DPI (Deep Packet Inspection) и ТСПУ — это технологии, которые определяют, что именно вы отправляете в сеть, даже если трафик зашифрован. В этой статье разбираем, как они работают на уровне пакетов, чем ТСПУ отличается от классического DPI и какие современные методов работы с сетевыми ограничениями ещё работают в 2026.
Если коротко
- DPI анализирует не только заголовки, но и содержимое TCP/UDP-пакетов.
- TLS-шифрование не полностью защищает: SNI в ClientHello до сих пор идёт открытым текстом (если не включён ECH).
- ТСПУ — это российская реализация DPI на уровне оператора, управляемая Роскомнадзором.
- Современные протоколы с маскировкой трафика (VLESS+Reality, Shadowsocks 2022) маскируются под легитимный HTTPS-трафик.
Как DPI определяет трафик
DPI работает на L7 модели OSI (прикладной уровень) и способен читать:
- HTTP-заголовки (Host, User-Agent, Referer) — полностью читаемы.
- TLS SNI (Server Name Indication) — имя домена, передаваемое при установке TLS-соединения. До версии TLS 1.3 с ECH/ESNI оно передаётся без шифрования.
- TLS-fingerprint (JA3, JA4) — уникальная подпись TLS-библиотеки клиента. По ней можно отличить браузер от самописного VPN-клиента.
- Размеры и тайминги пакетов — даже шифрованный трафик имеет характерные паттерны (например, WireGuard имеет фиксированный handshake).
Что такое ТСПУ
ТСПУ (Технические средства противодействия угрозам) — это специализированные устройства, установленные у всех операторов связи в России по закону о "суверенном интернете" (2019). В отличие от классического DPI, ТСПУ:
- Управляются централизованно из ЦМУ ССОП (Центр мониторинга и управления сетью связи общего пользования).
- Получают обновления правил блокировок в реальном времени.
- Способны замедлять (троттлить) трафик, а не только блокировать — так в 2021 был "замедлен" Twitter.
- Применяют блокировки по TLS-fingerprint: именно так в 2024 были заблокированы классические VPN-протоколы.
Методы работа с DPI в 2026
1. TLS ECH (Encrypted Client Hello)
ECH — это расширение TLS 1.3, которое шифрует SNI. На 2026 год поддерживается Firefox, Chrome, Cloudflare и растущим числом CDN. Включение ECH в браузере делает невозможной SNI-фильтрацию.
2. Fragmentation (фрагментация ClientHello)
Утилиты GoodbyeDPI (Windows), zapret (Linux), byedpi разбивают TLS ClientHello на несколько TCP-сегментов так, чтобы DPI не смог собрать SNI. Работает против старых реализаций DPI, но ТСПУ последних поколений уже распознаёт эту технику.
3. VLESS + Reality
Reality — это обфускация от проекта Xray: трафик VPN маскируется под реальный HTTPS к популярному сайту (например, microsoft.com). TLS-handshake выглядит идентично легитимному. На 2026 — один из самых устойчивых способов маскировки трафика.
4. Shadowsocks 2022
Современная версия Shadowsocks использует AEAD-шифрование и рандомизированные тайминги, что делает его трафик неотличимым от шума. Блокировки по fingerprint против него почти не работают.
5. DoH / DoT + CDN-фронтинг
DNS over HTTPS + использование популярных CDN (Cloudflare, Fastly) позволяет "спрятать" запросы в легитимном HTTPS-трафике. Domain fronting был закрыт большинством CDN в 2018, но CF Workers и серверлесс-эндпоинты работают как аналог.
Что уже не работает
- Классический OpenVPN — fingerprint известен ТСПУ.
- WireGuard без обфускации — handshake слишком характерен.
- HTTP-прокси без TLS — читается в открытом виде.
- Domain fronting через крупные CDN — закрыт на уровне провайдера CDN.
Юридические риски
В России использование VPN для личных нужд не криминализировано. Однако:
- С сентября 2024 запрещена пропаганда средств диагностика доступности — штраф до 500 тыс. рублей.
- Поисковики обязаны не выдавать VPN-сервисы из реестра запрещённых.
- Бизнес использует VPN легально только для "технологических целей" через реестр ФСБ.
FAQ
Можно ли работать через ТСПУ без VPN?
Частично — через ECH и fragmentation. Но для надёжной маскировки нужен сервер за пределами РФ с обфускацией.
Чем Reality отличается от VLESS?
VLESS — это базовый протокол. Reality — это метод обфускации поверх VLESS, при котором handshake копирует handshake легитимного сайта.
Можно ли запустить маскировку трафика на роутере?
Да, на роутерах с OpenWRT устанавливается xray-core или shadowsocks-libev. Тогда весь трафик устройств в домашней сети автоматически идёт через обфусцированный канал.
Связанные инструменты
→ Site Check — проверка, доходит ли ваш трафик до сайта
→ Port Checker — проверка, открыт ли порт для VPN-сервера
→ Speed Test — замер скорости через ваш канал
→ Читайте также: как проверить блокировку сайта