← К библиотеке
Основы Теория

Как работает интернет-цензура: DPI, ТСПУ, блокировки

Чтобы держать ноды живыми, надо понимать не «что заблокировано», а как именно работает то, что блокирует. Разберём логику инспекции трафика по состоянию на 2026 — без этого любой мануал по протоколам ты применяешь вслепую.

Цензура давно не про списки IP

Главное заблуждение новичка — думать, что блокировка это «внесли IP в чёрный список». Так работали лет пять назад. Сейчас инспекция трафика (в РФ её знают как ТСПУ — технические средства противодействия угрозам) — это статистика и поведение, а не список.

Разница принципиальна. Список IP обходится сменой адреса. Поведенческую инспекцию сменой адреса не обойти — она смотрит не на то, куда ты идёшь, а на то, как выглядит и ведёт себя твоё соединение. Поэтому современная защита ноды — это не «спрятать IP», а «сделать трафик статистически неотличимым от обычного HTTPS».

Четыре способа тебя поймать

Инспекция ловит VPN по нескольким признакам одновременно. Вот они, от простого к сложному.

1. Сигнатуры

Самое дешёвое: инспекция смотрит на первые байты пакета. У многих протоколов там характерная последовательность — как штрих-код. Увидела знакомый штрих-код — режет. Против этого работают транспорты, у которых начало соединения выглядит как обычный TLS, без опознавательных знаков.

2. TLS-отпечаток (JA3)

Когда клиент устанавливает TLS-соединение, он отправляет ClientHello — набор параметров, по которому можно понять, какой софт это шлёт. У настоящего браузера один набор, у голого VPN-клиента — другой, редкий и узнаваемый. Слепок этих параметров называется JA3-отпечаток.

Если твой клиент шлёт ClientHello, который встречается у трёх VPN-приложений и больше нигде, — это флаг. Против этого работает uTLS: он переписывает ClientHello так, чтобы он был байт-в-байт как у реального браузера (Firefox, QQ и т.д.). Отсюда важность поля fingerprint при настройке — пустой отпечаток палится сразу.

3. Активный пробинг

Инспекция не только пассивно смотрит трафик — она сама стучится на твой порт и смотрит, как он ответит. Если по адресу висит VPN-сервер, который на «левый» запрос отвечает как-то подозрительно (виснет, шлёт мусор, ведёт себя не как сайт), — это выдаёт его с головой.

Здесь спасает механика Reality: если на порт постучался не настоящий клиент (без правильного секрета), нода молча проксирует запрос на донора — на настоящий крупный сайт. Снаружи выглядит так, будто по адресу и правда живёт этот сайт. Пробинг ничего не находит.

4. Поведенческий анализ

Самое неприятное. Инспекция смотрит не на один пакет, а на поток целиком: длины пакетов, интервалы между ними, соотношение отдачи и приёма. У обычного веб-сёрфинга своя статистическая картина, у VPN-туннеля — другая. Даже идеально замаскированное рукопожатие не спасает, если дальше поток «дышит» не как браузер.

Против этого работают транспорты, которые дробят и переупаковывают поток (XHTTP, gRPC), сбивая статистику длин и таймингов. Это и есть причина, почему голого Reality на TCP под жёстким режимом уже мало — рукопожатие идеальное, а поведение всё равно выдаёт.

Как это выглядит на практике

Инспекция редко режет намертво с первого пакета. Типичные симптомы, которые оператор учится читать:

  • «Работает пару секунд, потом мёртво» — соединение установилось, но поведенческий анализ добил его через несколько секунд. Или сам IP уже отравлен и режется на подлёте.
  • Просадки в час пик — вечером нагрузка на инспекцию выше, фильтры агрессивнее. То, что днём летало, вечером тормозит.
  • Волны по датам — инспекция обновляется рывками. После очередного удара половина мануалов из интернета перестаёт работать за сутки, потому что под них заточили фильтры.
  • Разница дом/мобайл — у мобильных операторов инспекция часто строже, вплоть до «белых списков», когда пропускается только госуслуги и банки.

Отдельный зверь: инфраструктурное давление

Помимо технической инспекции есть административное давление. Регулятор рассылает хостерам списки IP VPN-серверов с требованием заблокировать. Российские провайдеры под это прогибаются и банят ноды пачками по подсетям.

Практический вывод, который определяет всю архитектуру: выходные ноды держат только за рубежом. Внутри страны максимум вход каскада, релей или панель — то, через что не идёт клиентский выходной трафик.

Что из этого следует для оператора

Вся стратегия защиты сводится к одной идее — будь статистически скучным. Чем меньше твоя нода выделяется на фоне обычного HTTPS по всем четырём признакам, тем дольше живёт. Отсюда весь дизайн:

  • рукопожатие как у браузера (uTLS, правильный fingerprint);
  • поведение как у веба (транспорт, дробящий поток);
  • переживание пробинга (Reality с настоящим донором);
  • IP не в грязной подсети и не на российском хостере под выход.

Дальше по разделу — как выбирать сервер и локацию, чтобы четвёртый признак (IP и хостинг) не убил всю остальную работу. А детальную практику обхода инспекции разбираем в разделе «Обход» — там уже конкретные конфиги против каждой из четырёх дверей.

Следующий гайд Как выбрать сервер и локацию → Не понравилась статья или что-то непонятно? Напишите мне — помогу или поправлю. @notrealvpn →
Материал носит образовательный характер и посвящён инженерии сетевой инфраструктуры. Вы отвечаете за соблюдение законов своей юрисдикции.