DPI — основной инструмент
Deep Packet Inspection (DPI) — технология глубокого анализа сетевых пакетов, работающая на оборудовании ТСПУ. В отличие от обычного файрвола, который смотрит только на заголовки пакетов (IP-адрес и порт), DPI анализирует содержимое пакетов — их структуру, паттерны, характерные байты.
Когда вы подключаетесь к VPN, трафик проходит через оборудование оператора. DPI анализирует каждый пакет в реальном времени и принимает решение: пропустить, замедлить или заблокировать. Весь процесс занимает миллисекунды — вы не замечаете анализа, пока трафик не блокируется.
В России ТСПУ установлены на сетях всех крупных операторов: Ростелеком, МТС, Билайн, МегаФон, Tele2 и другие. Управляет этим оборудованием Роскомнадзор через центр мониторинга.
Определение по сигнатурам
Самый простой метод — распознавание протокола по характерной сигнатуре (набору байтов в заголовке пакета):
- OpenVPN. Первые байты содержат характерный маркер 0x38. Также опознаётся по TLS-рукопожатию с уникальным форматом. DPI распознаёт OpenVPN мгновенно
- WireGuard. Использует фиксированные типы пакетов (initiator, responder) с характерной структурой. Первые 4 байта содержат тип сообщения — сигнатура очевидна
- IKEv2/IPsec. Начинается с IKE_SA_INIT на порту UDP/500 или 4500. Легко детектируется
- SSTP. Работает через HTTPS, но имеет характерный User-Agent и специфичные заголовки
Сигнатурный анализ — самый быстрый и надёжный метод. Именно поэтому стандартные протоколы перестали работать в России.
Статистический анализ трафика
Когда сигнатуры замаскированы, DPI переходит к статистическим методам:
- Размеры пакетов. VPN-трафик имеет характерное распределение размеров пакетов, отличающееся от обычного веб-трафика
- Интервалы между пакетами. VPN-клиент отправляет keepalive-пакеты с регулярными интервалами — это паттерн, который можно обнаружить
- Энтропия данных. Зашифрованный VPN-трафик имеет высокую энтропию (случайность). Если весь трафик к одному IP имеет высокую энтропию — подозрительно
- Соотношение входящего и исходящего трафика. VPN-туннель создаёт характерное соотношение, отличающееся от обычного веб-сёрфинга
Статистический анализ менее точен и даёт ложные срабатывания. Но в комбинации с другими методами повышает вероятность детектирования.
Active Probing
Изощрённый метод, активно используемый Great Firewall Китая и постепенно внедряемый в России. Суть: если DPI подозревает, что сервер — это VPN, ТСПУ само отправляет запрос к этому серверу и анализирует ответ.
Например, VLESS-сервер без REALITY при active probing может выдать себя — ответит не как обычный веб-сервер. REALITY решает эту проблему: при active probing сервер отвечает легитимным TLS-сертификатом реального сайта, и проверка проходит успешно.
REALITY — ответ на active probing. Для проверяющей системы VPN-сервер выглядит как обычный веб-сайт с валидным TLS-сертификатом. Отличить его от настоящего сайта невозможно.
Методы противодействия
Каждый метод детектирования имеет контрмеру:
- Против сигнатурного анализа — обфускация. AmneziaWG добавляет случайные данные к заголовкам WireGuard, делая сигнатуру нераспознаваемой. VLESS маскирует трафик под обычный TLS
- Против статистического анализа — padding (добавление случайных данных) и рандомизация интервалов. Трафик становится статистически неотличимым от обычного HTTPS
- Против active probing — REALITY и fallback на реальный сайт. Сервер при нестандартном запросе отдаёт содержимое легитимного сайта
- Против IP-блокировки — CDN-маскировка, использование IP-адресов облачных провайдеров, ротация IP
Гонка технологий продолжается. Каждый новый метод блокировки порождает новый метод обхода. Исторически технологии обхода всегда опережали блокировки — и нет оснований полагать, что это изменится.
При выборе VPN обращайте внимание на используемые протоколы. В 2026 году работают только протоколы с обфускацией — всё остальное блокируется.
Попробуйте TunlVPN бесплатно
Протоколы с обфускацией, серверы в Европе и России. 3 дня бесплатного доступа.
Попробовать бесплатно