Блокировки интернета в России - тема болезненная, все говорят о них, но мало кто разбирается в том, что за ними стоит. Почему один и тот же сайт у кого-то открывается, а у кого-то нет? Почему в Москве работает, а в Дагестане - нет?Ответ кроется в двух аббревиатурах: ТСПУ и DPI. О них и пойдёт речь.
Что такое ТСПУ
ТСПУ - технические средства противодействия угрозам. Если коротко - это коробки с железом, которые стоят у вашего интернет-провайдера и в реальном времени просматривают весь проходящий трафик.
В 2019 году в России приняли закон о "суверенном интернете". По нему каждый оператор связи обязан поставить у себя такое оборудование. Государство оплачивает — операторы устанавливают.
Производят его российские компании: "Экофильтр", "Норси-Транс", «Эшелон».
Провайдер при этом не управляет этим оборудованием. Доступ к настройкам есть только у Роскомнадзора. Оператор видит, что коробка стоит, но не знает, по каким правилам она работает. Роскомнадзор может менять конфигурацию дистанционно - для разных регионов и операторов по отдельности.
Единых настроек для всей страны нет. У разных операторов разные версии прошивок, разные правила, разные сроки обновлений. Поэтому у вашего соседа с другим провайдером тот же сайт может открываться, а у вас - нет.
Что делает DPI
DPI - Deep Packet Inspection, глубокая проверка пакетов. Это технология, которую использует ТСПУ.
Чтобы понять, как она работает, представьте почтовое отделение. Обычный маршрутизатор - сортировщик, который читает адрес на конверте и отправляет его в нужный город. Его не интересует, что внутри. Он смотрит на адрес (IP-адрес) и номер квартиры (порт).
DPI - сортировщик, который вскрывает конверт и читает письмо. Он анализирует содержимое: какой сайт вы запрашиваете, каким браузером пользуетесь, какой протокол связи используете.
Но есть проблема для DPI. Большая часть современного интернет-трафика зашифрована. Представьте, что письмо написано шифром. DPI видит конверт, видит его толщину, но прочитать содержимое не может.
Что DPI всё-таки может прочитать
Когда ваш браузер подключается к сайту, он сначала "здоровается" с сервером. Этот первый пакет называется Client Hello, и он отправляется до того, как включится шифрование.
Внутри этого пакета есть поле SNI - Server Name Indication. Проще говоря, это имя сайта в открытом виде. Ваш браузер говорит серверу: "Привет, я хочу попасть на google.com". DPI это видит.
Помимо имени сайта, в этом первом пакете передаётся набор технических параметров: какие алгоритмы шифрования поддерживает клиент, какую версию протокола использует, какие расширения включены. Всё это - без шифрования.
Есть технология ECH (Encrypted Client Hello), которая шифрует имя сайта в этом пакете. Её поддерживает, например, Cloudflare - компания, которая обеспечивает "половину мирового интернета". Но реакция DPI предсказуема: если пакет нельзя прочитать - соединение разрывается. Логика простая: "не могу проанализировать — значит подозрительно".
Два режима работы
О режимах работы ТСПУ мы можем судить косвенно, но скорее всего они выглядят так:
- пассивный режим. Оборудование подключено к сети "параллельно" и копирует трафик для анализа. Если находит что-то запрещённое - отправляет вашему компьютеру поддельный сигнал разрыва, якобы от имени сервера. Вы видите ошибку "соединение сброшено" и думаете, что сервер завис.
- активный режим. Оборудование стоит прямо на пути трафика и блокирует пакеты напрямую - они до вас не доходят.
Как DPI узнаёт, что кто-то использует VPN
Даже если трафик зашифрован, DPI может определить, использование VPN сервисов. Для этого он использует "отпечатки пальцев" - TLS-фингерпринтинг.
Работает это так. Тот самый первый пакет Client Hello у каждой программы выглядит немного по-разному. Chrome отправляет один набор параметров, Firefox - другой, а VPN-клиент - третий. Алгоритм JA3 (появился в 2017 году) собирает эти параметры, склеивает в строку и вычисляет из неё уникальный код - хэш. Получается "отпечаток", по которому можно узнать программу.
Отпечатки популярных VPN-клиентов давно занесены в базы DPI. Старые VPN перестают работать не потому, что кто-то заблокировал их IP-адрес, а потому что DPI узнаёт сам протокол.
В 2023 году появился обновлённый алгоритм JA4 - он точнее различает клиенты, из-за чего перестали работать многие бесплатные VPN-сервисы.
Блокировка по хостингу
А еще ТСПУ умеет блокировать не конкретные сайты, а целые хостинги - "подозрительные районы интернета".
У каждого хостинга есть свой номер-идентификатор - ASN. Система берет на карандаш хостинги, на которых часто размещают VPN-серверы, и если ваш трафик идёт к серверу на таком хостинге, а первый пакет не похож на обычный браузер - соединение может разорваться. Иногда на 10–30 минут, даже если конкретный IP-адрес ни в каком списке не числится.
Почему ТСПУ иногда "ломается"
ТСПУ - это в первую очередь физическое оборудование. У него есть процессор, память и пропускная способность. Когда трафика больше, чем железка может обработать, она начинает захлёбываться.
Представьте, что на проходной стоит один охранник, а через него пытаются пройти десять тысяч человек одновременно. Он не может проверить каждого - и вынужденно пропускает всех подряд.
То же самое с ТСПУ. При перегрузке оборудование снижает глубину анализа. В такие моменты заблокированные сайты открываются без VPN.
Ложные срабатывания
DPI ошибается в обе стороны: пропускает запрещённое и блокирует разрешённое.
Второе происходит регулярно. Под раздачу попадают корпоративные VPN компаний, обновления программ, платёжные системы, "умные" домашние устройства, камеры видеонаблюдения. Для ТСПУ пакет данных - это пакет данных. Оборудование не отличает банковскую транзакцию от запрещённого контента, если оба проходят через один IP-адрес.
Мобильные операторы
Почему в целом стали тестировать масштабные блокировки именно на них?Четыре крупных мобильных оператора покрывают 95% мобильного трафика страны. Проводных провайдеров сотни, а мобильных - четыре. Установить ТСПУ на их сетях проще.
Но мобильный трафик чувствительнее к задержкам. Дома за компьютером лишняя секунда загрузки может пройти незаметно. Оплата покупки в метро, которая зависает из-за фильтрации - это другая история.
Весь мобильный трафик проходит через несколько крупных узлов. ТСПУ на таком узле обслуживает десятки миллионов абонентов. Поэтому мобильных операторов тестируют отдельно, с другими настройками.
Гонка вооружений
Одно можно утверждать точно: пока РКН совершенствует свои технологии и ТСПУ учится распознавать протоколы по отпечаткам, разработчики инструментов обхода меняют поведение своих программ. Роскомнадзор обновляет сигнатуры. Разработчики адаптируются снова.
Этот цикл продолжается, и конца у него не видно.