Зачем нужны разные наборы
DPI-системы не блокируют все сайты одинаково. Понимание этого — ключ к эффективному обходу.
Как работает DPI-блокировка
Deep Packet Inspection анализирует содержимое пакетов и принимает решение о блокировке на основе разных критериев. Например:
| Метод блокировки | Что анализируется | Пример |
|---|---|---|
| По IP-адресу | Destination IP пакета | Telegram (исторически) |
| По SNI | Server Name Indication в TLS ClientHello | YouTube, Discord |
| По домену (DNS) | DNS-запросы | Большинство сайтов из реестра |
| По fingerprint | Структура TLS ClientHello, порядок расширений | Продвинутые системы |
| По протоколу | Сигнатуры QUIC, WireGuard, и т.д. | QUIC-блокировки YouTube |
Почему разные сайты блокируются по-разному
Приоритет ресурса для блокировки
Не все заблокированные ресурсы одинаково "важны" для РКН. YouTube или Instagram с миллионами пользователей получает больше внимания, чем небольшой VPN-сервис или какой-нибудь СМИ сайт. Это означает:
- Более агрессивные методы блокировки
- Быстрое обновление правил при обнаружении обхода
- Использование нескольких методов одновременно
Техническая сложность сервиса
Крупные сервисы используют:
- Сотни IP-адресов и CDN (блокировка по IP непрактична)
- Множество доменов и поддоменов
- Современные протоколы (QUIC, HTTP/3)
Это вынуждает государственные DPI использовать более сложные методы — анализ SNI, протоколов, даже машинное обучение.
Разные ТСПУ и их настройки
В России используются разные системы DPI от разных производителей:
- Разные провайдеры используют разное оборудование
- Настройки ТСПУ могут отличаться по регионам
- Обновления правил приходят неравномерно
Результат: один и тот же сайт может блокироваться по-разному у разных провайдеров или в разных городах.
Эволюция блокировок
Блокировки не статичны — они развиваются:
Этап 1: DNS-блокировка
↓ (пользователи переходят на DoH/DoT)
Этап 2: Блокировка по IP
↓ (сервис меняет IP, использует CDN, cloudflare с общей точкой входа)
Этап 3: Блокировка по SNI
↓ (появляются инструменты обхода)
Этап 4: Анализ fingerprint + активное зондирование
YouTube прошёл все эти этапы. Небольшой сайт из реестра может всё ещё блокироваться только по DNS.
Практические следствия для B4
| Ситуация | Что происходит | Решение в B4 |
|---|---|---|
| YouTube замедляется, но не блокируется | Throttling по SNI/протоколу | Агрессивный faking + drop QUIC |
| Discord не подключается | Блокировка по SNI | TCP fragmentation + fake SNI |
| Telegram работает нестабильно | Частичная блокировка по IP | GeoIP категории + несколько стратегий |
| Сайт из реестра не открывается | Простая DNS/SNI блокировка | Базовая фрагментация |
| VPN-протокол детектится | DPI fingerprinting | Обфускация на уровне протокола |
Почему одна конфигурация не работает для всего
Агрессивные настройки обхода (много фейков, сложная фрагментация, большие задержки, расстояние до сервера сайта) имеют цену:
- Latency — каждый фейковый пакет и задержка увеличивают пинг
- Bandwidth — дополнительные пакеты расходуют трафик
- Совместимость — некоторые серверы/CDN плохо реагируют на нестандартные пакеты
- Детектируемость — слишком агрессивный обход сам может стать сигнатурой и выдать себя
Поэтому оптимальный подход — минимально необходимое воздействие для каждого сервиса. Именно для этого и существуют наборы конфигураций — чтобы применять правильную стратегию к правильному трафику.