Сбой в работе рунета 27 февраля, когда многие юзеры не могли зайти на какой-либо сайт/воспользоваться мессенеджром или подключиться к VPN на своем сервере, мог произойти из-за массового тестирования Active Probing, который уже много лет успешно работает в Китае или какой-то другой похожей на Active Probing технологии.

Вчера с IP-адреса из группы AS61280 проводили сканирование 443 порта у многих серверов (они могли быть пустые или на них мог быть установлен VPN). Данный адрес принадлежит ГЧРЦ.

При этом, в своей заметке на ресурсе ntc.party пишет о сканировании и ValdikSS, приводя в пример VPN-сервис Windscribe. В заметке говорится, что Примерно с середины января 2024 он обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились.

Данные блокировки происходят следующим образом:
При обращении:

- По HTTPS со SNI (api|checkip|assets).windscribe.com (и других доменов сервиса Windscribe) на порт 443
- (или) по TCP SYN на один из известных IP-адресов VPN-серверов сервиса и порт 443, 587, 21, 22, 80, 123, 143, 3306, 8080, 54783, 1194 (например, 149.88.108.1)
- (или) по UDP к VPN-протоколу OpenVPN или WireGuard на эти же порты

происходит блокировка на 5 минут:

- SNI по regexp (api|checkip|assets)\.[0-9a-f]{40}\.com, но при условии, что в имени зоны содержится хотя бы 5 цифр и 4 буквы. Т.е. https://api.abcdef0123456789abcdef012345678900000000.com заблокируется, но https://api.abc0000123456789222222012345678900000000.com — нет

Также он подметил, что метод с триггерами используется в том числе для выявления новых VPN-серверов, но если это и происходит, то не в атематическом режиме.


Таким образом получается, что в каком-то виде Active Probing уже минимум месяц работает в России точечно. Падение во вторник возможно было из-за попытки раскатать Active Probing в автоматическом режиме на весь рунет.