ТСПУ (Технические средства противодействия угрозам) — это масштабно внедряемый программно-аппаратный комплекс глубокой фильтрации трафика (DPI), который устанавливается на узлах связи всех российских интернет-провайдеров и мобильных операторов в рамках закона о «суверенном рунете». С инженерной точки зрения это серьезный конвейер, физически состоящий из аппаратных байпасов, высокопроизводительных балансировщиков на базе мощных сетевых чипов Tofino (способных обрабатывать до 3.2 Тбит/с) и серверов фильтрации. В качестве DPI-нод используются отказоустойчивые платформы на базе 24-ядерных процессоров Xeon Gold с сотнями гигабайт оперативной памяти. Оборудование ставится в разрыв операторского линка: оптимальной считается установка до систем трансляции адресов (CGNAT) для прямого анализа «серых» IP абонентов, но возможна работа и с уже транслированным «белым» трафиком провайдера.
Основные возможности
- Глубокий анализ трафика (DPI): Балансировщики выравнивают асимметричный трафик, распределяя его по ядрам фильтров на основе хеша IP-адресов и портов. Это позволяет разбирать сетевые сессии вплоть до прикладного уровня (Layer 7 модели OSI) и распознавать трафик более 3200 различных приложений, включая зашифрованные соединения.
- Централизованное управление: Программно-аппаратные комплексы работают на базе прошивок EcoFilter и EcoDPI от отечественной компании «РДП.РУ» (входящей в структуру «Ростелекома»). Списки блокировок, сигнатуры и правила маршрутизации загружаются централизованно через изолированный ГОСТ-VPN «Континент» напрямую из центра управления; сами операторы связи не имеют доступа к управлению этими «чёрными ящиками».
- Деградация протоколов (Троттлинг): В настройках комплекса присутствует встроенная опция искусственной деградации (значения от 0 до 100), позволяющая изящно увеличивать процент отбрасываемых пакетов (packet drop). Именно эта механика применяется для целевого замедления тяжелых сервисов (например, видеохостингов или мессенджеров) без их полного отключения.
Преимущества архитектуры и отказоустойчивость
- Двойное резервирование: Разработчики учли риски падения оборудования под высокой нагрузкой. Если сервер фильтрации перестает отвечать на keepalive-пакеты или отбрасывает более 20% сессий из-за перегрузки, балансировщик автоматически направляет трафик в обход без флапа (разрыва) линков у провайдера.
- Аппаратная защита линий связи: В случае полного пропадания электропитания в серверной стойке срабатывает оптическое реле в пассивном байпасе. Линия связи замыкается аппаратно напрямую, сохраняя абонентам доступ в сеть (трафик при этом перестает фильтроваться).
- Продвинутый мониторинг: Комплекс включает собственную подсистему независимой диагностики, обладающую продвинутым CLI и двойным резервированием. Инженеры центра управления могут удаленно отслеживать состояние всех узлов вплоть до деградации оптики на SFP-трансиверах, формируя глобальную параллельную инфраструктуру поверх сетей операторов.
Изучить материалы по теме на Хабре
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675