Добавить в корзинуПозвонить
Найти в Дзене
Root без прав
1 подписчик

ТСПУ: Хранитель или цензор? Разбор системы, которая решает, какой сайт откроется, а какой — нет

1
6 мин
ТСПУ (Технические средства противодействия угрозам) — это не один компьютер и не одна программа. Это распределенная государственная сеть оборудования, врезанная в интернет-магистрали всех российских операторов связи. Оборудование поставляют вендоры из «списка доверенных» (в основном отечественные компании — НСПК, «АМТ-ГРУП», «БУЛЛАТ», «МФИ Софт» и другие). Устанавливается оно за счёт операторов связи. Главный центр управления ТСПУ находится в подведомственной организации РКН — ФГУП «Главный радиочастотный центр» (ГРЧЦ). Туда стекается информация со всего оборудования. В ТСПУ загружают список IP-адресов, которые нужно заблокировать. Оборудование просто не пропускает пакеты на эти адреса. Уровень перехвата: сетевой (L3). Плюсы: простота, дешевизна, не требует анализа содержимого.
Минусы: если на одном IP хостится 1000 сайтов — блокируются все 1000, включая легальные. Этот метод использовали в начале 2010-х. Сейчас он считается устаревшим. Когда ты вводишь сайт, браузер отправляет DNS-зап
Оглавление

Часть 1. Что такое ТСПУ на самом деле

ТСПУ (Технические средства противодействия угрозам) — это не один компьютер и не одна программа. Это распределенная государственная сеть оборудования, врезанная в интернет-магистрали всех российских операторов связи.

Оборудование поставляют вендоры из «списка доверенных» (в основном отечественные компании — НСПК, «АМТ-ГРУП», «БУЛЛАТ», «МФИ Софт» и другие). Устанавливается оно за счёт операторов связи.

Главный центр управления ТСПУ находится в подведомственной организации РКН — ФГУП «Главный радиочастотный центр» (ГРЧЦ). Туда стекается информация со всего оборудования.

Часть 2. Подробно о методах фильтрации трафика

Метод 1. Блокировка по IP (самый грубый)

В ТСПУ загружают список IP-адресов, которые нужно заблокировать. Оборудование просто не пропускает пакеты на эти адреса.

Уровень перехвата: сетевой (L3).

Плюсы: простота, дешевизна, не требует анализа содержимого.
Минусы: если на одном IP хостится 1000 сайтов — блокируются все 1000, включая легальные.

Этот метод использовали в начале 2010-х. Сейчас он считается устаревшим.

Метод 2. Блокировка по домену (DNS-фильтрация)

Когда ты вводишь сайт, браузер отправляет DNS-запрос: «Где находится youtube.com?». ТСПУ подменяет ответ и возвращает IP-адрес своего сервера с заглушкой.

Уровень перехвата: DNS-уровень.

Работает только если ты используешь DNS-сервер провайдера. Как только ты ставишь Cloudflare DNS (1.1.1.1) или Google DNS (8.8.8.8) — ТСПУ не может подменить ответ.

Поэтому сейчас этот метод вспомогательный.

Метод 3. DPI (Deep Packet Inspection) — основной и самый мощный

Как работает:

ТСПУ анализирует каждый пакет, проходящий через него в реальном времени (на скоростях 100 Гбит/с и выше). Он смотрит не только на IP и порты, но и внутрь данных.

Что ищет DPI:

  1. SNI (Server Name Indication) — название сайта внутри HTTPS-запроса. Даже при зашифрованном соединении браузер в первом пакете сообщает серверу: «я хочу соединиться с youtube.com». ТСПУ перехватывает этот пакет и видит название сайта.
  2. Шаблоны URL — например, */politic/* или */opposition/*. Если в адресе есть ключевое слово — блок.
  3. Хеши сертификатов — у каждого сайта свой цифровой сертификат. ТСПУ может сравнивать хеш сертификата с чёрным списком.
  4. Сигнатуры протоколов — например, трафик Telegram имеет характерные маркеры MTProto. DPI их узнаёт и начинает замедлять.
  5. Регулярные выражения — гибкие шаблоны для поиска запрещённого контента даже внутри зашифрованных потоков (если ТСПУ удалось получить доступ к расшифрованным данным).

Что DPI не может сделать (пока):

  • Расшифровать HTTPS без специального сертификата (массово это не внедрено, только точечно).

Часть 3. Куда именно врезается ТСПУ

ТСПУ устанавливается на каждом крупном узле связи:

  1. Точки обмена трафиком (MSK-IX, СПб-IX, другие). Там встречаются магистрали всех операторов.
  2. ЦОДы и узлы доступа операторов связи (МТС, Билайн, Мегафон, Ростелеком, ТТК, ЭР-Телеком).
  3. Магистральные маршрутизаторы на крупных узлах агрегации.
  4. PON-агрегаторы (для домашнего интернета).
  5. GGSN/PGW у мобильных операторов (для сотовой связи).

Фактически весь трафик, идущий от любого пользователя в России, проходит через ТСПУ как минимум 1-2 раза.

Ни один оператор не может отказаться. При отказе РКН аннулирует лицензию на оказание услуг связи.

Часть 4. Как ТСПУ управляется (Закон о «суверенном рунете» — ФЗ-90, ФЗ-276)

По закону, РКН (Роскомнадзор) может в любой момент централизованно управлять ТСПУ. Это называется «Централизованное управление сетью связи общего пользования».

Что РКН может сделать кнопкой:

  • Внести сайт в реестр запрещённых — и через 5 минут он заблокирован у всех провайдеров.
  • Замедлить трафик конкретного протокола (например, QUIC, который использует YouTube).
  • Ограничить доступ к зарубежным CDN (облачным сетям доставки контента).
  • Включить «режим блокировки» для всех операторов без их участия.

Проверка работоспособности: раз в год проводятся учения по отключению рунета от глобального интернета (с имитацией блокировок). В 2024 году такие учения прошли успешно, говорят официальные лица.

Часть 5. Как блокируется Telegram

Telegram — самый сложный противник для ТСПУ.

Что делает Telegram, чтобы жить:

  1. MTProto — свой протокол, который маскируется под обычный HTTPS. DPI не сразу понимает, что это Telegram.
  2. Смена IP-адресов — Дуров постоянно добавляет новые IP, на которых «висит» Telegram.
  3. Прокси и шедоу-прокси — встроенная поддержка SOCKS5 прокси, а также собственные прокси-сервера. Пользователи и компании ставят прокси, Telegram через них живёт.
  4. Постоянная эволюция DPI-обходов — разработчики Telegram в ответ на новые алгоритмы ТСПУ обновляют клиенты с новыми методами маскировки.

Что делает ТСПУ:

  • Анализирует SNI — но MTProto не отдаёт SNI как обычный HTTPS.
  • Анализирует длины пакетов и временные метки — у Telegram есть характерный паттерн.
  • Использует адаптивные алгоритмы — DPI учится на ходу и со временем распознаёт даже замаскированный трафик.
  • Применяет замедление, а не блокировку. Telegram начинает тормозить, но не падает полностью.

Итог: Telegram работает, но с перебоями. Особенно страдает загрузка видео и фото. Сообщения приходят, но с задержкой.

Часть 6. Как замедляют YouTube.

YouTube — самый сложный с точки зрения объёма трафика. Просто заблокировать YouTube — значит получить миллионы жалоб. Поэтому ТСПУ использует селективное замедление.

Методы замедления YouTube:

  1. Лимитирование скорости по IP-адресам Google. ТСПУ пропускает пакеты от YouTube, но лимитирует скорость до 128-256 кбит/с. Видео грузится 10 минут вместо 1 минуты.
  2. Сброс пакетов с определённым TTL. YouTube использует протокол QUIC (быстрее, чем TCP). ТСПУ не блокирует QUIC, а сбрасывает часть пакетов — видео начинает переподключаться, буферизация, ошибка.
  3. Политика «красной строки» — замедление происходит не у всех пользователей одновременно, а выборочно. Алгоритм выбирает случайные IP и замедляет их на 1-2 часа, потом меняет. Пользователь не понимает, «почему у всех работает, а у меня нет».
  4. Блокировка CDN-серверов — YouTube раздаёт видео через тысячи серверов по всему миру. ТСПУ находит и замедляет те, которые дают наилучшую скорость российским пользователям. Трафик уходит на более медленные сервера в Европе или Азии.

Результат: YouTube работает, но смотреть в Full HD и выше невозможно. Пользователь переходит на VK Video или Rutube.

Часть 7. Как ТСПУ влияет на игроков и гейминг

Онлайн-игры (Dota, CS, Valorant, World of Tanks) также страдают.

Проблемы:

  • Высокий пинг (задержка) из-за того, что пакеты проходят через DPI + замедление.
  • Потеря пакетов (packet loss) — DPI сбрасывает часть трафика как «подозрительный».
  • Ошибки соединения при использовании нестандартных портов.

Что делают разработчики:

  • Wargaming (World of Tanks) перенёс сервера в Россию — пинг низкий, ТСПУ почти не мешает.
  • Valve (Dota, CS) сервера за границей — пинг высокий.

Часть 8. Чего ТСПУ не может даже теоретически (пока)

  1. Расшифровать HTTPS массово. Для этого нужно, чтобы каждый пользователь установил сертификат РКН. Никто в здравом уме не делает этого без принуждения.
  2. Читать сообщения в Telegram. Сами сообщения защищены сквозным шифрованием. ТСПУ видит только факт отправки, но не содержание.
  3. Заблокировать Tor в полной мере. Tor использует сложную маршрутизацию. ТСПУ может замедлить его, но полностью отключить — нет.
  4. Остановить миллионы пользователей с VPN. Технически можно, но политически сложно — полная блокировка VPN отрежет от работы целые компании и банки.

Часть 9. Что будет дальше? Прогноз на 2027

Тренды развития ТСПУ:

1. Повсеместное внедрение DPI с машинным обучением. Нейросети научат распознавать даже замаскированный трафик.

2. Появление отечественных CDN для зарубежного контента. Крупные компании будут вынуждены переносить сервера в Россию либо отдавать трафик через российских посредников.

  1. Обязательная установка приложения «Госуслуги» с сертификатом для «безопасного интернета». Это технически даст ТСПУ возможность расшифровывать HTTPS на телефонах (через установленный сертификат). Пока не внедрено.
  2. Отключение от глобального интернета в «экстренных случаях» — учения уже проходят. Реально ли это? Да, технически ТСПУ может полностью отрезать рунет за 30 минут. Вопрос: зачем и когда.

Заключение.

ТСПУ — это достоверность, с которой мы живём. Это не хорошо и не плохо. Это как погода — её не выбирают, к ней адаптируются.

ТСПУ не всесильно. Человек умнее машины, если знает, как она работает.

Подпишись на «Root без прав» — будем следить за изменениями и рассказывать, как не попасть впросак.

Root без прав, но с головой.