Две крутые статьи в блоге Cloudflare

Первая: “Bringing insights into TCP resets and timeouts to Cloudflare Radar”.

https://blog.cloudflare.com/tcp-resets-timeouts/

Короткий пересказ на русском языке:

1. Цель статьи: Рассматривается работа с TCP-соединениями, которые завершаются сбросом (TCP Reset) или истечением времени (Timeout). Именно так сейчас выглядит вмешательство в работу сети со стороны цензуры и в РФ, и в Китае, и в Иране.
Cloudflare добавила эти метрики в свой сервис Cloudflare Radar, чтобы дать пользователям доступ к данным об этих сбоях.

2. Проблемы с TCP-соединениями: TCP Reset — это механизм, при котором одно из устройств завершает соединение из-за ошибок или аномальной активности. В случае истечения времени, одно из устройств перестаёт ждать ответа и завершает соединение. Оба этих случая могут указывать на проблемы в сети или даже на вредоносные действия.

3. Диагностика причин: Основные причины сбросов и истечений времени включают сетевые ошибки (например, сбои в оборудовании), защитные системы (фаерволы), ошибки конфигурации или вмешательство в трафик.

4. Применение в Radar: Cloudflare Radar помогает анализировать эти события, предоставляя данные по частоте и масштабам таких соединений по всему миру. Это позволяет пользователям выявлять потенциальные проблемы в своей сети.

5. Аномальные сбои: В статье отмечается, что значительное количество сбросов может указывать на более серьёзные проблемы, такие как DDoS-атаки или сетевые сканирования. Кроме того, сбои могут быть связаны с деятельностью посредников, которые перехватывают и анализируют трафик (например, фаерволы или системы безопасности).

6. Выводы и использование данных: Данные о TCP сбоях и истечениях времени могут быть полезны для оптимизации работы сети и повышения её устойчивости. Cloudflare надеется, что Radar поможет улучшить качество обслуживания в сети и быстрее выявлять потенциальные угрозы.

Вторая статья: “A global assessment of third-party connection tampering”:
https://blog.cloudflare.com/connection-tampering/


1. Цель исследования: Cloudflare анализирует вмешательство третьих сторон в интернет-соединения (connection tampering), когда сторонние устройства намеренно разрывают TCP-соединения. Причины могут быть разные: цензура, блокировка сайтов на уровне государств или компаний, или защита от вредоносного контента.

2. Масштаб проблемы: Около 20% соединений по всему миру заканчиваются преждевременно, что может быть признаком вмешательства.

3. Механизмы вмешательства: Вмешательство обычно происходит через блокировку доменов, анализ данных через DPI (глубокая проверка пакетов) или подмену пакетов.

4. Региональные особенности: В статье рассмотрены различные сигнатуры вмешательства в зависимости от стран. Наиболее заметное вмешательство наблюдается в Китае, Индии и некоторых других странах. Важные примеры — блокировки контента в Китае (Большой китайский файрвол) и вмешательство в Иране.

5. Технические сигнатуры вмешательства: Cloudflare анализирует несколько этапов работы TCP-соединений, выделяя сигнатуры, которые указывают на вмешательство, такие как резкие изменения в IP-ID и TTL, что говорит о подмене пакетов.

6. Реальные примеры: В статье упоминается анализ данных по вмешательствам во время протестов в Иране в 2022 году. Всплеск таких событий коррелировал с активностью протестов и блокировкой информации.

7. Ограничения данных: Cloudflare признаёт, что не всегда можно точно определить место или причину вмешательства, но данные дают хорошие индикаторы для выявления проблем.

8. Ценность открытых данных: Открытие этих данных через платформу Cloudflare Radar помогает повысить прозрачность интернета и выявлять проблемы сетевой цензуры.