Найти в Дзене
Дневник ITшника
49,8 тыс подписчиков

Бесконечная битва. Разбираем как устроены блокировки интернета в России

1436
2 мин
За последние пару лет Роскомнадзор заблокировал YouTube, Instagram* (запрещена в РФ), Discord и даже соцсеть для любителей пива, что действительно обидно. Активно вводятся ограничения за использование, продажу и рекламу VPN. Старые протоколы, такие как WireGuard, отваливаются один за другим. Чтобы понять, возможно ли в принципе заблокировать всё, нужно разобраться в механизмах фильтрации. В систему обмена данными вмешивается компонент под названием ТСПУ — техническое средство противодействия угрозам. Это оборудование, которое Роскомнадзор ставит на сетях операторов по всей стране. Таких «ТСПУшек» больше 5000. Работает система на базе технологии DPI (Deep Packet Inspection), что означает «глубокое инспектора пакетов». Она буквально заглядывает внутрь пакета и смотрит, что у него внутри. Для уменьшения нагрузки рассматриваются только первые пакеты, участвующие в установке соединения. ТСПУ выполняет наборы эвристик — алгоритмов, которые позволяют получить приемлемую точность за короткое
Оглавление

Как блокируют интернет и как работают современные способы обхода

За последние пару лет Роскомнадзор заблокировал YouTube, Instagram* (запрещена в РФ), Discord и даже соцсеть для любителей пива, что действительно обидно.

Активно вводятся ограничения за использование, продажу и рекламу VPN. Старые протоколы, такие как WireGuard, отваливаются один за другим. Чтобы понять, возможно ли в принципе заблокировать всё, нужно разобраться в механизмах фильтрации.

Техническое средство противодействия угрозам (ТСПУ)

В систему обмена данными вмешивается компонент под названием ТСПУ — техническое средство противодействия угрозам. Это оборудование, которое Роскомнадзор ставит на сетях операторов по всей стране. Таких «ТСПУшек» больше 5000.

Система нормального интернета
Система нормального интернета
Система интернета с ТСПУ
Система интернета с ТСПУ

Работает система на базе технологии DPI (Deep Packet Inspection), что означает «глубокое инспектора пакетов». Она буквально заглядывает внутрь пакета и смотрит, что у него внутри. Для уменьшения нагрузки рассматриваются только первые пакеты, участвующие в установке соединения. ТСПУ выполняет наборы эвристик — алгоритмов, которые позволяют получить приемлемую точность за короткое время. При этом методы могут различаться в зависимости от региона, провайдера и версии прошивки устройства. Для провайдера это «черный ящик», к которому есть доступ только у регулятора.

-4

Эволюция методов блокировки

Во времена первых блокировок Телеграма использовался самый примитивный способ — блокировка IP-адресов. Однако Telegram легко менял хостинги, перемещаясь с Google Cloud на Azure. В результате под блокировку попадали миллионы адресов популярных сервисов, из-за чего страдали онлайн-магазины, банки и кассы.

-5

-6

Сейчас используется более заумный способ — блокировка по Client Hello. Это первый пакет при установке соединения, который идет в незашифрованном виде. В нем содержится расширение SNI (Server Name Indication) — домен, на который отправляется запрос. Системе достаточно прочитать это поле, чтобы разорвать соединение.

-7

Другой метод — цифровой отпечаток клиента (JA3 или JA4). Это совокупность данных о версии TLS, алгоритмах шифрования и списках разрешений, которые прогоняются через хеш-функцию. Старые VPN отвалились во многом из-за того, что их отпечатки давно занесены в базы.

-8

Итог: игра в «кошки-мышки»

Процесс блокировок превратился в бесконечную игру, где одни пытаются найти обход, а другие — быстро его закрыть. В этих реалиях разговоры о полной «чебурнетизации» интернета звучат как «воздуханство».

-9

Однако теперь пользователю приходится выбирать: либо постоянно ковыряться в настройках конфигов и мониторить инфополе, либо искать готовые решения, жертвуя приватностью ради удобства.

*Instagram - принадлежит экстремисткой организации Meta, деятельность которой запрещена в РФ

6