Вечером 14 января многие российские пользователи сообщили о проблемах с доступом к интернету. Федеральные службы отреагировали по-разному: некоторые подтвердили проблему, некоторые опровергли. Мы постарались оценить, что произошло, и найти причину произошедшего.
- Введение
- «Интернет работает нормально, но пользоваться им невозможно»
- Первая информация об инциденте
- «Не надо печалиться, надейся и жди» (из песни)
- «После окончания рабочего дня все заработало нормально»
- «А было ли падение?»
- Всемогущий РКН
- «А может, снова виноват DNSSEC?»
- Взгляд со стороны
- Выводы
Введение
Вечером во вторник 14 января российские пользователи стали массово сообщать о том, что часть российских интернет-сервисовлибо работают со сбоями, либо недоступны. Не имея никакой информации о причинах произошедшего, люди стали формулировать самые различные версии, от «вам показалось» до «ну, началось».
Что же произошло? Как отработали ситуацию федеральные службы, отвечающие за работу интернета? Об этом — далее.
«Интернет работает нормально, но пользоваться им невозможно»
Федеральный центр мониторинга ЦМУ ССОП, отвечающий за контроль и управление трафиком в сети Интернет, сохранял во время инцидента стойкое молчание. Он не публиковал никаких рекомендаций по противодействию угрозам ИБ. Он также не сообщал, что в Сети происходят какие-то странные явления. Не было информации о появлении каких-либо уязвимостей. Поэтому не было и рекомендаций по их устранению или противодействию кибератакам.
Не поступало также никакой информации от отраслевого экспертного центра ФГУП «ГРЧЦ», на который возложены контрольно-надзорные функции в отношении работы российской части интернета.
Когда все началось, никто не мог сказать ничего определенного. Но уже к 17:00 (по московскому времени) сформировалось групповое мнение, что произошло что-то «странное». Появилась версия о том, что в Сети проводят эксперименты. Но выбор дневного времени в рабочий день выглядел совсем неудачным для таких работ, хотя версия, что «это чудит РКН» или «кто-то свыше», рассматривалась вполне серьезно.
Отметим: какое-то время сообщалось, что «лежали» сайты ГРЧЦ и ЦМУ ССОП, при этом продолжали работать сервисы Google.
Немного позже появился официальный комментарий от РКН: «Установлено кратковременное нарушение связности. Работа сети оперативно восстановлена дежурными службами ЦМУ ССОП».
Первая информация об инциденте
В 18:07 в телеграм-канале «Телекоммуналка» появилась информация, что в момент аварии трафик на узле MSK-IX сократился с 5650,7 Гб/с до 3663,7 Гб/с. Узел MSK-IX — это крупнейшая российская точка обмена интернет-трафиком, которая объединяет три геораспределенные платформы: 1) Internet eXchange — для пирингового взаимодействия сетей и оптимизации маршрутов трафика; 2) Instanet — для выделенного защищенного доступа к облачным сервисам и дата-центрам; 3) платформы DNS-хостинга для доменных зон верхнего уровня.
За полчаса до этого в телеграм-канале «Раньше всех» был опубликован комментарий, который дал агентству RT директор координационного центра доменов .RU / .РФ Андрей Воробьев. Он сообщил: «Никаких комментариев дать не могу, потому что мы не видим никакого сбоя в своей, так сказать, части. … Инфраструктура доменов верхнего уровня .RU и .РФ и российские DNS работают без сбоев».
Отметим, что в это время лично мы наблюдали на севере Москвы падение картографического сервиса GIS.ru на мобильной сети «Билайн». Похоже, интернет «штормило», но без явной локализации сбоя.
«Не надо печалиться, надейся и жди» (из песни)
После 18:00 пользователи в социальных сетях стали сообщать: «Интернет оживает». Сначала пришла информация, что заработал сервис YouTube. Напомним, что он находится сейчас под воздействием мер по замедлению трафика.
В это же время в Сети появился комментарий, который дал изданию NEWS.ru зампредседателя комитета Госдумы по информационной политике Андрей Свинцов. Он предположил, что YouTube мог заработать после массового сбоя в российском интернете из-за того, что Google решил вернуться в Россию в преддверии прихода Дональда Трампа к власти в США.
«Мы неоднократно говорили о том, что Google принял решение самостоятельно уйти из России и прекратить поддерживать свою собственную инфраструктуру. Поэтому в преддверии прихода Трампа, вполне возможно, Google решил потихоньку возвращаться в Россию, и, возможно, вот этот глобальный сбой как раз был вызван тем, что Google обновил определенные прошивки, какое-то программное обеспечение. Это огромные серверные мощности, огромное количество маршрутизаторов по всему миру», — заявил Свинцов.
Андрей Свинцов высказал предположение, что, «возможно, какие-то узлы просто были обновлены до свежих версий, и YouTube заработал без ограничений, либо это просто пробные тесты на качество и надежность инфраструктуры России».
По странному стечению обстоятельств во время массового сбоя сервис Google сохранял работоспособность, даже когда сайты ГРЧЦ и ЦМУ ССОП «уснули». Напомним, что ранее в тот же день (14.01.2025) Чертановский суд Москвы признал компанию Google виновной в уклонении от исполнения административного наказания (ч. 1 ст. 20.25 КоАП РФ) и назначил ей штраф в размере более 8 млрд руб. По всей видимости, это обстоятельство не помешало Google сохранить работоспособность.
«После окончания рабочего дня все заработало нормально»
К 19:00 многие пользователи уже сообщали, что «все заработало». После этого говорить о проблемах стало скучно: рабочий день закончился… Тем не менее мы провели выборочную проверку доступности новостного сайта ТАСС в 18:59 и выяснили, что хотя сайт был доступен в целом по стране, в отдельных регионах (Крым, Дальний Восток) доступ к нему отсутствовал. Не было доступа и в Турции.
Рисунок 1. Статистика выборочной доступности сайта ТАСС 14 января в 18:55
Другой новостной портал — сайт агентства «РИА Новости» — был доступен повсеместно, исправно работал также механизм редиректа.
Рисунок 2. Статистика выборочной доступности сайта «РИА Новости» 14 января в 18:58
Два часа спустя оценка доступности сайта ТАСС показала, что есть затруднения в отдельных частях Москвы (север, центр, восток).
Рисунок 3. Статистика выборочной доступности сайта ТАСС 14 января в 21:40
Утром на следующий день мы провели проверку доступности сайта госуслуг. Он не был доступен на северо-востоке и юге Москвы, во многих частях Санкт-Петербурга и в ряде отдельных регионов. Но многие уже забыли о «вчерашнем сбое».
Что же все-таки произошло 14 января?
«А было ли падение?»
Поскольку федеральные органы по надзору за качеством работы Сети «не увидели сбоя», делать выводы без доступной статистики наземных каналов связи невозможно. Поэтому падение интернета некоторые связали с работой мобильных операторов. Быстро собрался список «пострадавших»: «МегаФон», МТС, «Ростелеком» и T2. Сообщалось о невозможности пользоваться Google, YouTube, Telegram, WhatsApp и TikTok.
Но то, что сбой произошел реально, уже не вызывало ни у кого сомнений. Доказательством могла служить, например, статистика узла обмена трафиком MSK-IX, о котором упоминалось выше. Исходя из неё можно сказать, что сбой начался около 17:00, а восстановление началось около 17:30. Однако оценить связность интернета по этому графику невозможно.
Рисунок 4. Статистика узла обмена трафиком MSK-IX с 9 по 17 января
Всемогущий РКН
Многие сразу вспомнили о всемогущем Роскомнадзоре. Сбой был приписан неудачному обновлению по требованию государственного регулятора. Высказывались предположения о подготовке рунета к отключению от интернета и запуску автономной сети в рамках развития «интернет-суверенитета». Поклонников этой версии не смущало, что суверенный рунет при неработающих сайтах госуслуг и ТАСС, но работающих сервисах Google и YouTube выглядит странно.
Попробуем оценить эту версию. Интернет действительно является распределенной системой, поэтому аппаратный сбой какого-либо узла будет иметь явно территориальное проявление. Он скажется только на тех веб-ресурсах, хостинг которых связан с ним. Трудно представить, что аппаратный сбой мог вызвать коллапс сразу по всей стране.
В то же время в сетях российских операторов сейчас действительно установлены системы ТСПУ (технические средства противодействия угрозам). Они стали обязательными для них с 2019 года в соответствии с законом № 90-ФЗ. Эти средства предназначены для централизации управления трафиком. Они также обеспечивают управление ограничениями доступа к запрещенным ресурсам.
Реализация систем ТСПУ не раз в прошлом уже вызывала критику. Их работа оценивалась как неэффективная, а внутри, говорят, находили немало уязвимостей. По слухам, эти системы представляют собой «черный ящик», подключенный к сети. Интернет-провайдеры не контролируют их работу. Если такой «ящик» выходит из строя, то непонятно, кто отвечает за быстрое исправление ошибок и восстановление его работоспособности.
Кстати, РКН подтвердил сбой, но не предоставил разъяснений. Было заявлено только, что проблема состоит во «временной потере связи» и она «оперативно решена». Вполне возможно, сбой мог возникнуть как реакция управления на внешнюю угрозу. Но точный ответ может дать только РКН.
Рисунок 5. РКН решает важные задачи защиты интернета от внешних угроз
«А может, снова виноват DNSSEC?»
Среди других причин вспомнили прошлогодний масштабный сбой, вызванный технической ошибкой с поддержкой глобальных расширений безопасности системы доменных имен (DNSSEC) в домене .RU. Картина происшествия и ответная реакция Сети были схожи с нынешними.
DNSSEC служит для дополнительной безопасности в работе системы именования, которая преобразовывает веб-адреса, понятные человеку, в IP-адреса, понятные компьютерной системе. DNSSEC проверяет подлинность ответа от DNS-сервера и защищает от подмены IP-адресов.
Среди возможных причин прошлогоднего сбоя называли ошибку администратора со стороны поддержки DNSSEC, российского координационного центра доменов .RU или подрядчиков. Но официально виновный не был назван.
Взгляд со стороны
Если что-то непонятно, можно взглянуть на явление со стороны. Мы так и сделали, посмотрев на российский трафик при запросах из-за рубежа. Они показали хорошо заметное падение, которое составило 22,1% (по запросах HTTP) и 32,5% (по общему трафику данных). Падение трафика резко началось в 16:45, восстановление началось также резко в 17:15. Эти данные коррелируют со статистикой трафика узла MSK-IX.
Рисунок 6. Статистика трафика из России за 14 января
Посмотрим более внимательно. Нетрудно заметить, что был ещё один сбой, но гораздо меньший по масштабу. Он произошёл в 13:30 по московскому времени и компенсировался в течение 15 минут.
Рисунок 7. Статистика HTTP-запросов из России за 14 января
Первый сбой был индифферентен к источнику HTTP-запросов (человек или бот). Второй привел к тому, что часть HTTP-запросов, которые генерировали люди, резко просела.
Рисунок 8. Соотношение трафиков ботов и людей в рунете за 14 января
Извне аномалию наблюдали в работе по запросам к серверам по всей стране для всех операторов, имеющих выход за рубеж (МТС, «Ростелеком», «Билайн», «МегаФон»). Аномалии наблюдались на узлах обмена трафиком AS8359, AS12389, AS16345, AS31133, AS203451.
Выводы
Сбой 14 января, который привел к хаотичной потере доступности многих важных интернет-ресурсов, в том числе имеющих государственное значение, скорее всего, не был связан с «падением» аппаратных средств поддержки интернета. К сожалению, федеральные службы, ответственные за контроль связности работы интернет-ресурсов, не смогли своевременно оповестить пользователей и не предоставили им никакой информации для сохранения спокойствия. Инцидент удалось устранить в течение получаса, однако его последствия наблюдались еще в течение как минимум суток.
