Всем привет!
На собственном примере и частичной работой с инфраструктурой от Hetzner - могу с уверенностью утверждать о наличии непонятной формы блокировки части трафика практически со всех моих серверов, размещенных в разных географических локациях.
Подобная проблема, судя по источникам в СМИ, может так же распространяться на хостинг-провайдеры Akamai и CDN77, Aeza и другие.
Например, подобные проблемы однозначно наблюдаются и с серверами PS.KZ (Казахстан), а так же серверами в разных местах света (США, Голландия и тп.)
Проблема замечена начиная с 1 ноября 2024 года, когда увеличилось количество жалоб. И пока эта проблем не столь очевидна, однако затрагивает основные параметры работоспособности, что не может радовать.
Проблема 1. Перестают открываться сайты на данной подсети
Ситуация выглядит примерно так: сайты и сервисы на ваших IP - 5 минут назад еще открывались, затем - перестают работать.
Типичная ошибка при попытке подключения к серверу из браузера выглядит так:
Кроме того, не работают запросы TCP/UDP на сервер, невозможно подключиться через FTP/SSH.
На лицо вроде как блокировка сайта РКН (все типичные признаки на лицо), однако есть ньюанс:
Через какое-то время работоспособность опять восстанавливается, а затем опять нарушается. И так по кругу.
Выглядит не как блокировка, а как временное нарушение работоспособности.
При этом PING проходит без проблем:
Проблема 2. Нет доступа к почтовым серверам в РФ с заблокированного IP
Одним из неприятных моментов станет новость, что нарушается работать почты на сайтах и сервисах (в т.ч. работающих через SMTP), если они настроена на зарубежных серверах, и обращается к российским сервисам (Yandex, Mail и другие). Причем сам Yandex или VK/Mail будут ни при чем.
Судя по быстрой диагностике - все SMTP соединения отдают 110 ошибку (Connection Time Out).
Попытка подключения к SMTP сервера Яндекс с «чистого»* сервера Hetzner ничего не дает:
* Под «чистым» я подразумеваю, что никакой противоправной деятельности на сервере не велось и не ведется. А так же ранее не проводились рассылки ни в каком виде.
Проблема 3. Нет признаков блокировки
Пикантности ситуации добавляет тот факт, что никаких законных средств блокировки не существует.
IP адрес не присутствует ни в каких списках РКН, например:
Кроме самого сервиса так же нет ни намека на присутствие IP адреса в официальных списках фильтрации (которые можно получить в XML через API РКН).
Сам РКН присылает отписку, что сайт и IP адрес не значатся в списках на блокировку.
Разумеется, никаких судебных решений не существует, как и факта нарушения.
Проблема 4. Сайт свободно открывается через другие провайдеры
Одной из достопримечательностью является тот факт, что сайт прекрасно работает через другие провайдеры – и более того – прекрасно подключается к данному IP посредством проксирования, которые настроены на этих же IP адресах.
Т.е., к примеру, если у меня не работает сайт в подсети Hetzner на IP 195.201.122.21 – то если я подключусь к нему через прокси – он заработает.
Кроме того, фильтрация работает не на всех провайдерах – например, на мобильной связи все сайты работают прекрасно.
Из этого можно сделать вывод, что в деле участвует работа ТСПУ.
СПТУ (технические средства противодействия угрозам) — «чёрные ящики» от РКН. Это программно-аппаратный комплекс, позволяющий ограничивать доступ к информации, распространение которой запрещено на территории России.
Операторы связи (интернет-провайдеры) сутками пытаются найти проблему, и техподдержка разводит руками, сводит руки, и снова разводит.
Результирующий ответ техподдержки блокирующего оператора связи:
Т.е. опять пришли к неведомой штуке по имени ТСПУ, которая, выходит творит что хочет.
Забавность проблемы, что при мировом опросе адреса доступ работает везде, кроме одной локации:
Возьмем другой IP и сайт, вообще из другой подсети и белоснежность которого однозначна - но при этом он тоже сталкивается с той же проблемой - ping.archlinux.org.
При попытке доступа к нему мы видим ту же самую картину:
Т.е. доступ есть с множества узлов, кроме одного.
Получается, проблема блокировки лежит в одном узле, принадлежащем Ростелекому и географически расположенному в Екатеринбурге:
Не менее забавно выглядит тот факт, что если мы попробуем просканировать и сам сайт сайт РКН - https://blocklist.rkn.gov.ru/, то обнаружим обратную картину:
Как мы видим, РКН недоступен из большинства локаций (включая узлы внутри РФ), но в проблемном узле он прекрасно открывается.
Итого
Конечно, аналитика сотрудников хостинг-провайдеров продолжается, возможно даже они получат ответ от ЦМУ СООП.
Мне же можно сделать предварительный вывод - что в одной локации находится неисправная коробочка ТСПУ, которая сошла с ума и начала блокировать подсети налево и направо. И, видимо, наличие сигнала блокировки с нее, дает другим средствам фильтрации команду блокировать входящие и исходящие пакеты.
По итогу у сотни легальных и белых серверов нарушается работа, и сделать они с этим ничего не могут. Одним из примеров является Habr.ru, у которого была нарушена работа CDN (NetRange: 65.108.0.0 - 65.109.255.255), так же размещенная на серверах Hetzner.
Моральный вопрос такой деятельности, направленную на нарушение работоспособности оборудования, сервисов и бизнеса - можно вынести за скобки, т.к. это весьма печально?
ps. И да - почему же не работает сам сайт РКН из под блокированных ИП?
Значит ли это, что волшебная коробочка ТСПУ заблокировала сама себя?