Каждые пару месяцев кто-то из уважаемых выступает с инициативой: «Запретить все VPN! Навсегда! Чтобы вообще никто не мог пользоваться!» Звучит грозно. Телеграм-каналы перепечатывают. Народ качает головой и... продолжает пользоваться.
Почему так? Давайте разберем технически, но без матчасти из десяти томов.
Что такое VPN вообще?
Если совсем просто: VPN — это туннель. Ваш интернет-трафик заворачивается в шифрованный пакет и летит через сервер в другой стране. Для провайдера это выглядит как нечитаемый набор данных, отправленный на какой-то IP-адрес.
Шаг первый, который все предлагают: заблокировать IP-адреса VPN-серверов.
Казалось бы, логично. Составляем реестр, блокируем. Готово.
Не готово. Потому что VPN-серверов — сотни тысяч. Они находятся в десятках стран. Меняются каждый день. Появляются новые. Пока Роскомнадзор занесет в реестр тысячу адресов, их уже пятьдесят тысяч. Это как пытаться вычерпать океан ложкой.
Шаг второй: DPI, глубокая инспекция трафика.
Технология есть. Устанавливается у провайдеров. Анализирует не просто адрес, а паттерны трафика — размер пакетов, частоту запросов, поведенческие характеристики.
Проблема? Современные VPN маскируются. OpenVPN через TCP 443 порт выглядит точь-в-точь как обычный HTTPS-трафик. То есть как поход на любой сайт — банк, почту, госуслуги. Чтобы заблокировать такой трафик, нужно либо:
- а) блокировать весь HTTPS (интернет перестанет работать)
- б) расшифровывать весь трафик (для этого нужно взломать шифрование, которое защищает ваши банковские транзакции)
Вариант в) — поставить на входе в страну «квантовый компьютер» и расшифровывать всё. Таких компьютеров не существует в промышленном масштабе. И вряд ли появятся завтра.
Шаг третий: запретить протоколы.
Можно попробовать определять и блокировать конкретные протоколы — WireGuard, OpenVPN, IKEv2.
VPN-сервисы отвечают: «Окей, вот вам обфускация». Трафик шифруется дважды. Первый слой маскирует VPN под обычный веб-трафик. Второй слой — само VPN-соединение. DPI видит HTTPS. Пропускает. А внутри — тот самый запрещенный VPN.
Шаг четвертый, ядерный: контроль всего трафика на уровне handshake.
Теоретически можно попытаться анализировать начальные рукопожатия (handshake) — момент, когда клиент и сервер договариваются о параметрах соединения. У каждого протокола есть свои «отпечатки».
Практически? Протоколы эволюционируют. VLS, Rlt, NProxy — новые методы появляются быстрее, чем пишутся нормативные акты под них. И каждый новый метод выглядит как легитимный трафик Google, Cloudflare или Amazon.
А теперь главный вопрос: почему Китай смог?
Вопрос, который мне задают чаще всего. У Китая же получилось.
Получилось — это громко. Великий фаервол существует, работает, но и в Китае VPN пользуются миллионы. Разница в масштабах ресурсов. Китай тратит на это миллиарды долларов и армию инженеров. У них полный контроль над интернет-инфраструктурой внутри страны. Каждый роутер, каждый узел — под контролем. И даже при этом периодически «прорывает».
Что нужно было бы сделать для 100% блокировки:
1. Полный контроль над всей интернет-инфраструктурой страны — от магистральных каналов до домашнего роутера
2. Квантовые компьютеры для взлома шифрования в реальном времени (которых еще нет)
3. Запретить весь HTTPS-трафик или создать национальный интернет без шифрования
4. Контролировать каждый пакет данных на границе страны
5. Запретить владение любыми серверами за рубежом
Знаете, что объединяет все эти пункты? Их невозможно реализовать, не уничтожив сам интернет как таковый.
Так что же, ничего нельзя сделать?
Можно. Но не технически. Юридически и экономически. VPN-сервисы — это бизнес. Они подчиняются законам стран, где зарегистрированы. Можно требовать удаления конкретных сервисов из магазинов приложений. Можно блокировать оплату VPN на территории страны. Можно вводить ответственность за распространение информации об обходных методах.
Но полностью запретить? Нет. Потому что VPN — это не конкретная программа. Это математика. Это шифрование. Это туннель, который можно проложить через что угодно, включая разрешенные сервисы.
И пока есть спрос — а он есть, пока люди хотят доступа к заблокированному контенту — будет и предложение. Технологии обхода всегда на шаг впереди технологий блокировки. Так было с BBS в СССР, так было с FidoNet, так будет и с VPN.
Можно беситься по этому поводу. А можно признать: интернет задумывался как сеть, устойчивая к повреждениям и цензуре. И он таким остался.
Или вы думаете иначе?