Вамериканской компании Cloudflare пояснили, какдляпользователей вРФ ограничивают трафик доих сетей, норешения проблемы у платформы нет.

С 9июня 2025года интернет‑пользователи, находящиеся вРоссии и подключающиеся квеб‑сервисам, защищенным Cloudflare, подвергаются регулированию со стороны российских интернет‑провайдеров (ISP).

Поскольку регулирование применяется местными интернет‑провайдерами, это действие находится вне контроля Cloudflare, и внастоящее время мы неможем восстановить надежный, высокопроизводительный доступ кпродуктам Cloudflare и защищенным веб‑сайтам дляроссийских пользователей законным образом.

Внутренний анализ данных показывает, чторегулирование позволяет интернет‑пользователям загружать только первые 16КБ любого веб‑ресурса, чтоделает большую часть веб‑навигации невозможной.

Cloudflare неполучала никаких официальных обращений илисообщений отроссийских государственных органов омотивации таких действий. Ксожалению, эти действия соответствуют давним усилиям России поизоляции Интернета впределах своих границ и снижению зависимости отзападных технологий путём замены их отечественными альтернативами.

Внешние отчёты подтверждают наш анализ и дополнительно свидетельствуют отом, чторяд других поставщиков услуг также пострадали отограничений илидругих деструктивных действий вРоссии, включая какминимум Hetzner, DigitalOcean и OVH.

Cloudflare наблюдает сбои всоединениях, инициированных изРоссии, даже когда соединение достигает наших серверов запределами России. Всоответствии спубличными отчетами опрактике России, это говорит отом, чтосбои происходят внутри российских интернет‑провайдеров, близко кпользователям.

Российские интернет‑провайдеры (ISP), подтвердившие реализацию этих деструктивных действий, включают, помимо прочего, «Ростелеком», «Мегафон», «Вымпелком», МТС и МГТС.

Понашим наблюдениям, российские интернет‑провайдеры используют несколько механизмов регулирования и блокировки, влияющих насайты, защищённые Cloudflare, включая инъекционные пакеты дляостановки соединения и блокировку пакетов, из‑за чего соединение истекает. Новая тактика, которая началась 9июня, ограничивает объем обслуживаемого контента до 16КБ, чтоделает многие веб‑сайты практически непригодными дляиспользования.

Регулирование затрагивает все методы и протоколы подключения, включая HTTP/1.1и HTTP/2наTCP и TLS, атакже HTTP/3наQUIC.

Клиентские отчёты через Network Error Logging показывают, что некоторые клиенты решают включить Network Error Logging (NEL), определённую W3C, функцию, которая встраивает инструкции по отчётам об ошибках в заголовки веб-контента, запрашиваемого пользователями. Инструкции сообщают веб-браузерам, о каких ошибках сообщать и как это делать. Ниже представлен вид отчётов NEL, которые показывают увеличение числа преждевременно «сбрасываемых» TCP-соединений (как объясняется в наших блогах о взломе и сбросах Radar). Отдельно, большой рост h3.protocol.error показывает, что соединения QUIC были сильно затронуты:

Подтверждение дросселирования с использованием внутренних данных. Эффект дросселирования также можно наблюдать в наших внутренних инструментах. На диаграмме ниже показаны потери пакетов в наших российских центрах обработки данных, каждый центр обработки данных представлен отдельной линией. Ось Y — это доля потери пакетов:

Высокая потеря пакетов — это сильный сигнал, но сама по себе не указывает на дросселирование, поскольку могут быть и другие объяснения. Например, объяснением может быть то, что наши серверы пытаются повторно отправить пакеты несколько раз во время какого-то другого массового сбоя, который затрудняет, но не останавливает полностью связь.

Однако у нас есть два дополнительных фрагмента информации для работы. Первый состоит из общедоступных отчётов о том, что «дросселирование» в этом случае означает блокировку всех соединений после передачи 16 КБ данных, что занимает от 10 до 14 пакетов (в зависимости от базовой технологии). Во-вторых, у нас есть наши недавно развёрнутые данные «Сбросы и тайм-ауты», которые фиксируют аномальное поведение в TCP, когда оно происходит в первых 10 пакетах. Поскольку 10 пакетов могут содержать 16 КБ данных, некоторые соединения, которые блокируются около 16 КБ, будут видны на этапе «Post PSH» в данных Radar. В TCP сообщение «PSH» означает, что Cloudflare получил первоначальный запрос и началась передача данных. Если соединение блокируется на этом этапе, то многие отправленные пакеты будут потеряны.

Если вы используете Cloudflare для защиты своих сайтов, к сожалению, в настоящее время Cloudflare не имеет возможности восстановить подключение к Интернету для пользователей из России. Мы рекомендуем вам обратиться к российским организациям и попросить их отменить введённые меры регулирования.

Если вы являетесь корпоративным клиентом Cloudflare, обратитесь в свою учётную запись для получения дополнительной помощи. Доступ к свободному и открытому Интернету имеет решающее значение для индивидуальных прав и экономического развития.

Ранее СМИ сообщили, что трафик Cloudflare (американская компания, поставщик услуг DNS, CDN и защиты от DDoS-атак) в России упал на 30%. В прошлом году РКН рекомендовал российским компаниям отказаться от использования этого сервиса.

С начала июня 2025 года наблюдается снижение трафика Cloudflare в России, следует из данных Cloudflare Radar.

В Роскомнадзоре заявили СМИ, что информация о снижении трафика «не соответствует действительности», допустив лишь «проблемы у отдельных зарубежных хостинг-провайдеров, которые могли возникнуть из-за технических проблем на их стороне». «Для обеспечения стабильной работы сервисов рекомендуется размещать информационные ресурсы на инфраструктуре отечественных провайдеров хостинга», — добавили в РКН.

В апреле 2025 года Роскомнадзор ещё раз порекомендовал владельцам российских интернет-ресурсов отказаться от использования включённого по умолчанию расширения TLS ECH CDN-сервиса компании Cloudflare, так как оно обходит ограничения доступа к запрещённой в РФ информации.

В ноябре 2024 года Центр мониторинга и управления сети связи общего пользования (ЦМУ ССОП) «Главного радиочастотного центра» (ГРЧЦ, входит в структуру Роскомнадзора) рекомендовал владельцам ресурсов в интернете отказаться от использования CDN-сервиса CloudFlare, так как эта сетевая платформа включает в себя средство обхода ограничений доступа к запрещённой в России информации, а используемое в CloudFlare по умолчанию расширение (TLS ECH (Encrypted Client Hello)) нарушает законодательство РФ и блокируется регулятором на территории России.

Представитель РКН не стал комментировать, какую юридическую силу имеет «рекомендация» и что будет с теми компаниями, которые к ней не прислушаются.

Профильные эксперты пояснили СМИ, что регулятор занимается блокировками технологии TLS ECH, которую в Роскомнадзоре считают инструментом обхода ограничений. Это может влиять и на доступ ко многим зарубежным платформам. По их словам, российские аналоги (G-Core Labs, CDNvideo) пока не покрывают весь функционал Cloudflare, а их тарифы дороже.

Крупные иностранные сервисы, например Twitch, Kick, Spotify, OpenAI, Amazon, Faceit и другие используют Cloudflare, могут наблюдаться и проблемы с доступом к ним, пояснил СМИ гендиректор хостинг-провайдера RUVDS Никита Цаплин. Как отмечает ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов, блокировки затрагивают не только CDN и DDoS-защиту, но и инфраструктурные сервисы (DNS-over-HTTPS, API-доступ, OCSP), что делает Cloudflare практически недоступным на территории РФ.

Сейчас более 40% сайтов в рунете используют Cloudflare, отметили в компаниях RUVDS, Servicepipe и EdgeЦентр, или около 300 тыс. По оценке экспертов, до 45% сайтов малого и среднего бизнеса в РФ используют бесплатные сертификаты Let’s Encrypt от Cloudflare. При этом российских глобально доверенных центров не существует и их сертификаты в рамках работы интернета все ещё считываются системами как недоверенные, добавили в компании DDoS-Guard. «Главный риск в том, что сайты малого бизнеса (особенно интернет-магазины) рискуют потерять до 30% трафика из-за ошибок подключения», — подытожили представители отрасли.

https://habr.com/ru/news/922532/