Рубрика #вопрос_ответ
Хайп с последним законопроектом привел к тому, что мне уже раз шерсть написали ЛС с просьбой разъяснить за DPI.
Ну, как оказалось, среди читателей канала, оказывается, есть люди, которые этого не знают. Потому, я постараюсь сильно упрощённо и коротко. И матёрые сетевеки могут псто пропустить.
Хотя, СТОП!
Главное скажу. В этом самом законопроекте, выдвинутом мошенником и наёмным убийцей — нет ни полслова про DPI. Из текста проекта вообще непонятно, что там за такие «технические средства противодействия угрозам». Вот теперь все.
Рассказываю за DPI:
Deep Packet Inspection — это по-сути брандмауер-переросток. Обычный сетевой компьютер, который смотрит каждый проходящий через интерфейс пакетик и принимает решение, что с ним делать. Или дропнуть, или отправить дальше, или развернуть по другому маршруту. При этом DPI должен «рассматривать пакеты глубоко», как следует из названия, а не только источник-назначение, как обычный маршрутизатор. Ну, то есть, еще он должен определить протокол передачи и, по возможности, еще и содержание чо там.
Кажется, что это просто. Но, как обычно, не так. DPI должен принимать решение в режиме реального времени. А это значит, что при росте объема трафика — растет и необходимая вычислительная мощность «сетевого компьютера». Причем, чем «глубже» DPI хочет «инспектировать», тем больше нужно мощностей.
И потому, если кто-то думает, что DPI — это такая панацея «против всего нехорошего», то НЕТЪ. Но об этом ниже.
В то же время, у DPI есть и полезные свойства. Как, впрочем, у любой технологии, которую люди когда-то вообще придумывали. Ну, например, DPI имеет смысл, когда у вас есть дефицит среды передачи данных. Например, у мобильных операторов такой дефицит есть и DPI там встроен бай-дизайн. Смысл очень простой — те пакеты, которым не нужно быстро-быстро реал-тайм (обычный HTTP для сайтиков) немножко тормозятся в очереди передачи. А те [пакеты], где нужно реал-тайм (голос-видео) передаются быстрее. И благодаря этой технологии получается «более плотно» упаковывать пакеты так, что пользователь даже не задумывается о том, что есть какой-то там дефицит ограниченного ресурса в виде радиочастот.
Но вот «фиксированные» операторы DPI не очень жалуют. Ну, потому что никакого дефицита в оптике нет, объем трафа сильно больше, а «сетевые компьютеры» должны быть мощнее и, логично, дороже. Для фиксы просто нет экономической необходимости в DPI в 99,9% случаев.
Надеюсь, понятно объяснил. И потому к другому мифу: «с помощью DPI можно все заблокировать».
Помните, я выше писал, что «чем глубже смотреть пакеты, тем больше нужно вычислять»? Так вот. Оборудование миллионов абонентов (при поддержке умных разработчиков, конечно) _всегда_ будет мощнее одной топовой железки, которую сможет себе позволить РКН. Даже за счет бюджета. И когда-то, очень быстро, DPI просто не справится с нужными вычислениями.
И потому DPI обходится не просто, а очень просто. Ну, например, наш любимый Телеграм начинает использовать QUIC (он же HTTP/3). Для DPI это будет выглядеть как шифрованный UDP-поток без возможности «заглянуть глубже», потому что там просто энтропия и какие-то случайные цифры. Есть только постянно изменяющиеся IP-адреса, причем, только назначения. И какое решение примет DPI, при условии, что точно такой же поток генерит Ютюб или сайт «первого канала» в промышленных масштабах?
В итоге, массовое внедрение DPI на всех операторах приведет к:
1. Удорожанию услуг. Ну, потому что действительно оборудование для обмолота примерно 20Тб российского трафика стоит минимум 200 миллионов баксов. Еще раз - МИНИМУМ.
2. Ухудшению качества связи. Сами судите — если по каждому пакету оборудование начнет проверять сотни параметров, чтоб принять решение, то задержки в сети увеличатся. В Китае, кстати, так и есть. В сотни раз, кстати.
3. К ВНЕЗАПНЫМ переблокировкам совершенно легальных сайтов. Все ж помнят, как РКН «телеграм блокировал»? Ну, а теперь представьте, что этим рукожопам дадут такую мощную хню. Они вообще все сломают, дебилы.
