Раньше мы уже разбирали, как блокировки делаются через DNS, чем отличаются VPN и прокси, и что такое "белые списки" сайтов — а ещё упомянули, что VPN часто маскируют свой трафик под обычные сайты, но системы ТСПУ (DPI) всё равно их находят. Один из наших читателей резонно спросил в комментариях: «Если трафик зашифрован и маскируется под обычный сайт (HTTPS), как система видит этот "характерный почерк"?».
В этой статье мы не только ответим на этот вопрос, но и расскажем про TLS-fingerprinting и active probing.
VPN и Proxy — очень кратко
Чтобы вспомнить и не путаться:
- Прокси: обычно “пересылка” ваших запросов через промежуточный сервер. Прокси получает ваш запрос, заменяет ваш IP на свой и перенаправляет его. Часто работает на уровне приложения (браузер/программа). Большинство прокси не шифруют трафик, оставляя его уязвимым для перехвата.
- VPN: зашифрованный “туннель” для всего трафика устройства (или выбранных приложений). VPN не только меняет IP-адрес, но и надежно защищает все передаваемые данные.
Для систем фильтрации важно не название, а факт: есть туннелирование/посредник, и это можно распознать по косвенным признакам.
Что такое DPI и ТСПУ
ТСПУ (Технические средства противодействия угрозам) — это комплекс оборудования и ПО, которое устанавливается у операторов связи в соответствии с требованиями законодательства (в первую очередь 149-ФЗ "О связи" (закон о "суверенном интернете"), 398-ФЗ и приказы Роскомнадзора). Это "чёрные ящики" на сетях провайдеров, под контролем Роскомнадзора (РКН). К 2023–2026 годам покрытие — 100% узлов связи, с переходом на отечественное оборудование (Сигналтек, Yadro, Ростелеком).
Основные функции ТСПУ:
- Централизованно задаёт правила для DPI (что блокировать и как).
- Синхронизирует списки (в т.ч. реестры).
- Собирает отчёты от DPI и передаёт их в центр управления.
DPI (Deep Packet Inspection — «глубокий анализ пакетов») — это ключевая технология внутри ТСПУ. Обычный маршрутизатор анализирует только заголовки сетевого (L3) и транспортного (L4) уровней: IP-адреса и TCP/UDP порты. DPI-системы заглядывают в Payload (полезную нагрузку) пакета, анализируя протоколы прикладного уровня (L7).
Основные функции DPI:
- DPI-анализ (глубокая проверка пакетов).
- Фильтрация по спискам запрещённых ресурсов (реестр РКН).
- Блокирование по IP, доменам, SNI, протоколам, сигнатурам.
- Протокольная идентификация (HTTP, HTTPS, QUIC, VPN-протоколы, Tor, Shadowsocks и др.).
- Сбор статистики и передача в центр управления.
Понятный пример: представьте, что почта — это ваш интернет. Обычный фильтр (почтальон) смотрит только на конверт: от кого и кому. Если адрес получателя (IP) в черном списке — письмо выбрасывают. DPI — это дотошный таможенник. Он не просто смотрит на адрес, он просвечивает конверт рентгеном, взвешивает его, замеряет толщину бумаги и даже анализирует, с какой скоростью вы приносите эти письма на почту.
DPI внутри ТСПУ видит не только IP, но и тип трафика: это HTTP, видео, VPN или Tor? Даже если трафик зашифрован, DPI ловит "подсказки" — как размер пакетов или их частота. Например, если вы смотрите видео на YouTube через VPN, DPI может заметить, что пакеты идут слишком равномерно, как у стриминга, и заблокировать. Важно: DPI не обязан читать содержимое сообщений. Ему часто достаточно “почерка”.
*подробнее о том, что технически происходит после того, как вы ввели запрос в поисковой строке можно прочесть в статьях про модели OSI и TCP/IP.
Как DPI выявляет VPN/Proxy?
VPN-соединение ведет себя не так, как обычный просмотр котиков в браузере. DPI анализирует ваш трафик на предмет характерного почерка VPN (ищет паттерны). Вот как это происходит:
По метаданным: Даже если ваш трафик зашифрован, у него есть метаданные — информация о самой связи. Для того, чтобы установить HTTPS соединение клиент отправляет пакет ClientHello, который не зашифрован — в нём видно домен (SNI). Если домен в черном списке, соединение рвется сразу. Аналогия: почтальон видит адрес на конверте и, если получателя запрещен, не доставляет письмо.
*SNI (Server Name Indication) передаёт доменное имя сервера в открытом виде (например, server_name = example.com). Это необходимо серверу для выбора правильного SSL-сертификата, особенно когда несколько доменов размещены на одном IP-адресе.
По поведению трафика:
Размер пакетов. VPN часто отправляет пакеты равномерно (как конвейер). Обычный сайт присылает данные разного размера (картинка, текст, скрипт). VPN часто упаковывает все в пакеты одинакового «стандартного» размера.
Ритмичность. VPN поддерживает связь с сервером даже тогда, когда вы ничего не делаете (посылает короткие сигналы «я жив»). Для DPI это выглядит как характерный «пульс», которого нет у обычных сайтов.
По протоколам: DPI знает "почерк" популярных VPN (WireGuard, OpenVPN). Даже если вы маскируете под HTTPS, DPI видит различия в заголовках или ритме. В "белых списках" DPI пропускает только "чистый" трафик к одобренным сайтам, а VPN-туннель выглядит подозрительно.
DPI измеряет размер пакетов, тайминги, объем данных. Если трафик выглядит как VPN (например, большой объём без пауз), он блокируется. Пример: вы качаете фильм через VPN — DPI видит "поток" данных и режет скорость или обрывает.
А что делает DPI после распознавания VPN или прокси?
После того как система DPI точно распознала, что трафик принадлежит VPN или прокси, или приблизительно заподозрила, что сервер является VPN или прокси, она не ограничивается простой пометкой в логах. Дальше вступает в работу активный DPI — то есть режим, при котором система начинает вмешиваться в соединение.
- Прямая блокировка (Drop): Самый жесткий сценарий. DPI разрывает соединение на уровне сети: сессия не устанавливается или внезапно обрывается. Для пользователя это выглядит как ошибка загрузки, “соединение сброшено” или бесконечное ожидание ответа от сервера.
- Замедление и «подмораживание» (Throttling): Это более коварный метод. DPI намеренно ограничивает скорость вашего соединения до уровня модема из начала 2000-х. А современная тактика «подмораживания» позволяет передать первые несколько килобайт данных (чтобы соединение вроде как началось), а потом просто перестает пропускать остальное. В результате сайты открываются частично, видео не загружается, мессенджеры подключаются нестабильно. Это часто используется вместо полного бана, чтобы сервис выглядел “сам по себе сломанным”.
- Подмена ответа и разрыв (RST/Redirect): DPI может не просто оборвать соединение, а вернуть подставной ответ: сетевую ошибку, заглушку или редирект на служебную страницу. С точки зрения пользователя кажется, что проблема на стороне сайта или приложения, хотя решение принято внутри сети провайдера.
- Активная проверка сервера (Active probing): Если DPI не уверен на 100%, что перед ним VPN или прокси, он может начать проверять сервер сам. Система инициирует собственные подключения к подозрительному IP или порту и смотрит, как сервер отвечает: ведёт ли он себя как обычный сайт или как сервис туннелирования. По реакции на такие запросы (структура ответов, поддерживаемые режимы, поведение при нестандартных соединениях) сервер либо подтверждается как VPN/прокси, либо временно оставляется в покое.
Именно активный DPI делает использование нестабильных прокси и простых VPN невыносимым: соединение то есть, то нет, а видео постоянно заикается. Это не случайные сбои, а целенаправленная работа системы по «искоренению» подозрительного трафика из сети.
Но не весь DPI такой "агрессивный". Есть пассивный режим, где система только "смотрит и запоминает". В пассивном DPI трафик копируется, и DPI анализирует его, но не вмешивается. Он собирает статистику: сколько трафика, какие протоколы, кто куда ходит. Такие данные идут в отчёты РКН для будущих блокировок или улучшения сигнатур. Например, если пассивный DPI заметит, что много людей использует определённый VPN, его добавят в чёрный список для активной блокировки позже. В России пассивный DPI помогает "учить" систему на реальном трафике, чтобы потом активный режим работал точнее.
TLS-fingerprinting: «Отпечатки пальцев» вашего браузера
TLS (Transport Layer Security) — это протокол, который превращает обычный текст в нечитаемый шифр и делает HTTPS-соединение защищённым. Его главная задача — сделать так, чтобы никто (ни хакер в кафе, ни провайдер) не мог прочитать ваши пароли или сообщения, пока они летят от вашего телефона к серверу. Когда вы открываете сайт с замочком в адресной строке, ваш браузер и сайт сначала «здороваются» друг с другом — это и есть начало TLS-соединения. Они договариваются: какую версию защиты использовать, какие способы шифрования поддерживаются и какие дополнительные возможности включить.
Именно этот набор договорённостей — какие параметры выбраны, в каком порядке и в какой комбинации — и образует так называемый TLS-fingerprint, или цифровой «отпечаток» клиента. Он не содержит ваших данных и не раскрывает, какие сайты вы открываете, но показывает, кто именно начал соединение: браузер, мобильное приложение или VPN-клиент.
Разные браузеры, приложения, VPN-клиенты и Proxy начинают соединение похожими, но не одинаковыми способами. Аналогия: два человека могут говорить “на русском”, но по произношению слышно, кто откуда.
Системы DPI используют этот цифровой отпечаток как способ идентификации. Они сравнивают начало HTTPS-соединения с уже известными профилями и могут определить, что перед ними не «обычный пользователь с браузером», а VPN или прокси-туннель — даже если весь дальнейший трафик полностью зашифрован и выглядит как обычный HTTPS.
Дальше логика простая:
- Если отпечаток похож на «Chrome», «Safari» или «Госуслуги» — трафик идёт дальше;
- Если отпечаток совпадает с базой известных VPN-сервисов (а у РКН огромная база этих «пальчиков») — блокируй сразу.
- Если отпечаток странный (не похож ни на один браузер, но и не явно VPN) — отправляй на проверку (active probing).
Active probing: когда проверяют “а что это за сервер”
Active probing (активное зондирование) — это когда система не только смотрит на ваш трафик, но и сама пытается подключиться к серверу, который кажется подозрительным.
Если трафик выглядит подозрительно, но не совпадает ни с одним известным шаблоном, активный DPI может пойти дальше и начать проверять не соединение пользователя, а сам сервер. Обычно это происходит в ситуации, когда к одному и тому же IP-адресу или порту массово подключаются абоненты, но характер этих подключений заметно отличается от обычного браузерного поведения.
В таком случае система инициирует собственные подключения к этому адресу, пробуя разные варианты соединений и наблюдая за тем, как сервер отвечает. Обычный веб-сервер реагирует предсказуемо: он ждёт стандартный HTTPS-запрос и ведёт себя строго в рамках привычного сценария. Сервер же VPN или прокси часто “выдает себя” косвенно — он не ждёт стандартный запрос браузера, не отдает страницу и реагирует на соединение иначе, чем типичный веб-сервер.
Если по результатам такой проверки сервер начинает выглядеть как сервис туннелирования, его могут добавить в списки ограничений и начать воздействовать на трафик уже целенаправленно. После этого соединения к нему могут резко обрываться, замедляться или ломаться точечными сбросами пакетов.
Чаще всего для пользователя это выглядит как внезапный сбой. Однако на самом деле до этого сервер просто был относительно “незаметным” и не привлекал внимания системы фильтрации, а после серии проверок его классифицировали — и начали активно глушить.
Заключение
Блокировки в 2026 году — это уже не просто «запрет IP-адреса». Это продуманная система, где искусственный интеллект анализирует, как вы обычно пользуетесь интернетом, снимает «отпечатки пальцев» с ваших программ, а также проверяет сервера, к которым обращается ваше устройство.
Именно поэтому обычные VPN начинают «лагать» или отключаться через 15 минут работы: система сначала присматривается к вам (пассивный режим), а потом проводит проверку (активный режим) и закрывает лазейку.
Подписывайтесь на нас в социальных сетях — там еще много интересного.