Опять этот вечный бой, где мы с вами, админы, вроде как цензурные собаки, а они, пользователи, — благородные рыцари цифрового сопротивления. Усмехаюсь в бороду, глядя на графики утилизации канала в три часа ночи. Там не аномалия, там карнавал. Словно кто-то решил перегнать архив «Игры Престолов» через порт, который должен обслуживать только чеки с кассового аппарата в пятерочке.
MTProxy. Опять он.
Знаете, что самое смешное в этой вечной истории с «неуязвимым» проксированием Телеграма?
Разработчики этого чуда искренне верят, что они изобрели шапку-невидимку. По факту же это дядька в плаще, который так увлекся маскировкой, что забыл спрятать свои фирменные кроссовки с подсветкой.
Давайте без лирики. MTProxy — это не тёмная магия. Это софт. А любой софт, каким бы хитрым он ни был, оставляет цифровые отпечатки. Есть один миф, в который до сих пор верят админы со стажем:
«Он же на 443-м порту сидит, как HTTPS, я его не трону, а то весь отдел бухгалтерии взвоет». Не тронешь, ага. А почему вы тогда не трогаете порт 59321, который слушает какой-то левый сервер на периферии сети?
Вся соль в том, что MTProxy скачет по портам, как блоха по боксёрской груше. Теоретически он может использовать любой TCP/UDP от 2 до 65535. Серьёзно, второй порт? Кто в 2026-м вообще держит на нём что-то живое? Никто. Но они могут. И они делают. По факту же они предпочитают прятаться там, где у админа глаз начинает дёргаться неконтролируемо: 80, 443, 8080. Старая как мир тактика — прийти на бал в костюме официанта, чтобы никто не заподозрил, что ты здесь не для того, чтобы разносить шампанское.
И вот тут они начинают сыпаться. На рукопожатии.
Смотрите. Когда вы звоните нормальному человеку, он говорит «Алло». Когда вы стучитесь в нормальный TLS-сервер, он начинает TLS Handshake: ClientHello, ServerHello, обмен сертификатами, всё чинно, по регламенту, как в учебнике Стюарта. А MTProxy? Он начинает с того, что плюёт вам в лог четырьмя байтами.
Четыре байта. 0x44433332.
Или что-то до боли похожее. По-простому, в ASCII, это «DC32». Вы только вдумайтесь. Вы шифруете весь трафик под белый шум, используете AES-256, пляшете с бубном вокруг ключей, но в самых первых четырёх байтах нового соединения вы оставляете свою подпись. Это как грабителю прийти в банк в маске, но визитку оставить на стойке.
Раньше это работало безотказно. Ставишь правило в DPI: «Поймал TCP SYN? Ждём первые 4 байта payload. Видишь 44 43 33 32? Дропай, не глядя». Всё. Прокси захлебнулся. Конечно, авторы не сидели сложа руки. Они начали рандомизировать эти байты. Сегодня это 44 43 33 32, завтра `DE AD BE EF», послезавтра что-то ещё. Но сам паттерн, сама суть процедуры никуда не делась.
Визуально трафик MTProxy — это хаос. Да, энтропия там зашкаливает, биты прыгают как сумасшедшие.
Но обычный HTTPS, даже в зашифрованном туннеле, имеет определённую структуру. У него есть фиксированные длины записей, определённые тайминги, предсказуемое поведение пакетов при установлении соединения. MTProxy же — это пулемётная очередь из чистого шума. Вы посмотрите на статистику потока, и разница бросится в глаза. Обычный веб-сёрфинг дышит: короткий запрос, пауза, ответ, опять пауза, подгрузка скриптов. MTProxy — это часто ровный, монотонный поток, который либо выжирает канал под ноль, либо тупо висит в ожидании данных, как манекен в витрине заброшенного магазина.
Поэтому если вы всё ещё ломаете голову, как прикрыть эту лавочку, перестаньте банить IP-адреса Ркн.
Это борьба с ветряными мельницами. Их (телеграмовские) подсети меняются быстрее, чем вы допиваете утренний кофе.
Смотрите глубже. В сами пакеты. DPI вам в руки. Ищите отклонения в процедуре handshake. Да, магические числа теперь могут быть любыми, но они всё равно будут отличаться от настоящего TLS.
Нормальный TLS хаотичен, но предсказуем в своих правилах. MTProxy — это просто рандом, завёрнутый в бумажку от шаурмы.
А ещё есть старый, проверенный временем метод «удушение в объятиях». Не баньте. Просто урежьте скорость для подозрительных сессий до 32–64 килобит в секунду. Хотите убедиться, что это именно прокси? Ограничьте. Если это бухгалтер Марь Ивановна зашла в онлайн-банк, она разницы даже не заметит, её транзакции весят килобайты. Если это MTProxy-клиент, который пытается прогрузить ленту с мемами — он просто отвалится по таймауту. Прокси не терпит задержек, он задыхается на низкой скорости.
В общем, не верьте в сказки про абсолютную невидимость. В сети невидимых не бывает. Бывает только кто-то лучше красится, а кто-то приходит на встречу с новым лицом, но забывает сменить голос. Эти первые четыре байта, эта странная энтропия, эти тайминги — это их голос. Слышите его Ркн?.
И делайте выводы. ;-)