Данные Cloudflare Radar показывают реальное, но неполное восстановление доступа к интернету в Иране после общенационального отключения, которое началось 28 февраля 2026 года и длилось 87 дней. Возврат виден по веб-трафику, объему DNS-запросов, активности отдельных провайдеров и восстановлению привычного дневного-ночного ритма использования.
Но рабочий вывод не такой: «Иран снова онлайн». Точнее так: часть доступа возвращается, неравномерно, и заметные технические провалы остаются.
Для команд безопасности, исследователей, журналистов, гражданских организаций и всех, кто помогает пользователям в Иране, эта разница важна. Частичное восстановление быстро меняет риски, но не убирает их. Больше людей могут снова подключаться, общаться, обновлять приложения и открывать сервисы. Одновременно могут сохраняться фильтрация, замедление, региональная асимметрия и риск мониторинга.
Оценка Aria: данных Cloudflare достаточно, чтобы увидеть движение, но недостаточно, чтобы объявить нормальную работу связи восстановленной.
Что изменилось в картине иранского интернета#
Cloudflare сообщила, что самый сильный сигнал восстановления появился 26 мая около 11:00 UTC. В этот момент Cloudflare увидела заметный рост и объема переданных байтов в своей сети, и запросов к публичному DNS-резолверу 1.1.1.1. Около 11:45 UTC последовал короткий всплеск трафика, а примерно с 12:00 UTC начался более устойчивый рост.
По данным Cloudflare, всплеск достиг примерно 15-кратного уровня по сравнению с предыдущей неделей. Звучит резко, но база была низкой: страна почти три месяца находилась в состоянии тяжелого нарушения связности. На пике, который Cloudflare наблюдала 26 мая, трафик восстановился примерно до 40% от максимальной активности из Ирана, зафиксированной Cloudflare в 2026 году.
Именно эти 40% — ключевая опора для оценки. Восстановление есть, но до прежних уровней далеко.
Картина Cloudflare не равна полной копии каждого пакета внутри Ирана. Radar отражает активность, видимую через сеть и сервисы Cloudflare. Но с учетом роли Cloudflare в глобальной веб- и DNS-инфраструктуре эти данные полезны для обнаружения крупных изменений в поведении интернета.
Согласно исходному материалу, февральское отключение началось после эскалации атак США и Израиля 28 февраля. Cloudflare увидела резкое падение трафика из Ирана примерно с 10:30 по местному времени, или 07:00 UTC. Трафик упал намного ниже 1% от прежних уровней, при этом оставались видны лишь небольшие объемы веб- и DNS-трафика.
Сигнал восстановления 26 мая проявился сразу в нескольких местах:
- резко вырос объем байтов, переданных через сеть Cloudflare;
- увеличилось число DNS-запросов к резолверу Cloudflare 1.1.1.1;
- несколько крупных иранских провайдеров показали рост трафика;
- начали возвращаться обычные суточные паттерны: трафик снижался ночью и снова рос утром.
Последний пункт особенно важен. Случайное событие маршрутизации или одиночный технический выброс тоже могут дать всплеск. Возврат дневно-ночной кривой больше похож на то, что реальные пользователи снова выходят в сеть — по крайней мере в части страны.
Почему это важно для безопасности и приватности#
Частичное восстановление меняет рабочую среду. Оно не делает ее безопасной или предсказуемой.
Для security operations возвращение сети значит, что больше конечных устройств могут переподключиться после долгого сбоя. Устройства начнут синхронизировать сообщения, получать обновления ПО, продлевать сессии, отправлять логи или заново подключаться к облачным сервисам. Это может помочь, но также создает шум в телеметрии, запоздавшие алерты, устаревшие учетные данные и неожиданные точки экспозиции.
Для приватности и физической безопасности восстановленный доступ может вернуть пользователей в отслеживаемые или ограниченные сети. Человек, который вчера не мог подключиться, сегодня внезапно получает доступ к мессенджерам, сайтам, VPN, платформам разработчиков или облачным сервисам. Но если восстановление выборочное, фильтруемое или неравномерное по регионам, маршрут пользователя все еще может быть жестко ограничен.
Региональные данные здесь особенно важны. Разбивка Cloudflare показала, что 91,6% HTTP-запросов в новом трафике пришли из Тегерана. Это не доказывает, что доступ есть только в Тегеране. Но показывает, что восстановление, которое видит Cloudflare, подавляюще сконцентрировано в столице.
В других регионах тоже были меньшие всплески, но ничего сопоставимого с объемом Тегерана. На практике это значит, что национальные обобщения опасны. Сервис может открываться из Тегерана и при этом оставаться ненадежным в других местах. Команда поддержки может получить волну активности из одного региона и тишину из остальных. Исследователь может увидеть возврат трафика и ошибочно принять его за широкое восстановление по всей стране.
Данные по провайдерам поддерживают вывод: восстановление реальное, но ограниченное. После первого всплеска 26 мая Cloudflare увидела рост трафика из сетей, включая TCI, IranCell, RighTel и MCCI. Cloudflare отслеживает это через ASN — идентификаторы маршрутизации, назначенные сетям или группам сетей.
Рост сразу у нескольких провайдеров — более сильный сигнал, чем восстановление одной изолированной сети. Но сильный перекос в сторону Тегерана и потолок восстановления ниже 40% не дают повода для уверенности.
Практический риск для приватности простой: пользователи могут снова оказаться онлайн раньше, чем условия станут стабильными, равными и свободными от ограничений.
Что проверить перед выводами по данным Cloudflare#
Если вы управляете инфраструктурой, поддерживаете пользователей в Иране, публикуете рекомендации по безопасности или интерпретируете сетевые измерения, не воспринимайте всплеск 26 мая как бинарный переключатель. Считайте его ранним сигналом восстановления, который нужно проверять.
Смотрите на форму трафика, а не только на объем#
Рост в 15 раз важен только в контексте. Поскольку база предыдущей недели была сильно подавлена, даже большой множитель может оставлять страну далеко ниже нормальной активности.
Проверяйте, продолжает ли трафик расти к прежним уровням. Следите, сохраняется ли дневно-ночной паттерн. Повторяющийся суточный ритм полезнее одиночного всплеска: он больше похож на реальное использование людьми, а не на краткое сетевое событие.
Проверяйте распределение по регионам#
Концентрация в Тегеране — одна из самых важных операционных деталей. Если 91,6% видимых HTTP-запросов в новом трафике идут из Тегерана, доступность на уровне всей страны остается открытым вопросом.
Перед решениями спросите:
- сообщают ли пользователи за пределами Тегерана о доступе;
- сконцентрированы ли тикеты поддержки или логи подключений в одном регионе;
- продолжают ли поступать сообщения об отключениях из провинций, где почти не видно восстановления трафика;
- по-разному ли ведут себя мобильные и фиксированные сети.
Если ваша работа связана с incident response, гуманитарной поддержкой, распространением медиа или защищенными коммуникациями, региональная неравномерность должна менять оценку успеха и отказа. «Работает у одного пользователя» не значит «работает в Иране».
Отдельно проверяйте DNS#
Объем DNS-запросов — сильный сигнал: пользователям обычно нужно разрешить доменные имена, прежде чем открыть сайты и приложения. Всплеск запросов к 1.1.1.1, который увидела Cloudflare, показывает, что больше пользователей пытаются выйти в открытый интернет.
Но восстановление DNS не доказывает полный доступ. DNS-запросы могут расти, пока веб-доступ остается фильтруемым, замедленным или доступным только через некоторых провайдеров. Устройство может разрешить домен и все равно не подключиться. Пользователь может открыть одни сервисы, но не другие. Резолвер может быть доступен, а прикладной трафик — формироваться или блокироваться.
Для рабочих проверок сравнивайте DNS-резолвинг с реальной доступностью приложений. Тестируйте несколько уровней:
- успешность DNS-запросов;
- успешность TCP- или QUIC-подключения;
- завершение TLS-handshake;
- поведение HTTP-ответов;
- задержку и потери пакетов;
- стабильность по провайдерам и регионам.
Это тот же подход, который команды безопасности применяют к supply chain и проверкам безопасности open source: один артефакт полезен, но сам по себе недостаточен. О более широком принципе операционализации security artifacts GigaTap писал в материалах OpenSSF’s April signal: make security artifacts operational и Open Source Security Needs More Than Code.
Проверяйте IPv6 отдельно#
Данные по IPv6 — один из самых резких технических сигналов в публикации Cloudflare. В Иране почти полностью исчезло объявленное адресное пространство IPv6 еще до падения трафика 8 января. На момент частичного восстановления 26 мая адресное пространство IPv6 и IPv6-трафик из Ирана фактически оставались на нуле.
Это важно, потому что объявления IPv4 оставались относительно стабильными во время обоих крупных отключений 2026 года. Если маршруты IPv4 продолжали быть видны в глобальных таблицах маршрутизации, пока фактический трафик обвалился, значит отключение, вероятно, не было достигнуто через отзыв IPv4-маршрутов из глобального интернета.
Cloudflare предполагает, что могли использоваться другие технические методы, например фильтрация приложений или whitelisting. Источник не доказывает точный механизм контроля. Но он поддерживает скепсис к простому утверждению, будто Иран был единообразно «офлайн» в одном техническом смысле.
IPv6 стоит оставить в списке наблюдения. Если доступ на базе IPv4 продолжит улучшаться, а IPv6 останется отсутствующим, сеть еще не вернулась к прежнему техническому состоянию.
Чего не стоит утверждать слишком уверенно#
Самая безопасная интерпретация — узкая и привязанная к источнику.
Данные Cloudflare позволяют сделать три осторожных вывода.
Первый: часть доступа к интернету в Иране вернулась. Об этом говорят рост веб-трафика, рост DNS-запросов, активность на уровне провайдеров и возврат суточных паттернов использования.
Второй: восстановление неполное. На наблюдаемом пике 26 мая трафик все еще составлял лишь около 40% от максимального уровня, который Cloudflare фиксировала из Ирана в 2026 году. Видимое восстановление также было сильно смещено в сторону Тегерана.
Третий: восстановление может не закрепиться. Исходный текст Cloudflare был опубликован как измерение частичного восстановления, а не как подтверждение стабильной нормализации.
Для команд, которые поддерживают пользователей или сервисы, практический вывод такой: проверяйте доступность по слоям, регионам и провайдерам. Не считайте единичный рост трафика доказательством того, что риск исчез. Интернет в Иране начал возвращаться, но нормальная, равномерная и технически полная связность по данным Cloudflare пока не восстановлена.