Просчитали риски: какая часть инфраструктуры российских интернет-сервисов находится не в России
В последние годы все чаще появляются новости о массовых сбоях в работе российских интернет‑сервисов. Один из таких случаев был зафиксирован 20 марта 2025 года. Роскомнадзор объяснил тогда проблемы с доступом к некоторым ресурсам тем, что они используют зарубежную инфраструктуру. До этого масштабный сбой в российском сегменте случился 14 января, по официальным данным, из‑за «кратковременного нарушения связности». В прошлом году инцидентов с доступностью сервисов было несколько. Один из самых крупных произошел 30 января 2024 года. Причиной стала некорректная настройка DNSSEC
Блокировки трафика по геопризнаку вообще стали одним из трендов последних лет. Они могут быть связаны с требованиями государственных регуляторов, решениями коммерческих компаний, которые вводят собственные ограничения в отношении определенных стран, а также c политиками кибербезопасности.
На этом фоне вопрос устойчивости ресурсов и сервисов в российском интернет‑сегменте оказывается более острым. Нам стало интересно, насколько значимые последствия для российских организаций и граждан могут быть, если доступ к зарубежному IP‑адресному пространству будет полностью заблокирован. Такие блокировки стали происходить все чаще. И мы решили оценить, какой процент инфраструктуры российских интернет‑сервисов находится не на территории РФ. Это значит, что их владельцы пользуются услугами зарубежных хостинг‑площадок, облачных провайдеров, CDN
Необходимость обеспечить устойчивость инфраструктуры в случае потенциальных блокировок привела к тому, что увеличилось количество сервисов VPN и средств анонимизации трафика. Как следствие, растут требования к средствам корпоративной сетевой безопасности.
Исторически сложилось, что для анализа трафика на периметре корпоративной сети наиболее широко применяется технология глубокой инспекции пакетов (deep packet inspection, DPI), основанная на сигнатурном подходе. Однако такой подход не способен в полном объеме обеспечить прозрачность соединений, так как не все механизмы анализа зашифрованного трафика можно реализовать технически. Поэтому в дополнение к DPI можно использовать рискориентированный подход. В его основе карта рисков интернет‑ресурсов и сервисов. Важно понимать, что этот подход не альтернатива сигнатурному анализу. Рискориентированный подход расширяет его за счет добавления дополнительного контекста, который поможет принять решение о блокировке подозрительного соединения.
В ходе нашей работы накапливается огромное количество информации, которая позволяет создать модель легитимности соединения с интернет‑ресурсом (IP/FQDN/TLS‑сертификаты). Объединив данные passive DNS облачного сервиса BI.ZONE Secure DNS, а также собираемой информации о DNS‑зонах, certificate‑transparency и Geo‑IP, мы получили представление об инфраструктуре интернета. Затем обогатили его другими знаниями, в частности данными с нашего портала киберразведки.
Получившуюся систему сбора и накопления знаний об интернет‑сервисах мы назвали «Обсерваторией». На основе данных, которые в ней формируются, мы можем разными способами анализировать объекты интернет‑пространства.
Чтобы подсчитать долю зарубежной инфраструктуры в российских сервисах, мы взяли за основу накопленную информацию о ранее выполненных пользователями запросах доменных имен из BI.ZONE Secure DNS (данные passive DNS), о публичных автономных системах
В результате мы получили несколько интересных аналитических разрезов.
Прежде всего, мы посчитали распределение по странам. Но стоит отметить, что у 16,5% IP‑адресов такая информация отсутствует. Почти всегда это связано с использованием сервиса Cloudflare
Распределение IP‑адресов по странам
Табл. 1. Распределение выявленных IP‑адресов по странам (топ‑12)
| Страны | Число IP‑адресов | Доля от общего числа, % |
|---|---|---|
| Россия | 4 759 718 | 76,85 |
| Отсутствует информация о стране | 1 023 236 | 16,52 |
| Нидерланды | 102 087 | 1,65 |
| США | 94 532 | 1,53 |
| Германия | 66 817 | 1,08 |
| Франция | 38 132 | 0,62 |
| Финляндия | 18 734 | 0,30 |
| Великобритания | 12 020 | 0,19 |
| Эстония | 9101 | 0,15 |
| Гонконг | 7987 | 0,13 |
| Объединенные Арабские Эмираты | 4382 | 0,07 |
| Украина | 4272 | 0,07 |
Также для наглядности мы посчитали распределение IP‑адресов по странам без учета тех, которые относятся к России. Всего таких адресов 1 433 641.
Табл. 2. Распределение по странам без учета РФ (топ‑11)
| Страны | Число IP‑адресов | Доля от общего числа нероссийских IP‑адресов, % |
|---|---|---|
| Отсутствует информация о стране | 1 023 236 | 71,37 |
| Нидерланды | 102 087 | 7,12 |
| США | 94 532 | 6,59 |
| Германия | 66 817 | 4,66 |
| Франция | 38 132 | 2,66 |
| Финляндия | 18 734 | 1,31 |
| Великобритания | 12 020 | 0,84 |
| Эстония | 9101 | 0,63 |
| Гонконг | 7987 | 0,56 |
| Объединенные Арабские Эмираты | 4382 | 0,31 |
| Украина | 4272 | 0,30 |
Из этой статистики видно, что значительная часть объектов интернет‑пространства российских доменных зон (23,15%) находится не в РФ. В худшем случае, то есть при блокировке всего трансграничного трафика на уровне страны, эти ресурсы будут недоступны на территории России.
При рискориентированном подходе к сетевой безопасности решение о блокировке или разрешении соединения принимается на базе оценки кумулятивного риска. Мы рекомендуем легитимным сервисам, для которых принципиальна устойчивая работа на территории России и в корпоративных сетях, заполнять публичную информацию, использовать доверенные центры сертификации (certificate authority, CA), не применять технологии обхода сетевых средств защиты.
Мы также посмотрели, как соотносятся IP‑адреса в разрезе DNS-записей разного типа.
Распределение нероссийских IP‑адресов по типу DNS‑записей
Табл. 3. Распределение по DNS‑записям
| Тип DNS‑записи | РФ | Не РФ | Всего | ||
| Количество | Доля от общего числа записей этого типа, % | Количество | Доля от общего числа записей этого типа, % | ||
| A | 3 855 618 | 74,60 | 1 312 998 | 25,40 | 5 168 616 |
| MX | 610 435 | 88,92 | 76 075 | 11,08 | 686 510 |
| NS | 293 665 | 86,82 | 44 568 | 13,18 | 338 233 |
Выяснилось, что 11% IP‑адресов email‑серверов и 13% IP‑адресов DNS‑серверов размещены на зарубежных площадках. Блокировки по геопризнаку могут привести к полной или частичной недоступности сервиса электронной почты или невозможности разрезолвить доменную зону.
Отдельно посчитали принадлежность IP‑адресов, не относящихся к России (1 433 641), к AS провайдеров CDN и облаков.
Табл. 4. Распределение по ASN без учета российских IP‑адресов (топ‑9)
| ASN | Число IP‑адресов | Доля от общего числа нероссийских IP‑адресов, % |
|---|---|---|
| AS13335 (Cloudflare) | 999 817 | 69,74 |
| AS24940 (Hetzner.de hosting) | 50 936 | 3,55 |
| AS16276 (Ovhcloud) | 41 509 | 2,90 |
| AS50245 (Serverel hosting) | 41 065 | 2,86 |
| AS15169 (Google) | 34 209 | 2,39 |
| AS16509 (Amazon) | 21 203 | 1,48 |
| AS216139 (ihc.host) | 11 078 | 0,77 |
| AS58061 (Scalaxy) | 9930 | 0,69 |
| AS198068 (Fastvps.ee) | 7568 | 0,53 |
Среди всех хостинг‑провайдеров и облачных инфраструктур доминирует Cloudflare (70%). Очевидно, это обусловлено популярностью данного сервиса у малого бизнеса и частных лиц. Cloudflare предлагает бесплатные или очень дешевые тарифы для небольших ресурсов. Часто в тарифы включены сервисы безопасности с простой моделью потребления.
Стоит отметить, что Cloudflare преобладает по числу IP‑адресов не только среди зарубежных провайдеров, но и лидирует, если сравнивать с отечественными провайдерами интернета и хостинга.
Табл. 5. Распределение по ASN с учетом общего количества выявленных IP‑адресов (топ‑8)
| ASN | Число IP‑адресов | Доля от общего числа IP‑адресов, % |
|---|---|---|
| AS13335 (Cloudflare) | 999 817 | 16,14 |
| AS197695 (REG.RU, РФ) | 459 057 | 7,41 |
| AS8402 (Vimpelcom, РФ) | 349 858 | 5,65 |
| AS12389 (Rostelecom, РФ) | 349 492 | 5,64 |
| AS198610 (Beget, РФ) | 248 435 | 4,01 |
| AS57724 (DDOS-GUARD, РФ) | 203 911 | 3,29 |
| AS9123 (TimeWeb, РФ) | 188 515 | 3,04 |
| AS42610 (NCNET, РФ) | 159 517 | 2,58 |
Если для вас важна бесперебойная работа и высокая доступность в корпоративных средах РФ, лучше не применять средства анонимизации для обхода блокировок. А использование облачных инфраструктур, хостинга, CA, CDN, DNS, расположенных на территории РФ, поможет минимизировать риски блокировок и обеспечить корректную работу средств сетевой безопасности.
Рискориентированные системы контроля сетевых взаимодействий, такие как NGFW