کالبدشکافی فنی محدودیت‌های جدید اینترنت ایران

به‌گزارش پیوست، بعد از خاموشی زیان‌بار اینترنت در دی‌ماه، داده‌ها یک اختلال تثبیت‌شده را نشان می‌دهند. این تحول، فرضیه حرکت از معماری اینترنت «باز و توزیع‌شده» به مدل «اینترانت ملی» با درگاه بین‌المللی کنترل‌شده را تقویت می‌کند. طراحی جدید شبکه به گونه‌ای است که تمامی ترافیک، حتی ترافیک رمزنگاری شده، قابل بازرسی و ردیابی است، بدون اینکه اتصال کاربران به ظاهر قطع شود. این سطح از کنترل نیازمند زیرساخت DPI چندلایه و متمرکز است. در این طراحی جدید، انواع سرویس‌های بومی و ملی از درگاه دولت تا پیام‌رسان‌های داخلی نقش کلیدی خواهند داشت شاید به همین دلیل است که خدمات حاکمیتی از صدا و سیما تا سرویس‌های پست و قضائی در ابزارهای پیام‌رسان تجمیع شده‌اند.

در این گزارش چندین بار عبارت DPI را خواهید خواند که به معنی بازرسی عمیق بسته‌ها است. در این روش هر بسته داده فراتر از اطلاعات هدر آن بررسی می‌شود تا محتوا، پروتکل و رفتار ترافیک را شناسایی، طبقه‌بندی و در صورت نیاز مدیریت یا مسدود کند. در واقع می‌توان گفت DPI به‌نوعی چشمان فیلترینگ است که از سال‌ها پیش وجود داشته ولی اکنون با یک سیستم مدیریت ترافیک ترکیب شده است.

آزمایش در برهه حساس کنونی

تحولات اینترنت در ایران با مدل‌های حاکمیت شبکه و کنترل دسترسی به ترافیک در کشورهایی که دارای شبکه‌ ملی هستند مشابه است. این استانداردها شامل نظارت متمرکز، کنترل پروتکل و مدیریت کیفیت خدمات برای دسته‌بندی کاربران است. داده‌های فعلی شبکه نشان می‌دهد اینترنت ایران وارد یک وضعیت «میانیِ ناپایدار» شده که بیش از آن‌که یک نوسان کوتاه‌مدت باشد، نشانه شکل‌گیری یک الگوی پایدار است. مخصوصا اینکه بعد از قطع اینترنت، اغلب مردم با وضعیت فعلی کنار آمده‌اند و می‌توان آن را ادامه داد.

همچنان این امید وجود دارد که الگوی رفتار کنترلی در چند روز اخیر، بیشتر یک سیاست موقت امنیتی باشد تا یک نظام جدید برای مدیریت شبکه. طبیعتا نمی‌توان متوجه شد چه اقدامی و در چه سطحی برای مدیریت شبکه در حال انجام است اما داده‌ها می‌توانند تصویری محو از این فعالیت‌ها ترسیم کنند.

برای تهیه این گزارش صرفا به داده‌های کلاودفلر دسترسی داشتم و البته برای تحلیل‌ها از Claud کمک گرفتم. داده‌های مورد بررسی شامل توزیع پروتکل‌ها (QUIC، HTTP/3، TLS)، نرخ TCP Reset، تأخیر شبکه (Latency)، و از دست رفتن بسته‌ها (Packet Loss) هستند. این داده‌ها به‌صورت روزانه جمع‌آوری شده و به منظور بررسی الگوهای دسترسی، سرکوب پروتکل‌ها، و کیفیت ارتباطات مورد استفاده قرار گرفته‌اند.

شبکه‌ای که سرانجام ملی شد

داده‌های کلاودفلر نشان می‌دهد که معماری جدید شبکه ایران با ثبات پروتکل‌ها و ویژگی‌های عملکردی کار می‌کند و تغییرات مهم آن نسبت به روش پیشین شامل سرکوب QUIC، محدودسازی ترافیک UDP و اعمال DPI چندلایه است. این تغییرات موجب شده شبکه به یک حالت رصد پایدار با قابلیت مشاهده و کنترل کامل ترافیک برسد.

این معماری در سه وضعیت عملیاتی قابل تغییر است: پایش عادی، تخریب فعال و محدودیت شدید. داده‌های سه‌ماهه نشان می‌دهد شبکه ایران قادر است در عرض چند ساعت بدون نیاز به تغییر زیرساخت فیزیکی از یک وضعیت به وضعیت دیگر منتقل شود. این نشان‌دهنده طراحی هوشمندانه و متمرکز برای مدیریت شبکه ملی است.

مزیت کلیدی این طراحی، توانایی اعمال تغییرات سریع و گسترده در سطح ملی است. به‌نظر می‌رسد اکنون تمام تغییرات پروتکل‌ها و کنترل ترافیک در یک نقطه مرکزی اعمال می‌شود و به تامین‌کنندگان اینترنت اجازه داده نمی‌شود به‌صورت مستقل عمل کنند. این امر امکان مدیریت و پایش شبکه با دقت بالا را فراهم می‌کند.

 حذف پروتکل مقاوم در برابر بازرسی

QUIC، یک پروتکل ارتباطی است که از طریق داده‌های رمزنگاری شده بر بستر UDP اجرا می‌شود و برای روش‌های سنتی فیلترینگ چالش بزرگی ایجاد می‌کند. رمزنگاری کامل سرآیندها (هدرها) و SNI (نام دامنه) باعث می‌شود نظارت روی این پروتکل نیاز به توان پردازشی بسیار زیادی داشته باشد.

SNI فیلدی است که نام دامنه را مشخص می‌‌کند. در داده‌های سه ماه گذشته ایران، به‌طور متوسط ۲۵ درصد از درخواست‌های HTTP توسط این پروتکل منتقل شده‌اند حتی سهم آن در اول دی نیز ۲۸ درصد بوده اما اکنون حدود ۱ درصد است که می‌‌توان نتیجه گرفت به‌صورت جدی با این پروتکل مقابله می‌شود.

به‌نظر می‌رسد روش فنی اعمال شده شامل مسدودسازی انتخابی مسیر UDP در پورت ۴۴۳ و بازرسی بسته‌های ابتدایی QUIC برای استخراج SNI است. این رویکرد اجازه می‌دهد شبکه QUIC را تنها برای خدمات داخلی نگه دارد و ارتباطات بین‌المللی را به پروتکل‌های قابل بازرسی منتقل کند. این تکنیک مشابه روش‌های به‌کار گرفته شده در چین و روسیه است، اما با زمان‌بندی و شدت متفاوت اعمال می‌شود چون در چین حدود ۳۸ درصد و در روسیه حدود ۲۷ درصد ارتباط از طریق این پروتکل انجام می‌شود.

این اقدام پیامد‌های مختلفی دارد و به این معنی است که ترافیک رمزنگاری شده کاربران به مسیر دیگری انتقال پیدا می‌کند (به TLS 1.3 رویTCP) که در آن نام دامنه (SNI) به‌صورت متن ساده ارسال می‌شود و نیاز به محاسبات سنگین برای فیلترینگ را کاهش می‌دهد. همچنین، ابزارهای مدرن عبور از فیلترینگ که به QUIC وابسته بودند، اکنون به پروتکل‌های قابل شناسایی قدیمی منتقل شده‌اند.

ترافیک پشت شیشه

بر اساس داده‌های بخش TCP Reset می‌توان گفت DPI در چندین لایه عمل می‌کند تا امکان اعمال سیاست‌های متفاوت در مراحل مختلف اتصال وجود داشته باشد. به‌زبان کمی فنی  Post-SYN نشان‌دهنده بازرسی در لایه ۴، Post-ACK مربوط به لایه ۵–۶ و Later-stage برای لایه ۷ است.

مزیت این روش در بازدارندگی مرحله‌ای با هزینه پائین است. اتصال‌ها با احتمال تهدید کم، در مراحل اولیه رد می‌شوند و منابع محاسباتی کم‌تری مصرف می‌شود، در حالی که اهداف با ارزش بالاتر اجازه پیشروی پیدا می‌کنند تا اطلاعات بیشتری از رفتارهای ترافیک جمع‌آوری شود. داده‌های موجود نشان می‌دهد نرخ قطع اتصال‌ها حدود ۲۰ درصد است، که نشان می‌دهد بازدارندگی در سطح قابل‌قبولی در حال انجام است.

علاوه بر این سیستم بازرسی DPI قادر است بسته‌ها و متادیتای رمزنگاری شده را تحلیل کند، انواع پروتکل‌ها و اپلیکیشن‌ها را شناسایی و الگوهای رفتاری کاربران را بررسی کند. این قابلیت‌ها امکان پایش کامل و طبقه‌بندی دقیق ترافیک را فراهم می‌کند.

گلوگاه‌های متمرکز: کنترل در سطح ملی

تحلیل‌های مسیریابی و توزیع پروتکل‌ها نشان می‌دهد که تمام ترافیک بین‌المللی از تعداد محدودی از درگاه‌های مرزی عبور می‌کند. با این روش امکان اعمال سیاست‌های یکسان روی کل کشور فراهم می‌شود و نیاز به هماهنگی بین پرووایدرها یا شرکت‌های تامین‌کننده اینترنت را از بین می‌برد.

این معماری مزایای متعددی دارد. کافی است تغییر سیاست‌ها در یک نقطه مرکزی اعمال شوند و تمامی ترافیک تحت تأثیر قرار گیرد. علاوه بر این، امکان اعمال سیاست‌های لیست‌سفید و deny-by-default برای پروتکل‌ها وجود دارد. این روش نسبت به فهرست‌های سیاه سنتی کارآمدتر و مقاوم‌تر است.

به این ترتیب، ترافیک غیرمجاز به‌صورت خودکار مسدود می‌شود و تنها پروتکل‌های مشخص، مانند HTTP و HTTPS، اجازه عبور دارند. این امر باعث ساده‌سازی فرآیند کنترل پروتکل‌ها و افزایش قابلیت اطمینان شبکه می‌شود. شاید به همین دلیل است که عدم کارایی بسیاری از فیلترشکن‌ها را در روزهای اخیر تجربه می‌کنید.

پایان مسابقه ابزارهای دورزدن فیلترینگ؟

با سرکوب QUIC و مسدودسازی UDP، ابزارهای مدرن VPN و پراکسی کارایی خود را از دست می‌دهند. پروتکل‌هایی مانند وایرگارد و V2Ray اکنون از طریق الگوهای آماری بسته‌ها (حتی بدون رمزگشایی Payload) شناسایی و مسدود می‌شوند.

در عمل، کاربران به پروتکل‌های قدیمی‌تر مانند OpenVPN روی TCP یا پراکسی‌های مبتنی بر HTTP منتقل شده‌اند. این پروتکل‌ها به راحتی توسط DPI قابل شناسایی و کنترل هستند. چنین اقدامی از منظر فنی باعث کاهش پیچیدگی مدیریت عبور از فیلترینگ می‌شود.

بازرسی بیشتر که منجر به شناسایی بیشتر می‌شود باعث شده کیفیت شبکه نیز کاهش یابد. زمان‌تاخیر تا ۲۵۰ میلی‌ثانیه و افزایش نرخ از دست رفتن بسته‌ها گاهی تا ۵۰ درصد باعث می‌شود حتی در صورت موفقیت اتصال، عملکرد ابزارها ناکارآمد شود. این نوع کاهش کیفیت به نوعی کنترل مسیر بدون قطع کامل ارتباط است. برای درک بهتر کافی است تجمع ماشین‌ها قبل از گیت‌های عوارضی در بزرگراه‌ها را تصور کنید با این تفاوت که ممکن است نصف ماشین‌ها از ادامه مسیر منصرف شوند.

آمادگی برای خاموشی بعدی

شبکه در وضعیت تخریب فعال، کاربران را مجبور به استفاده از ابزارهای دورزدن می‌کند و به‌دنبال آن هر تلاشی قابل مشاهده و ثبت می‌شود. تخریب فعال یعنی حالتی از شبکه که اتصال به‌طور کامل قطع نمی‌شود، اما عمداً با ابزارهای فنی مانند افزایش تأخیر، از دست رفتن بسته‌ها، قطع‌های مکرر اتصال و محدودسازی پروتکل‌ها شبکه به‌گونه‌ای تضعیف می‌شود که ارتباط عملاً ناکارآمد و ناپایدار باشد. این به معنای جمع‌آوری گسترده اطلاعات رفتاری کاربران است مثلا در خاموشی اخیر گزارش‌ها نشان می‌دهد جستجوی VPN حدود ۷۰۷ درصد افزایش یافته و حالا یک جامعه آماری بسیار بزرگ گردآوری شده تا رفتار آنها برای دورزدن فیلترینگ تحلیل شود.

در شیوه جدید سیستم DPI می‌تواند بسته‌ها، رفتار اتصال و ویژگی‌های پروتکل‌های عبور از فیلترینگ را تحلیل کند. با استفاده از یادگیری ماشینی، سیستم می‌تواند امضاهای جدید برای شناسایی خودکار ابزارها تولید کند و آینده کنترل شبکه را دقیق‌تر سازد.

این قابلیت باعث می‌شود محدودیت روزهای اخیر بعد از مسدودشدن شبکه کشور به ابزار تحلیل رفتاری و امنیتی هوشمند تبدیل شود. در نتیجه تمام تلاش‌های عبور از محدودیت‌ها به داده تبدیل شده و برای بهینه‌سازی سیاست‌های شبکه استفاده می‌شود.

زیرساخت آماده برخورد فوری

داده‌ها نشان می‌دهد ابزارهای کنترل شبکه دارای سه حالت عملیاتی است: پایش عادی که دسترسی به‌صورت نرمال جریان دارد، تخریب فعال که در آن شبکه عمدا ناپایدار می‌شود و محدودیت شدید که می‌تواند حتی به قطع ارتباط منجر شود. تغییر بین این وضعیت‌ها تنها با به‌روزرسانی تنظیمات مرکزی انجام می‌شود و دیگر نیاز به تغییر زیرساخت فیزیکی ندارد.

توانایی تغییر سریع وضعیت شبکه، امکان واکنش مرحله‌ای و هدفمند به شرایط را فراهم می‌کند. برای مثال، در بازه ۱۸ دی تا ۷ بهمن، شبکه از وضعیت پایش عادی به محدودیت شدید و سپس به تخریب فعال در عرض چند ساعت منتقل شد. این نشان‌دهنده طراحی منعطف و متمرکز برای مدیریت لحظه‌ای است. زمان‌بندی اختلال‌ها، الگوی کنترل زمانی را هم نشان می‌دهد. در این روش فعالیت‌های کلیدی اقتصادی می‌توانند در ساعات روز ادامه یابد، در حالی که محدودیت‌ها در بازه‌های هدفمند زمانی انجام می‌شود.

به‌دلیل اختلال عمدی و تخریب اتصال، تعداد درخواست‌ها (نارنجی) بیش از دو برابر حالت عادی است.از نظر فنی، این قابلیت امکان اعمال سیاست‌های متفاوت برای مناطق یا گروه‌های کاربری مختلف را هم فراهم می‌کند. برخی کاربران یا سرویس‌ها ممکن است اتصال بدون اختلال داشته باشند، در حالی که دیگران تحت محدودیت شدید قرار گیرند. این امکان تفکیک دقیق و هدفمند، انعطاف‌پذیری بالایی در مدیریت شبکه ایجاد می‌کند.

اجبار به استفاده از خدمات داخلی

با ایجاد اختلال عمدی و کاهش کیفیت سرویس‌های بین‌المللی، کاربران به تدریج به خدمات داخلی با عملکرد بهتر انتقال داده می‌شوند. این امر ایجاد یک اکوسیستم شبکه داخلی با دسترسی پایدار و قابل کنترل را تسهیل می‌کند. داده‌های پروتکلی نشان می‌دهد که سرویس‌های داخلی، بدون عبور از درگاه‌های بین‌المللی و بدون محدودیت، عملکرد بهتری دارند. این رویکرد باعث می‌شود ترافیک بین‌المللی به‌صورت طبیعی کاهش یابد و کاربران به سمت شبکه داخلی هدایت شوند.

معماری شبکه امکان کنترل کامل مسیرهای بین‌المللی و داخلی را فراهم می‌کند. شبکه قادر است مسیرهای اختصاصی با کیفیت بالا برای سرویس‌های منتخب ایجاد کند و مسیرهای عمومی را محدود کند. این رویکرد باعث می‌شود برخی سرویس‌ها عملکرد بهینه داشته باشند و دیگران تحت محدودیت و کاهش کیفیت قرار گیرند. در عمل، این تکنیک به شبکه اجازه می‌دهد اولویت‌بندی دسترسی و مدیریت منابع  را با دقت بالا انجام دهد، بدون آنکه اتصال داخلی مختل شود.

چه خواهد شد

سهم پایین QUIC به حدود یک درصد، میانه تأخیر ۱۳۶ میلی‌ثانیه و نرخ بالای TCP Post-SYN Failure که تا هفت درصد افزایش یافته، هم‌زمان افت تجربه کاربر و عقب‌گرد معماری شبکه را نشان می‌دهند. این شاخص‌ها در کنار هم بیانگر آن‌ هستند که مسیر آینده اینترنت ایران به‌طور مستقیم به میزان مداخله در لایه انتقال و پروتکل‌ها وابسته شده است.

اکنون سه سناریو برای آینده قابل ترسیم است. در سناریوی بدبینانه، اختلال کنترل‌شده به وضعیت عادی تبدیل می‌شود: QUIC به ۲–۳٪ می‌رسد، HTTP/1.x به بالای ۵۰٪ بازمی‌گردد، تأخیر میانه به ۱۷۰–۲۰۰ میلی‌ثانیه می‌رسد و کیفیت تجربه کاربر به‌طور مزمن فرسوده می‌شود. البته این شرایط خیلی بدبینانه است اما می‌تواند به‌خوبی برای اینترنت بین‌الملل پیاده شود.

در سناریوی بعدی که احتمالا ادامه پیدا می‌کند، بخشی از فشار کاهش می‌یابد اما کنترل حفظ می‌شود. QUIC به ۸–۱۲٪ می‌رسد، تأخیر به حدود ۱۱۵–۱۲۵ میلی‌ثانیه کاهش می‌یابد و اینترنت «قابل تحمل» می‌شود. شاید بنا به ضرورت از استراتژی‌های محدودکننده استفاده شود ضمن اینکه کاربر کلافه همچنان میل بیشتری به سرویس‌های داخلی پیدا می‌کند.

سناریوی خوش‌بینانه، مستلزم کاهش معنادار مداخله در پروتکل‌هاست: QUIC به ۲۰–۲۵٪، HTTP/1.x به زیر ۲۵٪ و تأخیر به ۸۰–۹۵ میلی‌ثانیه می‌رسد و ظرفیت شبکه تا سطح قبلی بازیابی می‌شود. مقایسه عددی نشان می‌دهد وضعیت فعلی دقیقاً در مرز سناریوی محتمل و تمایل به سناریوی بدبینانه قرار دارد.

شرایط اقتصادی-اجتماعی قطعا کاربران به تثبیت وضعیت کنونی رضایت می‌دهند و گذشت زمان، ترمیم وضعیت و بازگشت به اینترنت پایدار را دشوارتر می‌کند. در واقع می‌توان گفت آینده اینترنت ایران را همین شیب‌های کوچک تعیین می‌کنند.

نتیجه‌گیری

تحلیل نشان می‌دهد که این معماری، نسل جدید مدیریت شبکه ملی است. تفاوت آن با روش‌های سنتی، تمرکز بر ساختار شبکه و کنترل پروتکل‌ها به جای مسدودسازی جداگانه سرویس‌ها است. این سیستم، با ترکیب DPI چندلایه، محدودیت پروتکل‌های مقاوم و مدیریت کیفیت، یک معماری یکپارچه و جامع ایجاد می‌کند. اگر استقرار این تغییرات در ایران، کمتر از سه هفته انجام شده باشد یک رکورد بی‌سابقه است و نشان می‌دهد طراحی و پیاده‌سازی شبکه به گونه‌ای انجام شده که کنترل کامل بر ترافیک در کمترین زمان ممکن امکان‌پذیر باشد که تا حدودی بعید است. بنابراین می‌‌توان نتیجه گرفت این سیستم مدتی است که پیاده شده و قطعی اخیر اینترنت یک فرصت طلائی برای تست و پیکربندی آن ایجاد کرد.