Парадигма сетевой цензуры в России трансформируется. Если последние десять лет мы жили в логике «черных списков», борясь с блокировками конкретных IP и доменов, то сегодня развернутая архитектура ТСПУ позволяет говорить о технической возможности перехода к модели Белых списков

Речь идет не о моментальном выключении рубильника, а о постепенном внедрении концепции , где приоритет отдается только доверенному трафику

Это мир, где запрещено всё, что не разрешено явно. Популярный пример, такого мира это Северная Корея...

Изоляция в Северной Корее
Куда идет Россия?
Какие способы противодействия есть сейчас ?
Рабочие варианты

Истоки: Почему они выбрали изоляцию?

Северная Корея не всегда была цифровым ГУЛАГом. В начале 2000-х там даже начал развиваться обычный 2G-бизнес (сеть Sunnet). Но в 2004 году произошел взрыв на железнодорожной станции Рёнчхон. По одной из версий, детонация была вызвана по мобильному телефону (покушение на Ким Чен Ира). Итог: мобильную связь в стране запретили полностью на несколько лет

Кванмён: Интернет, который не интернет

Вместо глобальной сети в КНДР создали «Кванмён». Технически это гигантская интранет-сеть (LAN) национального масштаба.

• DNS-вакуум: В Кванмёне нет внешних DNS-записей. Вы не можете вбить google.com не потому, что он заблокирован, а потому, что для этой сети его не существует в природе

• IP-нумерация: Сеть построена на внутренних адресах (типа 10.x.x.x), которые физически не маршрутизируются в мир

Попытки создания «национальной системы доменных имен» в РФ и закон о «суверенном рунете» — это первые шаги к созданию такого же изолированного пространства, где внешние узлы будут отсекаться на уровне магистральных протоколов

Wi-Fi через SIM-карту: Mirae

Один из самых свежих кейсов из Северной Кореи сеть Wi-Fi «Mirae». Чтобы подключиться к ней в Пхеньяне, недостаточно знать пароль. Вам нужна SIM-карта. Система авторизует устройство в Wi-Fi сети только через мобильный ID

Это идеальная система тотального надзора: государство знает, кто, откуда и с какого устройства зашел в сеть. В России мы уже имеем обязательную идентификацию в публичном Wi-Fi по номеру телефона, но КНДР пошла дальше, сращивая Wi-Fi и сотовую сеть в единый контролируемый контур

Смерть анонимности через eSIM и биометрию:
В КНДР ты не можешь просто купить симку в ларьке — это строго контролируемый девайс. В России сейчас активно «зачищают» рынок серых SIM-карт и вводят обязательную биометрию для иностранцев (а в перспективе и для граждан), чтобы привязать eSIM к Госуслугам

Техническое сходство с Mirae:
Если в КНДР Wi-Fi Mirae требует физическую симку для авторизации, то в РФ eSIM становится тем самым «вшитым» в телефон чипом, который сообщает системе ТСПУ: «Это не просто какой-то анонимный трафик, это трафик определенного человека»

Зачем это нужно?
Без привязки к личности белые списки работают плохо. Если система знает, кто сидит в сети, она может давать разные уровни доступа: «учителю» можно на Википедию, «чиновнику» — в закрытые базы, а «обычному пользователю» — только на Госуслуги и VK. Это и есть динамический белый список

Red Star OS: Файлы, которые «стучат»

Национальная ОС Северной Кореи (Red Star OS) — это Linux, в который вшит надзиратель

Главная фишка это автоматический вотермаркинг
Система помечает каждый файл (картинку или документ), который открывается на компьютере, скрытым серийным номером устройства. Это позволяет спецслужбам КНДР отследить путь запрещенки от первого человека, скачавшего файл, до последнего зрителя

Часть 2. Российский ТСПУ: Динамический белый список в действии

Если в КНДР сеть изначально строилась как закрытый сад, то в России её пытаются загнать в загон прямо на ходу. ТСПУ больше не ограничиваются блокировкой доменов. Они перешли к ковровым бомбардировкам инфраструктуры

Блокировка дата-центров и хостингов

Как отмечают пользователи Hetzner, OVH, DigitalOcean и Oracle, ТСПУ начал резать доступ к целым подсетям зарубежных VPS-провайдеров

• Подсети Oracle Cloud (129.151.192.0 - 129.151.223.0, 130.61.0.0/16 и др.) блокируются по протоколу SYN. Пакеты просто уходят в пустоту, не получая ответа
  Это и есть механика белого списка: если твоего IP нет в перечне «разрешенных российских облаков», твоя связность с миром стремится к нулю

Смерть CDNs и игровой коллапс

Блокировки Cloudflare, CDN77 и Fastly приводят к тому, что интернет ломается даже там, где его не трогали. Пользователи CS2 и Faceit жалуются на дикий пинг и потерю пакетов. Почему? Потому что игровые серверы часто сидят на тех же CDN, что и неугодные ресурсы. ТСПУ не разбирается он просто выключает куски магистралей

Протокольная дискриминация

ТСПУ научился распознавать Shadowsocks, WireGuard и OpenVPN. Блокировка идет по сигнатурам. Если DPI видит характерный почерк VPN-протокола, соединение обрывается через несколько секунд

Часть 3. Какие способы противодействия есть сейчас ?

Десинхронизация TCP (Zapret и ByeDPI)

Вместо того чтобы использовать сторонний сервер, утилиты типа zapret и ByeDPI модифицируют пакеты прямо на твоем устройстве.

• Как это работает: Утилита дробит пакеты, меняет их порядок или вставляет мусорные данные (TCP fragmentation, TTL trickery)

• Результат: ТСПУ сходит с ума. Он не может собрать пакет в единое целое, чтобы прочитать SNI, и пропускает его от греха подальше

2. VLESS + Reality: Маскировка под легитима

Это метод маскировки VPN-трафика под обычный HTTPS-трафик на разрешенные сайты (например, Microsoft или Apple). ТСПУ видит идеальный TLS-хендшейк, который ведет на белый адрес, и не блокирует его

Важнейший нюанс: в условиях белого списка Reality нужно настраивать с использованием SNI из разрешенного перечня (vk.com, mail.ru, ya.ru). Если ваш пакет притворяется запросом к ВК, ТСПУ с высокой вероятностью пропустит его даже в самый жесткий комендантский час, но последнее время жалобы так же и на этим SNI, многие пользователю экспериментирует и ставят, что то не очень популярное

Долго про это говорить не будем, так как это вообще отдельная тема, на которую уже есть статьи на хабре и не только

Вот полезные статьи, некоторые без VPN не откроются:
1
2
3
4
5
6

3. Tor и «Снежинки»

Tor обсуждается в использование мостов obfs4 и технологии Snowflake. Даже когда ТСПУ блокирует входы в сеть Tor, мосты позволяют просочиться через нестандартные порты. Однако, РКН активно охотится за IP-адресами мостов, поэтому пользователям приходится использовать B-Checker для автоматического подбора рабочей конфигурации

Часть 4: Готовые решения

Что сейчас в целом обсуждают из готовых решений и способов

1. hynet.space

Этот сервис сейчас чаще всего упоминается в сообществах как наиболее универсальное решение, так же присутствует разработка собственного протоколам VLESS3 Hynet

• В отличие от классических VPN, здесь упор сделан на огромный пул протоколов (VLESS, Shadowsocks-2022, Trojan, xHTTP, VLESS3 Hynet).

• Его выделяют за стабильность на тяжелых провайдерах в регионах, где уже вовсю тестируют вайтлисты, в некоторых случаях может не работать, это все индивидуально. По сути, это агрегатор, который берет на себя всю возню с подбором рабочих конфигов, позволяя переключаться между ними за секунду, если ТСПУ приуныл на одном из направлений

2. Amnezia VPN

Популярное опенсорс-решение для тех, кто хочет полный контроль

• Amnezia довольно тяжелая и закрытая система. Она плохо дружит с другими сервисами на одном VPS и часто выдает ошибки при попытке настроить что-то сложнее стандартного конфига.

• Круто, если у вас чистый сервер, но если IP вашего VPS попадет в бан (а подсети Oracle и Hetzner сейчас вырезают пачками), переезд превратится в вашу личную головную боль.

3. VoxiProxy

Если ваша цель Faceit или CS2 без потерь пакетов или игр на смартфоне

• Оптимизированы под мобильный трафик. В обсуждениях отмечают, что они часто используют связки с российскими облачными провайдерами в качестве входных шлюзов

4. Cloudflare WARP и Mullvad

• Из-за своей честной политики и отсутствия маскировки под HTTPS, он стал легкой мишенью. В РФ сейчас работает крайне нестабильно.

• WARP обсуждают бесконечные попытки найти рабочие эндпоинты. Да, через B-Checker или кастомные WireGuard-конфиги его еще можно завести, но для обычного работяги это превращается в квест на выжевание

5. DuckVPN

• На форумах часто обсуждают их борьбу с MTU/MSS clamping. На сетях МТС и Мегафон ТСПУ часто дропает пакеты, если их размер кажется ему подозрительным. Разработчики Duck пытаются динамически менять размер сегмента TCP, чтобы проскочить фильтры, хотя в условиях жестких белых списков это работает но, не у всех

На данный момент, не существует единого решения под все регионы и провайдеры, потому что ТСПУ и уровень фильтрации отличаются

Поэтому у кого то срабатывает на одном, а у другого на этом же ничего не работает, танцы с бубном так сказать, протестировал на себе лично(

С одной стороны ТСПУ, которые пытаются превратить глобальную сеть в тесный "интранет" по заветам КНДР. С другой стороны энтузиасты свободы, которые находят лазейки в самой архитектуре TCP/IP

Путь белых списков это путь к деградации, проблемам с облаками и постоянным костылям в инфраструктуре. Но опыт Ирана и Северной Кореи показывает: полностью зацементировать информационные потоки невозможно, пока в руках у людей есть инструменты десинхронизации и маскировки