Как оператор связи видит, что вы используете VPN — техническая сторона вопроса

в 20:57, , рубрики: dpi, openvpn, vpn, wireguard, Роскомнадзор, сетевая безопасность

Многие думают, что VPN — это такой волшебный туннель, через который трафик идёт невидимым. Подключился — и провайдер понятия не имеет, что ты делаешь. Так вот, нет. Провайдер не видит содержимое трафика (что именно ты смотришь и читаешь), но он прекрасно видит сам факт использования VPN. И в 2026 году он видит это лучше, чем когда-либо.

Я сетевой инженер, и последние пару лет мне пришлось разобраться в этой теме значительно глубже, чем хотелось бы. Расскажу, какие именно методы использует оператор, чтобы определить VPN-соединение — от простых до тех, что обходятся государствам в миллиарды рублей.

Уровень 1: IP-адреса и порты — тупо, но работает

Самый примитивный метод. У каждого VPN-провайдера есть набор серверов с известными IP-адресами. Существуют коммерческие базы данных (MaxMind, IP2Proxy, IPQualityScore), которые классифицируют IP-адреса по типу: жилой, корпоративный, хостинг, VPN, прокси, Tor.

Составить такую базу несложно: подключаешься ко всем серверам VPN-провайдера, записываешь выходные IP — готово. Для крупного VPN-сервиса это несколько тысяч адресов. Обновлять базу нужно регулярно, но это автоматизируется.

Этим же методом работают Netflix и прочие стриминги, когда не пускают вас с VPN. Они не анализируют ваш трафик — они просто проверяют IP по базе.

Оператор связи может делать то же самое: смотреть, к каким IP вы подключаетесь, и сверять их со списком известных VPN-серверов. Дёшево и сердито.

Обход: использовать VPN-сервер на собственном VPS. Если IP не в базе — этот метод не сработает.

Уровень 2: анализ портов

У VPN-протоколов есть «любимые» порты. OpenVPN по умолчанию использует UDP 1194, WireGuard — UDP 51820, IKEv2 — UDP 500 и 4500. Оператор видит, на какой порт идёт ваше соединение, и может делать выводы.

Обход ещё проще: перенастроить VPN на нестандартный порт. Например, OpenVPN на TCP 443 — тот же порт, что и у обычного HTTPS. Но это помогает только против совсем ленивой фильтрации, потому что дальше начинается DPI.

Уровень 3: Deep Packet Inspection — вот тут становится интересно

DPI (Deep Packet Inspection) — это технология, которая смотрит не только на заголовки пакетов (откуда, куда, какой порт), а залезает внутрь пакета и анализирует его структуру. Даже если трафик зашифрован, структура пакетов выдаёт протокол.

Вот что DPI умеет определять:

Сигнатуры протоколов. Каждый VPN-протокол начинает соединение по-своему. У OpenVPN первый байт пакета содержит характерный opcode. У WireGuard — фиксированная структура handshake. Это как отпечаток пальца: DPI просто сравнивает начало соединения с базой известных паттернов. Заняло бы у человека часы, у оборудования — микросекунды.

TLS fingerprinting (JA3/JA4). Когда VPN маскируется под HTTPS (а большинство современных — маскируются), DPI анализирует TLS handshake. Набор шифров, расширений TLS и порядок, в котором они передаются, создаёт уникальный «отпечаток» — JA3-хеш. Настоящий браузер Chrome и OpenVPN, притворяющийся HTTPS, имеют разные отпечатки. DPI это видит, даже если порт один и тот же.

Размер и тайминг пакетов. Обычный веб-серфинг генерирует пакеты разного размера: маленький запрос, большой ответ, потом опять маленький. VPN-туннель создаёт более однородный паттерн — пакеты примерно одного размера идут с ровными интервалами. Статистический анализ этих паттернов позволяет отличить VPN от обычного трафика, даже если протокол замаскирован.

Энтропия данных. Шифрованные данные имеют высокую энтропию — близкую к случайному шуму. Обычный HTTPS тоже шифрованный, но в нём есть структура (заголовки HTTP, куки, предсказуемые паттерны). У VPN-туннеля структура другая, и при достаточном объёме трафика это можно увидеть статистически.

Уровень 4: ТСПУ — российская реализация DPI на стероидах

ТСПУ (Технические средства противодействия угрозам) — это оборудование, которое с 2023 года установлено на узлах связи всех крупных российских провайдеров. К 2026 году покрытие — более 95% всего интернет-трафика страны. Общая пропускная способность — 132 Тбит/с, и её планируют довести до 954 Тбит/с к 2030 году. На это выделено 83 миллиарда рублей.

Ключевое: ТСПУ управляется не провайдером, а Роскомнадзором через ЦМУ ССОП (Центр мониторинга и управления сетью связи общего пользования). Провайдер предоставляет электричество и стойко-место, а оборудование — «чёрный ящик» под контролем регулятора.

Что ТСПУ может:

  • Блокировать соединения по IP-адресам (реестр Роскомнадзора).

  • Определять VPN-протоколы по сигнатурам (OpenVPN, WireGuard, L2TP, PPTP).

  • Замедлять трафик определённых сервисов (как это делалось с YouTube и Telegram).

  • Анализировать TLS fingerprint’ы для обнаружения замаскированных протоколов.

С декабря 2025 года ТСПУ начало блокировать не только классические VPN-протоколы, но и SOCKS5, VLESS и L2TP. VLESS долгое время считался «невидимым» — он маскирует трафик под обычный HTTPS настолько хорошо, что DPI его не ловил. Но в конце 2025-го эксперты подтвердили: ТСПУ научился определять VLESS по косвенным признакам.

На момент написания статьи Роскомнадзор заблокировал 469 VPN-сервисов.

А что ТСПУ не может?

Система не всесильна. В марте 2026 года ТСПУ на нескольких узлах ушло в bypass — режим, при котором трафик пропускается без фильтрации. Причина: слишком много правил фильтрации (около 40 тысяч в день при обычной нагрузке в 10–15 тысяч). Оборудование не справилось, и на какое-то время заблокированные ресурсы стали доступны без VPN.

Это важный момент: DPI — ресурсоёмкая операция. Анализировать каждый пакет в реальном времени при пропускной способности в сотни терабит — инженерно сложная задача. И когда нагрузка превышает возможности оборудования, фильтрация просто отключается.

Что конкретно видит провайдер, когда вы используете VPN

Давайте чётко разделим:

Провайдер видит:

  • IP-адрес VPN-сервера, к которому вы подключаетесь.

  • Объём трафика (сколько данных скачали/загрузили).

  • Протокол (OpenVPN, WireGuard и т.д. — определяется через DPI).

  • Тайминги — когда началось и закончилось соединение.

  • Сам факт, что это VPN, а не обычный HTTPS.

Провайдер НЕ видит:

  • Какие сайты вы посещаете через VPN.

  • Содержимое вашего трафика (тексты, видео, файлы).

  • Ваши пароли, логины, куки.

  • DNS-запросы (если VPN корректно настроен и DNS идёт через туннель).

Грубо говоря: оператор знает, что вы используете VPN, но не знает, зачем.

Как работает обнаружение на практике — хронология одного соединения

Вы нажимаете «Подключиться» в VPN-клиенте. Вот что происходит на стороне оператора:

  1. Ваш клиент отправляет DNS-запрос на vpn-server.example.com. Если DNS не зашифрован (не DoH/DoT) — оператор видит, куда вы собираетесь.

  2. Устанавливается TCP/UDP-соединение с IP-адресом VPN-сервера. ТСПУ проверяет IP по базе — совпадение? Если да, соединение можно заблокировать прямо сейчас.

  3. Начинается handshake. DPI анализирует первые пакеты — сигнатура OpenVPN? WireGuard? Или это TLS и нужно смотреть JA3-хеш?

  4. Если протокол опознан — применяется правило: блокировать, замедлить или пропустить.

  5. Если протокол не опознан (хорошая маскировка) — система может накапливать статистику по размерам пакетов и таймингам, и через некоторое время определить VPN по поведенческому анализу.

Весь этот процесс занимает миллисекунды.

Методы маскировки: гонка вооружений

Протоколы, которые пытаются обмануть DPI:

Shadowsocks — маскирует трафик под случайный шум. Не похож ни на один известный протокол. Проблема: «случайный шум» сам по себе подозрителен — нормальный трафик так не выглядит.

VLESS + XTLS-Reality — маскирует VPN-трафик под обычное HTTPS-соединение с реальным сайтом. При анализе DPI видит валидный TLS handshake с настоящим сертификатом, например, google.com. До конца 2025 года это работало хорошо, сейчас ТСПУ учится ловить и его.

obfs4 — обфускация, разработанная для Tor. Превращает трафик в нечто, не похожее ни на один протокол. Используется в Tor Browser для обхода цензуры.

Cloak — подстраивает VPN-трафик под конкретный TLS fingerprint (например, Firefox или Chrome), чтобы пройти проверку JA3.

Это бесконечная гонка: DPI учится обнаруживать новые методы маскировки, разработчики придумывают новые. Китайский GFW (Great Firewall), российские ТСПУ, иранская система фильтрации — все они продвигают эту гонку вперёд.

Практические выводы

Если вы разработчик или сисадмин, который работает с VPN по рабочим причинам (доступ к серверам, корпоративная сеть), — для вас ничего криминального тут нет. Использование VPN в России не запрещено. Запрещён доступ к ресурсам из реестра Роскомнадзора, но это отдельный вопрос.

С технической точки зрения полезно понимать:

  • Классические протоколы (OpenVPN, WireGuard, L2TP) без маскировки — определяются мгновенно.

  • Смена порта не помогает — DPI анализирует содержимое пакета, а не порт.

  • Свой VPS с нестандартным IP помогает против блокировки по спискам IP, но не против DPI.

  • Протоколы с маскировкой (VLESS+Reality, Shadowsocks) усложняют обнаружение, но не делают его невозможным.

  • ТСПУ не всемогущ — у него есть лимиты по пропускной способности, и при перегрузке он отключается.

Если вам интересна тема сетевой инфраструктуры и DPI — спрашивайте в комментариях, постараюсь ответить. Если есть практический опыт работы с ТСПУ на стороне оператора — было бы интересно услышать.

Автор: nlaik

Источник

* - обязательные к заполнению поля

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js