Speaker A
Все говорят о рабочих VPN, подходящих протоколах, но мало кто говорит о том, с чем, собственно, вообще идёт борьба.
Видео раскрывает работу DPI/ТСПУ, методы фильтрации трафика и способы обхода блокировок в России.
Key Takeaways
- ТСПУ — это физическое оборудование с программным обеспечением, управляющееся Роскомнадзором.
- DPI анализирует трафик на прикладном уровне, читая открытые части TLS-рукопожатия для блокировок.
- ECH не решает проблему обхода блокировок, а скорее вызывает подозрения и дроп соединения.
- TLS-отпечатки JA3/JA4 позволяют DPI распознавать VPN-протоколы независимо от IP-адресов.
- Перегрузка ТСПУ может временно ослаблять фильтрацию, позволяя обходить блокировки.
Summary
- Объяснение сути ТСПУ (технических средств противодействия угрозам) и их роли в фильтрации интернет-трафика.
- История внедрения ТСПУ в России с 2019 года и влияние на доступ к ресурсам.
- Технический разбор работы DPI на прикладном уровне (7 уровень OSI) и анализ TLS ClientHello.
- Проблемы DPI с шифрованием HTTPS и роль поля SNI в идентификации трафика.
- Технология ECH и реакция ТСПУ на её использование — дроп соединения.
- Использование TLS-отпечатков JA3 и JA4 для идентификации VPN и обхода блокировок.
- ASN-таргетинг как современная тактика блокировки VPN и сервисов.
- Различия в конфигурациях ТСПУ у разных операторов и влияние на работоспособность VPN.
- Перегрузка оборудования ТСПУ из-за большого объёма зашифрованного и фрагментированного трафика.
- Феномен временного обхода блокировок при перегрузке систем фильтрации.
Full Transcript — Download SRT & Markdown
Speaker A
Почему прокси или VPN работает одним, не работает другим, почему порой он вообще не нужен для доступа к запрещённым ресурсам, есть ли у фильтрации свои границы?
Speaker A
Это фундаментально некорректный подход — действовать от симптомов и не задумываться о корне проблемы. Корнем проблемы является, разумеется, ТСПУ или DPI, и сегодня именно о нём мы и поговорим. Будет много технических деталей, именно за этим вы, скорее всего, здесь и находитесь. Зовут меня Аркедес, тянуть не будем, погнали.
Speaker A
А перед началом расскажу о своём сервисе. Если тебе нужен рабочий домашний мобильный интернет, а не хобби с ночными логами и борьба со скручивающей доступ DPI-системой, воспользуйся моим сервисом по освобождению интернета с актуальными методами. Ссылка в описании и на экране.
Speaker A
Издавна нам свойственно думать, что блокировки — это список IP-адресов в реестре. Роскомнадзор добавил запись, сайт стал недоступен. Да, отчасти это так, но принцип изменился. Сейчас у каждого провайдера стоит физическое железо, которое читает твой трафик в реальном времени.
Speaker A
Называется это ТСПУ.
Speaker A
Окей, для начала.
Speaker A
Что это вообще такое?
Speaker A
ТСПУ расшифровывается как технические средства противодействия угрозам.
Speaker A
Красивое название для коробки, которая стоит в стойке у провайдера и фильтрует трафик по команде.
Speaker A
Это и есть ТСПУ.
Speaker A
В 2019 приняли закон о суверенном интернете.
Speaker A
Операторов и провайдеров обязали установить это железо за счёт государства.
Speaker A
Не попросили, а именно обязали.
Speaker A
Далее 2 года массово устанавливали у всех операторов.
Speaker A
В 21 году случился первый публичный тест.
Speaker A
Twitter замедлили до 40% скорости.
Speaker A
Тогда многие ещё думали, что это случайность.
Speaker A
А с 23 по 26 год прицельная охота на VPN-протоколы и увеличение числа заблокированных сервисов.
Speaker A
Важно, что ТСПУ — это не просто программа, это и физическое оборудование.
Speaker A
Очень мощные серверные стойки, способные пропускать и обрабатывать терабайты трафика ежесекундно.
Speaker A
А также набор программ, способных анализировать трафик по различным признакам.
Speaker A
У железа отечественные производители: ЭкоФильтр, Норси-Транс и Эшелон.
Speaker A
Стоят на узле у каждого лицензированного оператора.
Speaker A
И самое главное, провайдеры сами не имеют доступа к конфигурации.
Speaker A
Только Роскомнадзор.
Speaker A
Операторы буквально не знают, что там настроено, только догадываются.
Speaker A
И настройкой, и управлением занимаются специалисты Роскомнадзора.
Speaker A
Могут выборочно менять её и переключать в различных регионах у разных операторов.
Speaker A
Классическая модель OSI или ОSИ — семь уровней.
Speaker A
Обычные маршрутизаторы работают на третьем и четвёртом уровнях.
Speaker A
Смотрят IP-адрес назначения и порт.
Speaker A
Пересылает пакет дальше.
Speaker A
Это быстро, дёшево и легко масштабируется.
Speaker A
DPI, Deep Packet Inspection, лезет выше.
Speaker A
Седьмой уровень.
Speaker A
Это уже прикладной уровень, там живёт HTTP, DNS, TLS.
Speaker A
DPI не просто смотрит, куда идёт пакет, он залезает внутрь, читает содержимое.
Speaker A
Но у DPI есть фундаментальная проблема.
Speaker A
Весь интернет сейчас зашифрован с помощью HTTPS и TLS 1.3.
Speaker A
ClientHello.
Speaker A
Это первый пакет TLS-рукопожатия.
Speaker A
Он отправляется до шифрования.
Speaker A
DPI читает его свободно.
Speaker A
И внутри него в открытом виде есть поле SNI, Server Name Indication.
Speaker A
Имя домена.
Speaker A
Открытым текстом.
Speaker A
Вот тут DPI читает, куда ты идёшь.
Speaker A
Давай разберём структуру этого пакета.
Speaker A
TCP-заголовок.
Speaker A
TLS Record Header.
Speaker A
Потом ClientHello.
Speaker A
Затем тип сообщения.
Speaker A
Версия TLS-шифрования.
Speaker A
Далее случайные данные.
Speaker A
Дальше Cipher Suites.
Speaker A
Или список алгоритмов шифрования.
Speaker A
И расширения.
Speaker A
В расширениях SNI с именем сайта в открытом виде.
Speaker A
ALPN с поддерживаемыми протоколами.
Speaker A
Список эллиптических кривых.
Speaker A
И всё это до шифрования.
Speaker A
Это DPI читает свободно.
Speaker A
Есть технология ECH.
Speaker A
Encrypted ClientHello.
Speaker A
Cloudflare её поддерживает.
Speaker A
Она шифрует SNI.
Speaker A
Казалось бы, решение.
Speaker A
Но реакция ТСПУ на ECH — это просто дроп соединения.
Speaker A
Не могу прочитать, значит, подозрительно.
Speaker A
Превентивный дроп.
Speaker A
ECH не обходит блокировку, а скорее помечает тебя как подозрительного.
Speaker A
У него есть два режима работы.
Speaker A
Пассивный: стоит сбоку, подключён к коммутатору.
Speaker A
Копирует трафик и анализирует.
Speaker A
Если видит запрещённую сигнатуру, отправляет тебе фальшивые TCP-ресеты от имени сервера.
Speaker A
Ты думаешь, что сервер тебя отключил, но на самом деле это DPI подделал ответ.
Speaker A
Активный DPI стоит в разрыве канала.
Speaker A
Физически между тобой и интернетом.
Speaker A
Он может реально дропать пакеты без всяких подделок.
Speaker A
DPI видит шифрованный поток и не может прочитать, что внутри.
Speaker A
Идём дальше.
Speaker A
Допустим, ты скрыл SNI.
Speaker A
Подменил на что-то невинное.
Speaker A
DPI всё равно может тебя идентифицировать, потому что существуют TLS-отпечатки.
Speaker A
JA3 — это алгоритм из 2017 года.
Speaker A
Берёт из ClientHello несколько конкретных полей.
Speaker A
Версию TLS, список Cipher Suites, список расширений, набор эллиптических кривых и EC Point Formats.
Speaker A
Конкатенирует всё через запятую, прогоняет через MD5, получается 32-символьный страшный хэш.
Speaker A
Он уникальный для каждого TLS-клиента.
Speaker A
Chrome выдаёт один хэш.
Speaker A
Firefox — другой.
Speaker A
OpenVPN — третий.
Speaker A
WireGuard вообще не использует TLS, но его UDP-паттерн узнаётся по другим признакам.
Speaker A
А у Xray ванильного свой хэш, который давно внесён в базы DPI-систем.
Speaker A
Вот почему старые VPN умирают не потому, что их IP заблокирован, а потому, что DPI читает рукопожатие, видит хэш OpenVPN и дропает соединение.
Speaker A
IP вообще не при делах.
Speaker A
В 2023 году компания FoxIO выпустила JA4.
Speaker A
Это эволюция, человекочитаемый формат, SHA-256 вместо MD5.
Speaker A
Первый символ — транспорт TCP.
Speaker A
Следующие два — версия TLS.
Speaker A
Потом количество шифров.
Speaker A
Количество расширений.
Speaker A
Первый и последний символы ALPN.
Speaker A
Потом два хэша.
Speaker A
От Cipher Suites и от расширений с алгоритмами сигнатуры.
Speaker A
Это не просто хэш, это структурированный идентификатор, по которому можно делать точечные фингерпринты.
Speaker A
Инструмент uTLS позволяет клиенту притвориться Chrome или Firefox.
Speaker A
Заимствовать их настоящий отпечаток.
Speaker A
Именно это и делает Xray.
Speaker A
Теперь к тому, как ТСПУ реально работает сейчас.
Speaker A
Одна из основных тактик на текущий момент — ASN-таргетинг.
Speaker A
ТСПУ бьёт не по конкретным IP, а по целым автономным системам хостинг-провайдеров.
Speaker A
AEZ, OVHcloud, Yufuhosting, DigitalOcean, Hetzner, Vultr, Contabo, OVH, LanCent и другие.
Speaker A
Если VPS находится в одном из засвеченных ASN и TLS-рукопожатие к нему не выглядит как обычный браузер, соединение рвётся.
Speaker A
При этом поток трафика большой.
Speaker A
Соединение временно рвётся, примерно на 10-30 минут.
Speaker A
Даже если IP ещё не заблокирован отдельно.
Speaker A
В ноябре 2025 были слухи про блокировку TLS 1.3 у части провайдеров, но воспроизвести это удалось не всем.
Speaker A
У многих конфиги продолжали работать без изменений.
Speaker A
Вообще, нет никакой единой конфигурации ТСПУ на всю страну.
Speaker A
Разные операторы, разные настройки, разные версии прошивок, разные сроки обновлений.
Speaker A
Поэтому у кого-то WireGuard до сих пор работает в домашней сети.
Speaker A
А у другого человека он умер ещё в 2023.
Speaker A
Это не баг, это особенность децентрализованного развёртывания.
Speaker A
Как мы уже говорили ранее, ТСПУ — это то же железо.
Speaker A
И у него есть свои лимиты, и ресурсы не безграничны.
Speaker A
На примере.
Speaker A
Вот у тебя есть компьютер, у него, скажем, 4 ГБ оперативки, процессор Ryzen 5 3500 и видяха RX 580.
Speaker A
Ты запускаешь обычный Minecraft, и всё летает.
Speaker A
А когда запускаешь Minecraft с крутыми шейдерами, компьютер едва ли вывозит 10 FPS.
Speaker A
То же самое с ТСПУ.
Speaker A
Сейчас, в марте 2026 года, оборудование предельно перегружено бесконечными попытками фильтрации трафика, в особенности зашифрованного и туннельного через Xray, VLESS, MTProto Telegram, Hysteria2, Trojan и кучу других обёрток.
Speaker A
Сильно грузит и наличие мусорного или фрагментированного трафика.
Speaker A
Фрагментированные пакеты нужно задержать, собрать и попытаться прочитать.
Speaker A
А собирать каждое такое подключение очень тяжело для оборудования.
Speaker A
Об этом поговорим дальше.
Speaker A
Порой, даже не подключаясь к VPN, заблокированные ресурсы чудным образом начинают работать.
Speaker A
Это как раз оверлоад, когда системе приходится сбавлять темпы фильтрации или обрубать их полностью.
Speaker A
Поскольку нагрузка слишком высока.
Speaker A
Иначе ляжет полный интернет.
Speaker A
Конечно, масштабирование ресурсов — скорее вопрос времени, но и вопрос возможности тоже встаёт на кону, потому что клипать без конца и края оперативку, процессор и диски под такие требовательные задачи очень дорого.
Speaker A
Оборудование нужно грейдить и устанавливать у каждого оператора.
Speaker A
Теперь главная часть — инструменты обхода.
Speaker A
Важно понять, это не VPN-замена, это инструменты для того, чтобы установить соединение с сервером, к которому ТСПУ мешает подключиться.
Speaker A
Дальше уже твой VPN-протокол.
Speaker A
Про них известно давно, но принципы работы в деталях редко обсуждали.
Speaker A
Byedpi перехватывает TCP-пакеты на уровне ниже браузера.
Speaker A
Ещё до того, как они ушли в сеть, и модифицирует их.
Speaker A
Всего есть несколько стратегий, каждая из них основана на манипуляции с пакетом ClientHello.
Speaker A
Утилита либо дробит его определённым образом, либо посылает фиктивные пакеты, скрывающие настоящие, либо смещает порядок.
Speaker A
В любом случае, суть заключается в том, чтобы изменить дефолтное поведение.
Speaker A
И не дать системам анализа трафика действовать по одному шаблону для каждого подключения.
Speaker A
А вот если IP или ASN заблокирован полностью на уровне L3.
Speaker A
Всё это не поможет.
Speaker A
TCP-соединение вообще не установится.
Speaker A
Byedpi работает только тогда, когда блокировка происходит на уровне анализа содержимого.
Speaker A
То есть DPI режет соединение по паттернам в TLS, а не по IP.
Speaker A
Zapret — это то же самое, но для Linux-роутеров.
Speaker A
Здесь будет очень много непонятных терминов даже для пользователей Linux, но, короче, вот.
Speaker A
Работает он на уровне ядра через netfilter и механизм очереди фильтра сетей NFQUEUE.
Speaker A
Ключевой компонент — NFQWS.
Speaker A
Собственная настройка от Zapret для NFQ.
Speaker A
Правила iptables и nftables перенаправляют первые несколько TCP-сессий в очередь NFQUEUE.
Speaker A
NFQWS получает эти пакеты, анализирует, применяет стратегию и отправляет обратно.
Speaker A
Весь остальной трафик, тяжёлый поток, видеоданные летят напрямую через ядро без единой задержки.
Speaker A
Zapret 2 отличается архитектурой.
Speaker A
Он способен гибко и автоматизированно подбирать стратегии при помощи Lua-скриптов без хардкода, а код на C занимается лишь самым необходимым.
Speaker A
Цель прежняя — путать DPI.
Speaker A
Cloudflare WARP — это VPN-сервис от Cloudflare.
Speaker A
Приложение 1.1.1.1.
Speaker A
Под капотом стандартный WireGuard.
Speaker A
Проблема в том, что WireGuard как протокол давно известен ТСПУ.
Speaker A
Его паттерн дропается с первого пакета.
Speaker A
AmneziaVPN решает это через AWG.
Speaker A
Модифицированный WireGuard.
Speaker A
Добавляет случайные байты в начало пакетов, паддинг до случайного размера.
Speaker A
Рандомизирует заголовки рукопожатия.
Speaker A
В итоге DPI видит UDP-поток, не похожий на WireGuard и пропускает.
Speaker A
Плюс серверная инфраструктура Cloudflare — это миллионы IP по всему миру.
Speaker A
Заблокировать её целиком означает отрезать половину рунета от легитимных сервисов.
Speaker A
Она помогает не только ускорить YouTube, Discord и прочие штуки, но и может помочь возродить подключение к VLESS-серверу, если его вдруг настигли свои роды репрессий.
Speaker A
Поскольку Amnezia будет туннелировать трафик, точка анализа трафика сменится.
Speaker A
И доступ к заблокированному ресурсу или VPS вполне может появиться.
Speaker A
А уже после подключения к Amnezia, затем к своему VLESS — открыты все окна.
Speaker A
Тоже своего рода каскад.
Speaker A
Отдельно хочу остановиться на фрагментации.
Speaker A
Принцип простой: ТСПУ ищет паттерн в первом TCP-сегменте, который содержит ClientHello.
Speaker A
Если мы разобьём ClientHello на несколько TCP-сегментов, первый сегмент не содержит полной сигнатуры.
Speaker A
DPI смотрит на него, ничего запрещённого не находит, пропускает.
Speaker A
Второй сегмент без начала тоже безопасен.
Speaker A
Сервер на той стороне получает все куски, склеивает.
Speaker A
И видит нормальный ClientHello.
Speaker A
Но есть нюанс.
Speaker A
Современные DPI умеют пересобирать TCP-поток.
Speaker A
Если DPI делает это для каждого соединения, фрагментация не работает.
Speaker A
Именно поэтому параллельно применяют манипуляцию размером TCP-окна.
Speaker A
В заголовке TCP есть поле Window Size.
Speaker A
Это сколько байт получатель готов принять за раз.
Speaker A
Если мы скажем серверу: «Я принимаю только 2 байта», сервер начнёт дробить свои ответы на крошечные фрагменты.
Speaker A
DPI, чтобы пересобрать ClientHello из таких микрокусков, нужно держать состояние соединения в памяти.
Speaker A
При нагрузке в гигабиты это дорого.
Speaker A
Память не резиновая, и DPI сдаётся и пропускает трафик.
Speaker A
Это не баг, это физическое ограничение железа.
Speaker A
Byedpi, Zapret эксплуатируют не уязвимость конкретной прошивки, а фундаментальное противоречие между скоростью интернета и вычислительными ресурсами.
Speaker A
ТСПУ должен обрабатывать весь трафик страны.
Speaker A
Делать дорогую пересборку для каждого соединения невозможно.
Speaker A
Плюс Zapret 2.0 даёт возможность адаптироваться быстрее, чем провайдеры обновляют конфигурацию ТСПУ.
Speaker A
Сообщество обнаружило новую сигнатуру, скрипт обновился.
Speaker A
Никакой перекомпиляции.
Speaker A
Лишь одна оговорка.
Speaker A
Фрагментация и эти инструменты — не замена шифрованию, они помогают установить соединение.
Speaker A
Данные внутри этого соединения всё равно нужно шифровать VPN-протоколом.
Speaker A
Что в итоге?
Speaker A
ТСПУ видит твои пакеты.
Speaker A
Читает ClientHello, JA3-хэши.
Speaker A
Бьёт по целым системам хостингов.
Speaker A
Но всё это код и железо с ограниченной памятью и конечным числом ядер.
Speaker A
Программы byedpi, Zapret и Cloudflare WARP — это не хакерский софт, они не ломают ничего.
Speaker A
Они используют то, как протокол в принципе работает.
Speaker A
Вся магия блокировок строится на предположении, что ты будешь вести себя стандартно.
Speaker A
Как только поведение выходит за паттерн, фильтр теряет ориентацию.
Speaker A
Если видео было полезным, поставь лайк и подпишись, это помогает алгоритму показать его ещё 50 000 людям.
Speaker A
И рассказать всем о возможностях сохранения цифровой свободы.
Speaker A
Пиши в комментариях, про что сделать следующий ролик.
Speaker A
Ссылка на мой сервис, так называемого восстановления работоспособности интернета, в описании.
Speaker A
Там уже всё настроено под актуальные реалии.
Topics:DPIТСПУфильтрация трафикаVPNблокировка интернетаTLSSNIJA3обход блокировокРоскомнадзор
![نماهنگ ” کوچه غدیر ” [فارسی – عربی] | گروه زهرائیون | ع… — Transcript](https://i.ytimg.com/vi/hojdHsDm2uY/maxresdefault.jpg)
