В последние недели в русскоязычных тех-чатах появилось странное чувство дежавю. Люди пишут одно и то же, но в разных формулировках:
«умер MTProto», «вчера всё работало», «GoodbyeDPI больше не спасает», «всё режется, как будто по шаблону».
Такие всплески обычно быстро затухают. Пару дней паники — и находится обход. Но сейчас история затянулась. И, что важнее, она выглядит не как единичный сбой, а как системное изменение правил игры.
Меня в этой истории цепляет не сам факт блокировок — к этому все давно привыкли. А характер происходящего. Он стал... аккуратнее. И в каком-то смысле умнее.
Не массовое отключение, а точечная хирургия
Если верить наблюдениям пользователей и администраторов, отваливаются не все подряд VPN или прокси. Умирают именно те, которые раньше считались «живучими»:
- MTProto-прокси Telegram
- решения с маскировкой под HTTPS
- кастомные туннели вроде TCP-RAW
- инструменты уровня GoodbyeDPI
И вот это уже интересно. Потому что раньше блокировки работали грубее: IP в бан, диапазон в бан, сервис в бан. Иногда вместе с половиной интернета.
Сейчас поведение другое. Соединение может:
- устанавливаться, но не передавать данные
- работать несколько минут и отваливаться
- вести себя по-разному в зависимости от региона
Это уже похоже не на «запретить», а на «распознать и задушить».
История про «уязвимость MTProto» — звучит громко, но пахнет упрощением
В публикациях всплыла формулировка, которая быстро разлетелась:
«РКН нашёл уязвимость в MTProto»
Честно — я в это не верю в буквальном смысле.
Если бы речь шла о настоящей криптографической уязвимости, последствия были бы другими:
- Telegram пришлось бы срочно обновлять протокол
- были бы технические отчёты
- подключились бы международные исследователи
Ничего этого нет.
Зато есть более приземлённое объяснение. И оно, на мой взгляд, куда правдоподобнее:
«Никто ничего не ломал. Просто научились лучше узнавать, что перед ними MTProto».
Это не так эффектно звучит. Но зато совпадает с наблюдаемой картиной.
DPI вырос. И это уже не тот DPI, что был раньше
Когда несколько лет назад говорили про DPI (Deep Packet Inspection), чаще всего имели в виду довольно примитивные вещи:
- анализ заголовков
- блокировка по домену
- простые сигнатуры
Сейчас уровень другой. И это чувствуется.
Современные системы умеют:
- анализировать поведение соединения, а не только его содержимое
- сопоставлять паттерны handshake
- выявлять аномалии в TLS
- строить вероятностные модели трафика
И вот здесь начинается самое неприятное.
Потому что большинство обходных решений держится на идее «замаскироваться под что-то нормальное». Под браузер, под HTTPS, под обычный трафик.
Но если система начинает смотреть не только на «как выглядит», а на «как ведёт себя» — маскировка начинает трещать.
История с «блокировкой Chrome» — не совсем про Chrome
Отдельно гуляет тезис про «блокировку fingerprint Chrome». Формулировка звучит почти комично. Как будто кто-то решил отключить браузер.
Очевидно, речь не об этом.
Скорее всего, происходит следующее:
- многие VPN и прокси пытаются имитировать TLS-поведение Chrome
- используют библиотеки вроде uTLS
- копируют JA3/JA4-fingerprint
И вот тут возникает проблема.
Имитация почти никогда не идеальна.
Чуть другой порядок пакетов.
Чуть странный тайминг.
Небольшое отклонение в handshake.
Человеку — незаметно.
Алгоритму — достаточно.
И если таких «почти Chrome» соединений становится много, их можно начать отличать от настоящих.
Не блокируя Chrome. А блокируя «плохие копии».
Потому что настоящий Chrome блокировать массово нельзя — пол-рунета ляжет.
Почему ломается именно MTProto
MTProto долго считался устойчивым именно потому, что:
- он не похож на обычный VPN
- использует собственную логику соединений
- может маскироваться под случайный трафик
Но у любой системы есть инварианты — вещи, которые она не может менять, не сломав себя.
У MTProto это:
- структура handshake
- поведение при установке соединения
- особенности шифрования и обмена ключами
Если накопить достаточно данных, эти паттерны можно начать узнавать.
Не гарантированно. Не идеально. Но с достаточной вероятностью.
А дальше — классическая схема:
не обязательно быть правым в 100% случаев, достаточно быть правым в 90%.
Остальные 10% — побочные жертвы.
GoodbyeDPI и прочие «анти-DPI» — почему они начали сдавать
GoodbyeDPI долго работал за счёт простого трюка: ломал ожидания DPI-систем.
- дробил пакеты
- менял порядок
- создавал «шум»
Это работало, пока DPI был жёстко запрограммирован.
Но если система становится адаптивной, она начинает:
- игнорировать шум
- восстанавливать поток
- анализировать статистику, а не отдельные пакеты
И тогда вся эта «магия» перестаёт быть магией.
Один из администраторов в чате сформулировал это довольно точно:
«Раньше мы ломали правила. Теперь правил больше нет — есть вероятности».
Что здесь по-настоящему важно (и немного тревожно)
Есть соблазн свести всё к очередной волне блокировок. Переживём, адаптируемся, найдём новый обход.
Возможно. Но есть нюанс.
Раньше гонка выглядела так:
- появился новый протокол
- его начали блокировать
- придумали новую маскировку
Теперь картина меняется.
Если блокировка строится на:
- анализе поведения
- статистике
- машинном обучении
то универсального обхода может просто не быть.
Каждое решение начинает «светиться» со временем. Не сразу. Но неизбежно.
И всё же — это не конец игры
Важно не перегнуть в другую сторону и не начать говорить, что «всё сломано навсегда».
Нет.
История с обходами всегда развивалась по спирали.
Любая система фильтрации:
- ограничена вычислительными ресурсами
- не может блокировать всё подряд
- боится ложных срабатываний
И это даёт пространство для манёвра.
Просто манёвр становится сложнее. И дороже.
Личное ощущение от происходящего
Если убрать шум новостей и громкие формулировки, остаётся довольно холодный вывод.
Ничего «сломали».
Никто не «взломал Telegram».
Просто уровень противостояния вырос.
И если раньше это была игра в прятки, где можно было надеть маску и затеряться в толпе, то теперь толпа стала прозрачной.
Ты всё ещё можешь спрятаться.
Но уже не так уверенно.
И ненадолго.
И, пожалуй, это главное изменение.