Диагностика влияния ТСПУ на доступность сервисов
При работе серверного оборудования или использовании интернет-соединения могут возникать ситуации, когда сетевая связность сохраняется, но некоторые сервисы начинают работать некорректно или перестают отвечать. В некоторых случаях сервер может оставаться доступным по ICMP (ping), однако подключение по SSH, открытие сайта по HTTPS или установка VPN-соединения завершаются тайм-аутом или сбросом соединения. При этом с других IP-адресов или через иного провайдера доступ сохраняется. Такое поведение часто связано с работой технических средств противодействия угрозам (ТСПУ), которые операторы связи применяют в соответствии с требованиями законодательства.
Клиент не может напрямую влиять на работу ТСПУ или изменять их настройки. Если проблема связана с ложным срабатыванием, в некоторых случаях помогают смена IP-адреса сервера, использование другого порта или подключение через другого оператора связи. Чтобы определить причину сбоя и выбрать подходящее решение, стоит провести диагностику и передать ее результаты в техническую поддержку провайдера.
В этой статье мы разберем, как распознать влияние ТСПУ и провести базовую диагностику. Это поможет быстро определить причину проблемы и подготовить данные для обращения в техническую поддержку.
Что такое ТСПУ
ТСПУ (технические средства противодействия угрозам) — класс оборудования, которое обязательно устанавливается в сетях всех российских операторов связи.
ТСПУ представляет собой систему глубокого анализа пакетов (Deep Packet Inspection, DPI), встроенную в сеть оператора связи. Весь интернет-трафик проходит через нее и анализируется в режиме реального времени. На основе содержимого пакетов и заданных правил система решает, что с ними делать: пропустить, заблокировать, замедлить или перенаправить.
Для обычного пользователя или владельца сервера ТСПУ работает в режиме «невидимого фильтра»: вы не можете его отключить или обойти, оставаясь в сети данного оператора. Он способен распознавать не только IP-адреса и порты, но и доменные имена, характерные признаки работы VPN, Tor, различных мессенджеров, а также другие характеристики трафика, заданные правилами фильтрации. Решения о блокировке принимаются автоматически на основании централизованно загружаемых правил.
При этом стоит учитывать, что эти правила не применяются повсеместно: один и тот же трафик может фильтроваться у одного провайдера и не фильтроваться у другого, даже в пределах одного региона. То же самое касается и серверов, к которым вы обращаетесь: доступ к одному дата-центру может быть ограничен, тогда как к такому же серверу в другом — нет.
Что потребуется для диагностики
Перед диагностикой убедитесь, что у вас есть доступ к серверу-источнику (ваш компьютер или другой сервер) и серверу-назначению в Рег.облаке. Диагностика возможна только в том случае, если один из этих серверов находится в инфраструктуре Рег.облака.
Проверки нужно выполнять в обоих направлениях: от источника к узлу назначения и обратно. Это поможет определить, на каком участке маршрута возникает проблема — у оператора связи со стороны источника, со стороны назначения или на промежуточном узле. Результаты нужно сохранять в текстовом виде или в виде скриншотов.
Выбор сценария диагностики
Для анализа влияния ТСПУ можно использовать разные сетевые протоколы. Выбор зависит от того, какой сервис работает с ошибками:
- SSH — подходит для проверки удаленного доступа к серверу. Диагностику стоит проводить, если SSH-соединение не устанавливается или регулярно обрывается;
- HTTP/HTTPS — используется, когда сайт или веб-приложение не открывается, но другие сервисы на том же сервере (например, SSH или почта) продолжают работать.
Подготовка к диагностике
Прежде чем начать диагностику ТСПУ любым из описанных способов, выполните следующие шаги:
-
1
Подключитесь к исходному серверу:
для выделенного сервера используйте инструкцию «Способы подключения к серверу»;
для облачного сервера используйте инструкцию «Подключение к облачному серверу».
-
2
Создайте текстовый файл, в который будете сохранять результаты диагностики.
-
3
Подготовьте командную оболочку:
Windows — запустите PowerShell от имени администратора;
Linux — откройте терминал и выполните команды от имени root или с использованием sudo.
Сбор дампа сетевого трафика
Для точной диагностики влияния ТСПУ потребуется записать сетевой трафик. Дамп позволит увидеть, какие пакеты проходят через сервер и на каком этапе возникают потери или другие аномалии. Эти данные помогут выявить признаки работы ТСПУ. При необходимости вы сможете передать результаты диагностики в техническую поддержку для дальнейшего анализа. Ниже мы покажем, как собрать дамп с помощью Wireshark или tcpdump.
-
1
Скачайте и установите программу Wireshark с официального сайта. Запустите ее с правами администратора.
-
2
В главном окне выберите название сетевого интерфейса (например, Ethernet или Wi-Fi), через который проходит проверяемое соединение.
-
3
Воспроизведите проблему — пока идет запись, попытайтесь выполнить те действия, которые вызывают сбой доступности: подключитесь по SSH, откройте проблемный сайт, запустите приложение или любой другой процесс, который вы хотите диагностировать. Подождите еще 5–10 секунд после воспроизведения, чтобы в файл попали завершающие пакеты.
-
4
Остановите запись.
-
5
Сохраните файл.
-
1
Установите утилиту tcpdump:
sudo apt update
sudo apt install -y tcpdump
-
2
Узнайте имя сетевого интерфейса с помощью команды:
ip a
В выводе вы увидите список сетевых интерфейсов. В списке найдите интерфейс с внешним IP-адресом. Запомните его имя (например, enp0s2).
-
3
Запустите утилиту с помощью команды:
sudo tcpdump -i <eth_name> -w <file_name>
Где:
<eth_name> — имя сетевого интерфейса, которое вы получили на шаге 3;
<file_name> — имя файла, в который нужно записать захват сетевого трафика, например
dump.pcap.
-
4
Воспроизведите проблему — пока идет запись, попытайтесь выполнить те действия, которые вызывают сбой доступности: подключитесь по SSH, откройте проблемный сайт, запустите приложение или любой другой процесс, который вы хотите диагностировать. Подождите еще 5–10 секунд после воспроизведения, чтобы в файл попали завершающие пакеты.
-
5
Нажмите Ctrl + C, чтобы остановить запись.
Диагностика от исходного сервера до целевого
По SSH
-
1
Проверьте доступность целевого сервера с помощью команды:
ping <destination_ip_address>
Где <destination_ip_address> — IP-адрес целевого сервера. Проверка покажет, проходят ли ICMP-пакеты.
-
2
Проверьте подключение по SSH:
ssh -vvv root@<destination_ip_address>
-
3
Просканируйте порты. Установите утилиту
nmapпо инструкции. Выполните сканирование портов без предварительной проверки доступности сервера:
nmap -Pn <destination_ip_address>
-
4
Проверьте TCP-соединение по порту 22. Установите утилиту
telnetодним из способов ниже.
Через графический интерфейс
Перейдите в Панель управления > Программы и компоненты > Включение или отключение компонентов Windows.
В списке найдите Клиент Telnet и отметьте его галочкой.
Нажмите ОК и дождитесь завершения установки.
Через PowerShell
Запустите PowerShell от имени администратора.
Введите команду:
Enable-WindowsOptionalFeature -Online -FeatureName Telnet-Client
Воспроизведите проблему — пока идет запись, попытайтесь выполнить те действия, которые вызывают сбой доступности: подключитесь по SSH, откройте проблемный сайт, запустите приложение или любой другой процесс, который вы хотите диагностировать. Подождите еще 5–10 секунд после воспроизведения, чтобы в файл попали завершающие пакеты.
Остановите запись и сохраните результат.
-
1
Проверьте доступность целевого сервера:
ping <destination_ip_address>
Проверка покажет, проходят ли ICMP-пакеты.
-
2
Проверьте подключение по SSH:
ssh -vvv root@<destination_ip_address>
-
3
Установите утилиту
nmap.
- Ubuntu/Debian:
sudo apt install nmap
- CentOS/RedHat/Fedora:
sudo yum install nmap
-
4
Выполните сканирование портов без предварительной проверки доступности сервера:
nmap -Pn <destination_ip_address>
-
5
Установите утилиту
telnetодним из способов ниже.
Ubuntu/Debian
- Обновите список доступных пакетов и версий с помощью команды:
sudo apt update
- Для установки введите команду:
sudo apt install telnet
CentOS/RedHat/Fedora
- Введите команду:
sudo yum install telnet
- Подключитесь к целевому серверу по TCP:
telnet <destination_ip_address> 22
- Установите утилиту mtr:
sudo dnf install mtr
- Выполните трассировку маршрута до целевого сервера:
mtr --address <destination_ip_address> -bwzrc 100 <source_ip_address>
- Установите утилиту tcpdump:
sudo dnf install tcpdump
- Соберите дамп трафика. Команда создаст файл в формате .pcap:
tcpdump --count 1000 -w dump_<source_ip_address>_<destination_ip_address>.pcap host <destination_ip_address>
По HTTP/HTTPS
-
1
Проверьте доступность целевого сервера:
ping <destination_ip_address>
Где <destination_ip_address> — IP-адрес целевого сервера.
-
2
Проверьте доступность сервиса на целевом сервере:
curl -Iv http://<example.com>
Где <example.com> — доменное имя сервиса.
-
3
Просканируйте порты целевого сервера:
nmap -Pn *<destination_ip_address>*
-
4
Установите утилиту telnet по инструкции:
Через графический интерфейс
Перейдите в Панель управления > Программы и компоненты > Включение или отключение компонентов Windows.
В списке найдите Клиент Telnet и отметьте его галочкой.
Нажмите ОК и дождитесь завершения установки.
Через PowerShell
Запустите PowerShell от имени администратора.
Введите команду:
Enable-WindowsOptionalFeature -Online -FeatureName Telnet-Client
- Проверьте соединение по порту 80:
telnet <destination_ip_address> 80
- Проверьте соединение по порту 443:
telnet <destination_ip_address> 443
Выполните трассировку маршрута до целевого сервера.
Соберите дамп сетевого трафика. Файл с дампом назовите в формате:
dump_<source_ip_address>_<destination_ip_address>
Где:
<source_ip_address> — IP-адрес исходного сервера;
<destination_ip_address> — IP-адрес целевого сервера.
-
1
Проверьте доступность целевого сервера:
ping <destination_ip_address>
Где <destination_ip_address> — IP-адрес целевого сервера.
-
2
Проверьте доступность сервиса на целевом сервере:
curl -Iv http://<example.com>
Где <example.com> — доменное имя сервиса.
-
3
Установите утилиту nmap:
- Ubuntu/Debian:
sudo apt install nmap
- CentOS/RedHat/Fedora:
sudo yum install nmap
-
4
Выполните сканирование портов без предварительной проверки доступности сервера:
nmap -Pn <destination_ip_address>
Где <destination_ip_address> — IP-адрес целевого сервера.
-
5
Установите утилиту telnet:
Ubuntu/Debian
- Обновите список доступных пакетов и версий с помощью команды:
sudo apt update
- Для установки введите команду:
sudo apt install telnet
CentOS/RedHat/Fedora
Введите команду:
sudo yum install telnet
-
6
Проверьте соединение по порту 80. Введите команду:
telnet <destination_ip_address> 80
Где <destination_ip_address> — IP-адрес целевого сервера.
-
7
Проверьте соединение по порту 443:
telnet <destination_ip_address> 443
Где <destination_ip_address> — IP-адрес целевого сервера.
-
8
Установите утилиту mtr:
sudo dnf install mtr
-
9
Выполните трассировку:
mtr --address <destination_ip_address> -bwzrc 100 <source_ip_address>
Где:
<destination_ip_address> — IP-адрес целевого сервера;
<source_ip_address> — IP-адрес исходного сервера.
-
10
Установите утилиту tcpdump:
- Ubuntu/Debian:
sudo apt install tcpdump
- CentOS/RedHat/Fedora:
sudo dnf install tcpdump
-
11
Соберите дамп трафика. Команда создаст отдельный файл с данными в формате PCAP:
tcpdump --count 1000 -w dump_<source_ip_address>_<destination_ip_address>.pcap host <destination_ip_address>
Где:
<destination_ip_address> — IP-адрес целевого сервера;
<source_ip_address> — IP-адрес исходного сервера.
Диагностика от целевого сервера до исходного
-
1
Выполните трассировку:
tracert <destination_ip_address>
Где <destination_ip_address> — IP-адрес сервера, доступ которого вы проверяете.
-
2
Установите утилиту telnet:
Через графический интерфейс
Перейдите в Панель управления > Программы и компоненты > Включение или отключение компонентов Windows.
В списке найдите Клиент Telnet и отметьте его галочкой.
Нажмите ОК и дождитесь завершения установки.
Через PowerShell
Запустите PowerShell от имени администратора.
Введите команду:
Enable-WindowsOptionalFeature -Online -FeatureName Telnet-Client
Воспроизведите проблему — пока идет запись, попытайтесь выполнить те действия, которые вызывают сбой доступности: подключитесь по SSH, откройте проблемный сайт, запустите приложение или любой другой процесс, который вы хотите диагностировать. Подождите еще 5–10 секунд после воспроизведения, чтобы в файл попали завершающие пакеты.
Остановите запись и сохраните результат.
-
1
Установите утилиту mtr:
- Ubuntu/Debian:
sudo apt install mtr
- CentOS/RedHat/Fedora:
sudo dnf install mtr
-
2
Выполните трассировку:
mtr --address <destination_ip_address> -bwzrc 100 <source_ip_address>
Где:
<destination_ip_address> — IP-адрес целевого сервера;
<source_ip_address> — IP-адрес исходного сервера.
-
3
Установите утилиту tcpdump:
- Ubuntu/Debian:
sudo apt install tcpdump
- CentOS/RedHat/Fedora:
sudo dnf install tcpdump
-
4
Выполните команду, она создаст отдельный файл с данными в формате PCAP:
tcpdump --count 1000 -w dump_<destination_ip_address>_<source_ip_address>.pcap host <source_ip_address>
Передача результатов диагностики
После выполнения всех диагностических шагов оставьте заявку в службу поддержки Рег.облака. В заявке:
-
1
Опишите суть проблемы как можно детальнее. Укажите:
с какого IP-адреса и на какой IP-адрес вы пытаетесь подключиться,
какой протокол (SSH, HTTP/HTTPS, RDP) и порт не работают,
какие из проверенных методов (например,
pingилиtelnet) завершились тайм-аутом или сбросом соединения.
-
2
Приложите все диагностические файлы к тикету. Обязательно включите:
дампы трафика (
dump_), собранные в обе стороны (от источника к цели и обратно);_ .pcap результаты трассировок (вывод
tracert/mtr);логи подключений (вывод команд
ssh -v,curl -Ivилиtelnet).
После этого дождитесь ответа службы поддержки. Собранные данные помогут инженерам проверить работу сети, сопоставить результаты измерений и определить, связаны ли зафиксированные потери с работой ТСПУ у вашего оператора или на промежуточных узлах.
Внимание
В некоторых случаях для диагностики проблемы может потребоваться длительный мониторинг соединения. Если техническая поддержка попросит провести такой тест, запустите его и сообщите об этом в заявке. Это поможет специалистам сопоставить результаты наблюдений с данными на своей стороне и при необходимости обратиться к вашему оператору связи.
Что делать, если диагностика указывает на ТСПУ
Рег.облако не управляет политиками фильтрации сторонних операторов связи и не может влиять на оборудование за пределами своей сети. В такой ситуации вы можете:
-
1
Обратиться к своему оператору связи. Если проблемный трафик проходит через его сеть, попросите проверить, не применяются ли к вашему соединению дополнительные ограничения. При необходимости оператор может самостоятельно обратиться в регулирующие органы и подать заявление через личный кабинет владельца технологической сети. Однако даже в этом случае устранение проблемы не гарантировано.
-
2
Сменить IP-адрес сервера в Рег.облаке. Этот способ тоже не гарантирует результат, но в некоторых случаях помогает обойти ограничения. Вы можете:
запросить через заявку замену текущего публичного IP-адреса на другой из пула Рег.облака;
заказать выделенную публичную подсеть и использовать для сервера адреса из ее диапазона.
Процедура замены IP зависит от типа используемой услуги:
выделенный сервер — вы можете заказать дополнительный IP-адрес или обратиться в поддержку с просьбой заменить текущий IP;
облачный сервер с архивным тарифом (Base-X, Turbo-X, Dedicated-X, Cloud-X) — доступен только заказ дополнительного IP-адреса;
облачный сервер с актуальным тарифом (CX-MX-DX) — для замены необходимо удалить текущий плавающий IP и привязать новый по инструкции: Плавающие публичные IP-адреса.
Какой из вариантов окажется эффективным, зависит от конкретной ситуации и особенностей маршрутизации трафика у операторов связи.
Была ли статья полезна?
Спасибо за оценку. Рады помочь 😊