPI на уровне оператора в таких масштабах? Не является ли это вторжением в частную жизнь? Как было указано в статье, провайдер может попутно монетизировать подобный анализ траффика, и не факт что законным способом.
JetHabr Автор
24.04.2018 23:33Использование технологий DPI не регламентируется ни одним из известных нам законов. Таким образом, его использование вполне укладывается в рамки закона РФ. В США, например, до 2017 года действовал принцип «сетевого нейтралитета», при котором запрещалась блокировка и ограничение доступа к сетевым ресурсам, но его отменили.
Sklott
25.04.2018 09:08Я конечно не юрист, но мне кажется при большом желании под «тайну переписки», вполне можно попробовать подвести…
alexxz
24.04.2018 23:44DPI не отменяет шифрования и ничего не расшифровывает. При установлении шифрованного соединения процесс рукопожатия открыт и там много интересных деталей для анализа (см мой коммент выше). Мне больше интересно насколько законно вмешательство оператора в http трафик, когда они свои яваскрипты на чужие страницы вкорячивают.
NoRegrets
24.04.2018 23:51+5Какой занятный пост. Пока все ругаютс РКН вылезает контора со слоганом «Не удается заблокировать телеграм? — DPI это не роскошь, а механизм» и ненавязчиво рекламирует свои услуги операторам (или РКН?), намекая, что надо ставить DPI и есть целый спектр оборудования для операторов любого масштаба. И ни одного ругательного комментария.
ConstSe
25.04.2018 03:36Это всё очевидно. Странно, что Ваш комментарий не первый. Выше были намёки и сарказм, но Ваш наиболее точен.
В этой связи интересно, что этот вопрос вообще обсуждается в таком ключе. Как бы подешевле купить анальные паяльники, желательно, чтобы температура пониже. Мне кажется, что вопрос неверен в корне. Необходимо обсуждать, какими методами заставить законодателей и чиновников прислушаться к здравому смыслу и перестать пытаться надеть гражданам трусы через голову. А не то, как мы собираемся эти трусы надевать, в угоду этим врагам (по-другому их назвать сложно).
poznawatel
25.04.2018 06:00Ничего нового в подлунном мире — в нацистской Германии конвейры и печи для сжигания людей изготавливала фирма-производитель хлебопекарного оборудования olga-manzura.livejournal.com/672.html
К самым чудовищным преступлениям вели самые маленькие, но последовательные шаги. Главное — не останавливаться.
alexxz
24.04.2018 23:58Вопрос автору такой, а чем же этот cамый DPI лучше, чем блокировка по IP адресам? Позволяет банить соединения по домену? Я что-то упускаю? Забанить по домену можно и более простыми средствами — фильтрацией DNS трафика.
Denis18
25.04.2018 01:47DPI — это инструмент широкого профиля, расшифровывается как deep packet inspection. Блокировка — всего лишь одно из действий которое можно применить к детектированному трафику. Равно как и перечисленные вами ip адреса, dns имена — всего лишь часть условий по которым могут срабатывать триггеры правил на DPI системе. Собственно вся детекция на уровне стандартных ACL по заголовкам протоколов ip/tcp/udp — это не deep. DPI у операторов (без требований регулятора) продвигался на сетях под предлогом системы которая может распознавать различные виды трафика и в зависимости от применять к нему те или иные политики, н-р правила качества обслуживания. Современные DPI системы могут, например, распознать, что абонент не просто сидит в однокласниках, а смотрит видео или переписывается с кем-то в мессенджере. При этом доступа к контенту у dpi системы быть не может ведь соединение зашифровано, но по косвенным признакам можно понять что именно запрашивает абонент и какой тип сервиса ему предоставляется. Например, некий аналог dpi для энтерпрайза, ещё раз оговорюсь — очень условно можно называть его похожим решением, но так, чтобы было понятно — Cisco ETA habr.com/company/cisco/blog/346544
Партия повелела операторам применять блокировки, при чём их сложность и количество правил только увеличивается. Соответственно, операторы начали использовать функционал DPI для реализации данного требованиях. Хотя изначально системы данного класса внедрялись совершенно не под эти задачи.
tnt4brain
25.04.2018 00:32+3Писать о нерукопожатных системах DPI на Хабре в момент, когда Рунет просто шатает и плющит — несколько странное занятие, на мой личный вкус. Компания решила загнать свою учётку в минусы?
powerman
25.04.2018 03:05А разве отрицательная карма мешает писать в корпоративный блог? Скорее всего они просто решили обменять немного ненужной кармы на несколько лишних продаж, типа, взвесив бизнес-риски бла бла.
EvilGenius18
Пустая трата денег…
DPI не сможет заблокировать доступ к телеграмму или к чему бы то ни было.
Даже если попытаться заблокировать VPN, это ничего не даст, поскольку подобный трафик уже давно умеют маскировать под обычный TCP, не имеющий никак сигнатур, свойственным VPN
forcam
Где можно почитать про такое? Очень интересная тема.
EvilGenius18
Не занимался этим вопросом, не могу подсказать хороших статьей по этой теме. Но, если вы знаете англйиский, можете прочесть:
— Ответы на этой странице вопроса про DPI на stackexchange
— Вот эту статью от cactusvpn, описывающую прицип работы DPI
Tunnelbear VPN к примеру использует Obfsproxy (судя по их статье в блоге) — он изменяет сигнатуры VPN трафика и делает его неотличимым от обычного трафика.
Cenzo
Неплохой анализ на мой взгляд был сделан вот тут.
zoonman
Можно прямо на хабре прочесть про стеганографию.
vasiache
Комментировал уже какуюто статью.
www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-6_N6-0/ADC-Admin/21-6-ADC-Admin/21-2-ADC-Admin_chapter_0101.pdf
Смена протокола потребует обновления плагина. DPI не волшебная палочка, количество сигнатур в нем ограниченно. И базово он все таки не для блокировок предназначен.
vvpoloskin
Весьма спорное утверждение… Можно понять визуально по графику загрузки порта/активности tcp-сессии, что там работает мессенджер. А применяя некоторые алгоритмы можно вычленить трафик именно одного конкретного мессенджера, для этого даже не надо заглядывать в содержимое передаваемой информации, достаточно статистических методов.
EvilGenius18
Разумеется можно это вычислить, но я имел ввиду скорее то, что методы взлома создаются под методы защиты, и это требует времени, поэтому заблокировать что-либо навсегда, используя DPI, невозможно (если это делать в пределах разумного).
Найдут они паттерны мессенджера… на следующий день будут изобретены методы маскирования трафика, которые будет уже сложнее разобрать, и так будет продолжаться пока одна из сторон не отступит
vvpoloskin
Не получится «замаскировать» мессенджер под торренты, видео или веб-серфинг, а операторы совместно с производителями dpi обладают воистину огромными данными по своим абонентам. Было бы желание в общем, ну или законодательные инициативы немного в другом, более рациональном, а не показушном, направлении.
rafuck
Если запретить обновление клиентов, то вполне.
dipsy
Есть такой плагин для браузера, который блокирует работу таргетинговой рекламы и деанонимизации пользователя по его кликам, он просто сам в фоне «кликает» вообще на всё, ну и, как говорится, удачной аналитики.
alsii
А можно "применяя некоторые алгоритмы" вычленить трафик пользователей, страдающих гипертонией и отправить им на e-mail направление на обследование? А если таким образом еще проводить раннюю диагностику рака… Это был бы прорыв!