Служебный трафик

Интернет-центры Keenetic в своей работе используют служебный трафик. Служебным будем называть сетевой трафик, используемый в фоновом режиме, инициатором которого является сам роутер. Это трафик от внутренних системных процессов, служб и приложений, которые включены в интернет-центре автоматически, не по инициативе пользователя.

С настройками по умолчанию источниками служебного трафика от интернет-центра могут быть:

  • служба проверки подлинности и лицензирования;
  • диагностический модуль;
  • функция автоматического обновления;
  • агент облачной службы Keenetic Cloud и KeenDNS;
  • модуль 'Мобильное приложение Keenetic';
  • системный механизм проверки доступности Интернета (Internet Checker);
  • настраиваемый механизм проверки состояния сетевых подключений (Ping Check). Включается автоматически только при подключении USB-модема;
  • протокол синхронизации времени.

Весь служебный трафик, за исключением трафика модуля 'Мобильное приложение Keenetic', направляется на размещенные в домене *.keenetic.ru серверы. Вместе с тем, IP-адреса назначения служебного трафика могут разрешаться в доменные имена в домене *.omni.ru.

Модуль 'Мобильное приложение Keenetic' связывается с серверами в домене *.keenetic.cloud.

Ниже представлена таблица с объемом используемого служебного трафика разными сервисами интернет-центра Keenetic. Цифры указаны для круглосуточной работы роутера в режиме 24/7 с настройками по умолчанию. После таблицы вы найдете краткое описание сервисов, из которого узнаете для чего они используются, как работают, как выключить некоторые из них и уменьшить объем служебного трафика.

Источник трафика

Включен 
по умолчанию?

Можно отключить?

Объем трафика
в сутки / в месяц

Служба проверки подлинности и лицензирования

Да

Нет

до 10 Кбайт / до 300 Кбайт

Диагностический модуль

Да

Да

до 3 Кбайт / до 100 Кбайт

Функция автоматического обновления

Да

Да

Размер микропрограммы зависит от модели и набора компонентов (в среднем от 6 до 12 Мбайт)

Агент облачной службы Keenetic Cloud и KeenDNS

Да

Да

794 Кбайт / 24 Мбайта

Модуль 'Мобильное приложение Keenetic'

Да

Да

около 40 Мбайт в сутки (если мобильное устройство добавлено в облако)

Системный механизм проверки доступности Интернета (Internet Checker)

Да

Да

3,3 Мбайт / 100 Мбайт

Настраиваемый механизм проверки состояния сетевых подключений (Ping Check)

Нет;

автоматически включается только при подключении USB-модема к роутеру

Да

5,5 Мбайт / 170 Мбайт (в режиме "Автоматический" с проверкой по TCP);

1,62 Мбайт / 50,22 Мбайт (с проверкой по ICMP)

Протокол синхронизации времени

Да

Да

400 байт / 1,6 Кбайт


1. Служба проверки подлинности и лицензирования
(включена всегда, отключить нельзя).

При подключении Кинетика к Интернету происходит передача уникального сервисного кода устройства, версии KeeneticOS, выбранного канала обновления и IP-адреса. Информация отправляется на сервер по защищенному протоколу HTTPS в течение минуты после включения роутера, а также при смене WAN IP-адреса, и раз в сутки, если не было смены IP-адреса. Один запрос до 10 Килобайт.

Данная информация используется в следующих целях:

  • проверка подлинности устройства для получения обновлений и доступа к сервисам компании Keenetic;
  • определение гарантийного срока устройства по дате первого подключения к Интернету;
  • автоматическое получение SSL-сертификата, заверенного центром сертификации Let's Encrypt Authority, в домене keenetic.io для безопасного доступа к веб-интерфейсу устройства. Объем трафика при получении сертификата составляет примерно 180 Кбайт. Автоматическое продление сертификата происходит раз в три месяца;
  • регулярная передача IP-адреса устройства используется для работы сервиса KeenDNS;
  • регулярная передача версии KeeneticOS и канала обновления используется для сервиса автоматического обновления и уведомления пользователя в веб-интерфейсе устройства.

2. Диагностический модуль (включен по умолчанию, можно отключить).

Диагностический модуль формирует отчеты об ошибках и критических сбоях в работе системы и отправляет их на сервер по защищенному протоколу HTTPS по мере накопления. Каждый отчет по объему не превышает 10 Кбайт. Отчет может включать в себя информацию об использовании системных ресурсов, протоколах и типах подключения к Интернету, идентификаторах USB-устройств.

Наличие этих отчетов позволяет поддержке более точно диагностировать проблемы при обращении пользователей, а разработчикам непрерывно анализировать и улучшать стабильность работы устройств и сервисов Keenetic.

Можно отключить функцию отправки отчетов в веб-конфигураторе, в меню "Параметры системы" (Общие настройки) в разделе "Программа улучшения продукта". В этом случае устройство не будет отправлять отчеты.

diag-off.png

3. Функция автоматического обновления (включена по умолчанию, можно отключить).

Функция отправляет запрос на сервер по защищенному протоколу HTTPS для сборки операционной системы в необходимой для устройства конфигурации, затем принимает готовый файл и обновляет его в памяти устройства с последующей перезагрузкой. Частота выпусков официальных релизов составляет примерно 6-10 раз в год. Объем трафика зависит от количества компонентов операционной системы. В среднем, при использовании рекомендованного набора, размер загрузки составляет от 6 Мбайт (для младших моделей) до 19 Мбайт (для старших моделей).

Отключить функцию автоматического обновления можно в веб-конфигураторе, в меню "Параметры системы" (Общие настройки) в разделе "Обновления и компоненты". В этом случае устройство не будет выполнять обновление без вашего участия.

auto-upd-off.png

4. Агент облачной службы Keenetic Cloud и KeenDNS (включен по умолчанию, можно отключить).

Агент необходим для удаленного доступа к роутеру Keenetic через сервис доменных имен KeenDNS и при использовании облачного сервиса Keenetic RMM.

Агент использует механизм UDP keep-alive для проверки и поддержания постоянного соединения интернет-центра с сервером. Опрос происходит каждые 17 секунд. Используется запрос UDP/9 размером 160 байт каждый это 794 Кбайт в сутки или 24 Мбайт в месяц. Однократно, при включении роутера, используется запрос проверки серверов по порту UDP/4044.

Если вы не используете на роутере доменное имя KeenDNS, то для сокращения объема служебного трафика отключите работу данного сервиса. Удалите компонент агента из состава операционной системы устройства. Сделать это можно в меню "Параметры системы" (Общие настройки) в разделе "Обновления и компоненты", нажав "Изменить набор компонентов".

comp-agent-delete.png

Обращаем ваше внимание, что компоненты "SSTP VPN-сервер", "Сервер WebDAV" и "Мобильное приложение Keenetic" зависят от наличия в системе компонента "Агент облачной службы Keenetic Cloud и KeenDNS". Для удаления агента необходимо будет также удалить указанные зависимые компоненты.

5. Модуль 'Мобильное приложение Keenetic' (включен по умолчанию, можно отключить).

Обеспечивает дистанционный доступ к интернет-центру из мобильного приложения Keenetic.
Модуль отмечается на облачном контроллере каждые 30 секунд. После добавления устройства в личный кабинет, модуль начинает отправлять на облачный контроллер сообщения о системных событиях (смена канала подключения, рестарт интернет-центра и т.д.), и данные телеметрии по трафику, загрузке процессора и памяти. Данные передаются в зашифрованном виде с использованием технологий AES и Curve25519, хранятся с соблюдением требований законодательства по защите персональных данных. Суточный объем трафика около 40 Мбайт, если устройство добавлено в облачный сервис.

Если вы не используете удаленный доступ к интернет-центру через мобильное приложение, то для сокращения объема служебного трафика отключите облачную службу Keenetic Cloud. Сделать это можно в веб-конфигураторе, в меню в меню "Параметры системы" (Общие настройки) в разделе "Облачная служба Keenetic Cloud для мобильных приложений".

cloud-off.png

Чтобы полностью отключить работу облачной службы Keenetic Cloud для мобильного приложения Keenetic, удалите компонент из состава операционной системы устройства. Сделать это можно в меню "Параметры системы" (Общие настройки) в разделе "Обновления и компоненты", нажав "Изменить набор компонентов".

comp-app-delete.png

6. Системный механизм проверки доступности Интернета (Internet Checker) (включен по умолчанию, можно отключить).

Системный механизм проверки доступности Интернета. По результатам его работы система определяет текущее состояние интернет-соединения и управляет индикатором globus.png на корпусе устройства (горит — интернет-соединение установлено, не горит — нет соединения с Интернетом).

Обращения к серверам с использованием соединений по DNS/53 + TCP/80 выполняются каждые 15 секунд без передачи данных на узлы. Один запрос 580 байт, это примерно 3,3 Мбайт в сутки или 100 Мбайт в месяц.
Также каждые 40 секунд происходит запрос к серверу, используя TCP/80 и один раз в 10 минут используя DNS/53, также без передачи данных. Один запрос 500 байт, это примерно 735 Кбайт в сутки или 22 Мбайта в месяц.

Отключить Internet Checker можно через интерфейс командной строки (CLI) Кинетика.

Для отключения выполните команды:

no service internet-checker
system configuration save


После отключения проверка интернет-соединения будет выполняться с помощью ARP-опроса шлюза по умолчанию (в этом случае будет использоваться локальный трафик).

7. Настраиваемый механизм проверки состояния сетевых подключений (Ping Check) (по умолчанию выключен, включается автоматически только при подключении USB-модема, в остальных случаях включается пользователем).

Ping Check используется для резервирования подключений и автоматического управления питанием USB-модемов. Работа этого механизма полностью зависит от его параметров: режима проверки (ICMP-запросами или по TCP), интервала между проверками, числа неудачных проверок.

По умолчанию в режиме проверки "Автоматический" выполняется опрос сервера с интервалом "Периодичность проверки" (время в секундах между проверками) 10 секунд. Значение "Порог срабатывания" (число неудачных проверок) по умолчанию равно 5. При этом используется подключение DNS/53 + TCP/443 без передачи данных на узлы. Один запрос составляет 650 байт, это 5,5 Мбайт в сутки или 170 Мбайт в месяц.

Отключить Ping Check можно через веб-конфигуратор на странице того типа подключения ("Модем 3G/4G", "Проводной", "Wireless ISP", "DSL-подключение"), на котором он включен. В разделе "Проверка доступности Интернета (Ping Check)" в поле "Режим" установите значение "Не использовать".

pingcheck-off.png

Если нужно оставить включенным механизм Ping Check, для снижения объема служебного трафика можно использовать проверку доступности Интернета по протоколу ICMP. Запросы ICMP будут меньше по объему трафика: один запрос составит 200 байт, это 1,62 Мбайт в сутки или 50,22 Мбайт в месяц.

pingcheck-icmp.png

Дополнительную информацию вы найдете в инструкции "Тонкая настройка Ping Check".

8. Синхронизация времени по протоколу NTP (по умолчанию включена, можно выключить или изменить предустановленный интервал).

Сервис автоматической установки времени в роутере. По умолчанию включена опция "Устанавливать время автоматически". Устройство начинает попытки синхронизации с сервером точного времени сразу после включения и отправляет запрос каждые 10 секунд до тех пор, пока успешно не синхронизируется. Происходит запрос по протоколу NTP. Используются DNS/53 + NTP (UDP/123). Объем трафика, используемый для синхронизации времени, составляет 400 байт.

После синхронизации часов отсчет времени ведется по внутреннему счетчику и следующая синхронизация по умолчанию будет произведена через 7 дней. За месяц служба синхронизации времени использует всего 1,56 Кбайт.

Мы не рекомендуем выключать данный сервис. При необходимости можно увеличить интервал синхронизации до 28 дней. Для этого в интерфейсе командной строки (CLI) Кинетика выполните команды:

ntp sync-period 40320
system configuration save

 

Вывод

Интернет-центр Keenetic использует служебный трафик при работе внутренних системных сервисов и автоматически передает информацию об устройстве через Интернет только для нужд технической поддержки и гарантийного обслуживания, а также обращается к серверам наших онлайн-служб. Мы не собираем информацию о посещаемых вами сайтах, запросах в поисковых машинах и любую другую персональную информацию в полном соответствии с законом о защите персональных данных.

Средствами самого интернет-центра заблокировать доступ к облачным серверам и основным системным сервисам Keenetic, если их не отключить, как описано выше, — нельзя. Эти подключения необходимы для стабильной, безопасной работы интернет-центра и надежной оценки его работоспособности со стороны облачных служб. Работа этих сервисов архитектурно не подразумевает каких-либо постоянно открытых портов и бэкдоров, которыми могут воспользоваться злоумышленники. Соединения устанавливаются короткими защищенными сессиями и никакие сканеры снаружи не увидят открытых портов и уязвимостей.

Основная доля служебного трафика используется механизмами проверки доступности Интернета и сетевых подключений (Internet Checker и Ping Check), а также агентами облачных служб. Напоминаем, что механизм Ping Check включается автоматически только при подключении USB-модема. Имейте это ввиду, если пользуетесь интернет-тарифом с небольшим объемом предоставляемого трафика, который приходится экономить.

Если вы заметили слишком большой расход интернет-трафика, прежде всего обратите внимание на пользовательский трафик. Современные операционные системы и приложения активно используют различные онлайн-сервисы и в фоновом режиме могут создавать значительный объем трафика с устройств, которые подключены к интернет-центру Keenetic. Подробную информацию о расходе трафика на подключенных устройствах за последние сутки можно получить в мониторе трафика устройства.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 61 из 70