Роскомнадзор планирует значительно повысить эффективность ограничения доступа к средствам обхода блокировок. К 2030 году ведомство рассчитывает блокировать до 92% VPN-сервисов в России за счет использования сигнатур. Сигнатуры — это отличительные особенности и повторяющиеся признаки разных VPN-протоколов, по которым системы анализа трафика распознают подключение.
Что такое VPN-протокол
VPN-протокол представляет собой набор правил, определяющих, как устройство общается с VPN-сервисом. Эти правила регулируют обмен ключами, шифрование данных и вид, в котором пакеты передаются по сети. При подключении создается общее шифрование, скрывающее IP-адрес пользователя и посещаемые им домены от провайдера, который видит лишь подключение к конкретному серверу.
Протоколы определяют формирование пакетов, частоту служебных сообщений, обновление ключей и используемый транспортный протокол — TCP или UDP:
- TCP (Transmission Control Protocol) сначала устанавливает соединение, следит за порядком пакетов и подтверждает доставку. Это надежный, но более медленный транспорт.
- UDP (User Datagram Protocol) работает быстрее, без установления соединения и гарантий порядка доставки, поэтому его часто применяют в стриминге, голосовой связи и некоторых VPN-протоколах.
Форма пакетов, их размеры, последовательность и тайминги образуют уникальный узор — сигнатуру (отпечаток протокола в трафике). Российские системы глубокого анализа трафика (DPI) используют эти отпечатки для обнаружения и блокировки VPN.
От OpenVPN до VLESS
Изначально VPN создавались для корпоративных офисных сетей. В начале нулевых появился OpenVPN — открытый протокол, строящий шифрованный туннель поверх TLS. Он позволял использовать как UDP, так и TCP, обеспечивая баланс скорости и безопасности. Долгое время он оставался стандартом для коммерческих сервисов, но его отличали длинный код, сложные конфигурации и легко узнаваемая сигнатура.
В качестве противоположности был разработан WireGuard — протокол с минимальным кодом, современным шифрованием, работающий в ядре Linux и использующий только UDP. Он удобен для мобильных устройств, однако имеет жесткую фиксированную структуру пакетов и характерный UDP-почерк, из-за чего легко обнаруживается системами DPI.
С внедрением глубокого анализа трафика в разных странах базовые OpenVPN и WireGuard начали массово блокироваться. Решением стала обфускация — маскировка трафика под обычный. На базе проекта V2Ray, созданного в середине десятых годов, в 2020 году появился протокол VLESS. Его идеология заключается в простоте: из него убрали лишние слои шифрования, оставив минимальную аутентификацию, а маскировку перенесли на внешний транспорт.
Современным развитием этого подхода стало комбинирование VLESS и технологии Reality в рамках проекта X-Ray. Reality представляет собой модифицированный TLS, который полностью копирует внешний вид, поведение, рукопожатие и сертификаты реального легального сайта, делая соединение неотличимым для систем DPI.
Развитие технологий блокировок
Блокировки постоянно эволюционируют, и одного хорошего протокола или метода обфускации уже недостаточно — обход ограничений требует совокупности разных технических решений.
Ведомства меняют подходы: сейчас ведется борьба с каскадными VPN-туннелями, которые сначала подключаются к российскому серверу, а затем к зарубежному. Для отслеживания нежелательного трафика активно внедряются искусственный интеллект и технологии машинного обучения. Несмотря на технические усложнения со стороны систем контроля трафика, разработчики инструментов обхода продолжают создавать новые защищенные решения для сохранения сетевой связности.