Сайта «не существует», но он есть. Как РКН научился делать вид, что популярных сервисов никогда не было

В России на этой неделе заметно усилились ограничения доступа к нескольким крупным интернет-сервисам. Помимо привычных сценариев вроде замедления и фильтрации трафика, в ряде случаев начали применять схему, при которой ресурс становится недоступен уже на уровне доменного имени. На практике это выглядело так, будто сайта “не существует”, хотя речь шла не о выключении сервиса как такового, а о вмешательстве в инфраструктуру DNS.

Десятого февраля появились сообщения о более заметных перебоях в работе Telegram. Роскомнадзор подтвердил, что продолжает вводить последовательные ограничения, объясняя их “игнорированием российского законодательства” со стороны мессенджера. По данным из публичных обсуждений, проблемы проявлялись неравномерно: в разные дни жалобы приходили из разных регионов, а характер сбоев отличался. При этом из официальных сообщений не следовало, какие именно технические меры применяются и насколько они масштабны.

Параллельно обсуждался новый для массового применения механизм ограничений через Национальную систему доменных имен (НСДИ). Сообщалось, что из НСДИ удалили записи домена YouTube, из-за чего сервис становился полностью недоступен в нескольких регионах. Затем похожая ситуация возникла и с WhatsApp, включая web.whatsapp.com. WhatsApp публично подтвердил блокировку и заявил, что будет пытаться сохранить возможность связи для пользователей в России.

Как работает такая блокировка. DNS (Domain Name System) - это распределенная система, которая переводит удобные для человека доменные имена в числовые IP-адреса, необходимые устройствам для соединения друг с другом. Когда пользователь вводит адрес сайта или приложение пытается подключиться к сервису, устройство сначала обращается к DNS, чтобы получить IP-адреса, по которым нужно устанавливать соединение. Если на этом этапе вместо IP-адресов приходит ответ, что домена нет, подключение не начинается.

В этой схеме часто используется ответ NXDOMAIN - он означает “несуществующий домен”. В браузерах это обычно отображается как ошибка DNS_PROBE_FINISHED_NXDOMAIN. Для пользователя это выглядит как ситуация, будто сайт удален или выключен: адрес не открывается, а вместо страницы сервиса появляется стандартная ошибка “домен не существует”. При этом проблема находится именно на уровне резолвинга имени, то есть “перевода” домена в адрес.

Отличие от блокировки по IP в том, что крупные платформы используют множество IP-адресов, распределенную инфраструктуру и сети доставки контента. Их адреса могут меняться, а соединения могут идти через разные узлы. Поэтому блокировка отдельных IP-диапазонов часто дает неполный эффект или требует постоянного расширения списков. DNS-вариант действует иначе: если домен перестает корректно резолвиться, то неважно, какие IP-адреса стоят “за” сервисом и как часто они меняются, пользователь просто не получает актуальный “маршрут” для подключения.

Еще одна особенность такого подхода - различия в доступности в зависимости от используемого DNS. Помимо НСДИ существуют и другие DNS-провайдеры, и они могут отвечать на один и тот же запрос по-разному. Поэтому в одной сети домен может “не существовать”, а в другой в тот же момент резолвиться нормально. В качестве иллюстрации приводился пример, когда один DNS-сервер продолжает выдавать IP-адреса по запросу youtube.com, а другой отвечает NXDOMAIN.

В обсуждениях вокруг этой волны ограничений упоминался и список доменов, для которых при обращении через НСДИ фиксировался статус unresolved, то есть отсутствие корректного DNS-ответа. В перечне назывались youtube.com и web.whatsapp.com, а также facebook.com, instagram.com, messenger.com, torproject.org, windscribe.com и apkmirror.com, плюс ряд медиаресурсов. Отдельно подчеркивалось, что среди таких доменов есть и те, которые официально не запрещены, но ранее могли быть замедлены, а теперь при определенных условиях становятся недоступны “по имени”.

В оценках причин усиления таких мер в телеком-среде звучала версия, что фильтрационная инфраструктура у операторов работает под высокой нагрузкой. В этой логике вмешательство на уровне DNS выглядит как более “прямой” способ быстро закрыть доступ к отдельным сервисам без попыток одновременно обрабатывать большие объемы трафика нескольких крупных платформ.