Журнал серверной доступности ночью 16 октября зафиксировал резкий рост кодов ответа 522 и 503. Пики пришлись на интервалы 00:17–00:25 и 03:40–04:05 UTC+3. Средняя длительность сессии упала с 7,2 секунды до 1,1, что указывает на обрыв TCP-handshake на ранней стадии. Клиентские приложения отреагировали циклическими попытками переподключения, push-шина Firebase выдала статусы «Timeout» и «Unavailable».
Технический фактор
Команда NOC нашла в логах upstream-сервисов аномально длинные очереди на стороне Redis-кластера. Конкурентные запросы к линии live-ставок спровоцировали феномен thundering herd: десятки тысяч клиентских сессий одновременно запрашивали обновления коэффициентов. Память нод входила в режим OOM-killer, ядро завершало процессы, а балансировщик L4 фиксировал гибель backend-пулов. Пяти–шести циклов подобной карусели достаточно для стоп-кадра: внешняя CDN BlockCache перестаёт отдавать контент.
Дополнительное препятствие создал троттлинг со стороны магистрального провайдера: throughput на стыке снизился до 80 Мбит/с при обычных 1,2 Гбит/с. Блок IPFIX показал деградацию QoS до класса Best Effort, что обычно означает или избыточный трафик, или санкцию со стороны сети оператора.
Регуляторный прессинг
С 14 октября в реестр Роскомнадзора добавлен диапазон 45.141.*.*-45.141.*.*, где расположены элементы инфраструктуры Astrabet. Локальные ASN сообщили о рассыпанных маршрутах /24. Пользователи из разных регионов видят reset-пакеты на первом hop-е, что укладывается в схему DPI-фильтрации. В место классического DNS-отравления применён грубый null-routing.
Заморозка связанана с претензиями к интерактивным ставкам без ЦУПИС-аккредитации. Документы ФНС подтвердили отсутствие договоров с «Единой гемблинг-платформой», предписанных новой редакцией закона №126-ФЗ. Пока регистрация не пройдёт, доступ через российских операторов связи будет блокироваться при каждом появлении свежего IP.
Чтобы обойти фильтрацию, техническая команда включила DNS-over-HTTPS и разместила статические ресурсы на поддомене вида cdn-a.content-delivery.net под ASN американского провайдера. Для части аудитории обход сработал, однако мобильные клиенты iOS используют встроенную Public DNS-конфигурацию Apple, чем сокращается набор альтернатив.
Пошаговый алгоритм
Пока стабильность не возвращена, аналитики предлагают последовательность действий, основанную на практике устранения похожих инцидентов. Первый пункт — переключить DNS со стандартного резолвера на 1.1.1.1 либо 9.9.9.9. Второй — установить прокси-клиент с поддержкой ShadowsocksR, использующим шифр ChaCha20-IETF-Poly1305. Третий — очистить кэш приложения: иначе stale-коэффициенты конфликтуют с live-линией.
Если после трёх шагов доступ не восстанавливается, остаётся ждать перерегистрации домена на платформу, согласованную с ЦУПИС. Регулятор снимает блокировку спустя два-три рабочих дня после поступления документов.
Разработчики параллельно завершают перенос live-корды в облако Варшавы с Anycast-анонсированием через Hurricane Electric. Тестовые прогоны ping-traceroute показывают латентность 38–44 мс вместо прежних 62–70 мс, что исключает единичную точку отказа и снижает шанс массового обрыва.
При нестабильной работе приложения Android полезен сброс Google Play Services: кэшированные токены FCM порой конфликтуют с новым endpoint-ом уведомлений. После очистки данных сервис немедленно перезаписывает токен, убирая циклическую авторизацию.
Отдел инфосека Astrabet расследует версию атаки FloodFlare — гибрида UDP-флуда и имитации handshaking TLS 1.3. Подобные пульсации создают на границе сети всплеск синхронных открытий, сбивая LRU-таблицу conntrack. Сервис GreyNoise зафиксировал похожие сигнатуры на 17-маске источников из Южной Азии. При подтверждении гипотезы уровень защиты поднимут до NGFW с железом класса 200 Gbps.
Браузерные расширения-фильтры добавляют свой штрих: black Origin, AdGuard и EFF Privacy Badman режут запросы к фронтенду из-за совпадения с масками рекламообменных сетей. Временное отключение фильтра убирает ошибки CORS preflight.
Комплекс описанных обстоятельств формирует каскад, напоминающий эффект домино: регулятор нажимает на IP-диапазон, провайдер режет пропускную способность, а приложение, лишённое ресурса, зацикливается. Пользователь видит пустой экран и сообщение «Network failure».
Ближайшая перспектива зависит от правового регулирования. Техническая команда способна устранить пиковую нагрузку, однако правовая неопределённость возвращает проблему на круги своя.