31.03.2026 07:11
A1exMa 5 5300 Источник

Прошлой осенью я лишился своего VPN-сервиса. Классический селфхостед на VDS, поднятом у зарубежного хостера, без посредников. Работал надёжно, стоил копейки — и я привык к тому, что всё просто работает. Осенняя волна блокировок смела его вместе с тысячами похожих.

Не я один попал под раздачу. Эта волна ударила как по самоварам, так и по крупным коммерческим сервисам. Дополнительной нервозности добавлял тот факт, что ситуация разительно отличалась в зависимости от региона, провайдера и типа соединения — что вносило дополнительную суматоху и делало любые обобщения практически невозможными.

Ноябрьский обвал стал шоком. VLESS — протокол, казавшийся нерушимым — пал. СМИ подавали это как великое достижение российского регулятора: России удалось то, чего не смог Китай — страна с самой совершенной системой интернет-цензуры в мире, с многолетним опытом и колоссальными ресурсами. Великий Китайский Файрвол при всей своей мощи не нашёл противодействия VLESS. Российский регулятор — нашёл.

Однако когда я начал по кусочкам собирать картину произошедшего, всё оказалось не так мрачно. Протокол устоял. Расколоть его до сих пор не удалось никому. Проблема была не в протоколе, а в людях, которые его использовали. Их всех сгубили общие паттерны: характерные признаки трафика, по которым системы DPI научились его детектировать и выделять из общего потока.

VLESS стал невероятно популярен — и вот это, как я понимаю теперь, и было первым тревожным звоночком, который я пропустил. Вместе с популярностью пришли удобство и инструменты: веб-панели, готовые скрипты, тулзы на любой вкус. Я оказался одним из тех десяти миллионов леммингов, которые не могут ошибаться. Поддался всеобщей эйфории, уверовал в неуязвимость VLESS — и совсем потерял осторожность. Поставил себе удобную панель 3X-UI, не удосужившись сменить дефолтный порт или хоть как-то её замаскировать.

Именно это и детектировали системы DPI. Миллионы пользователей, действующих по одному шаблону: однотипные гайды по настройке, одни и те же сайты для мимикрии трафика, одни и те же инструменты и панели с дефолтными портами, которые известны, как выяснилось, не только энтузиастам. Поверх этого — активное зондирование, выявляющее характерное отклонение при рукопожатии.

Результатом действий регулятора стала не компрометация протокола, а выявление и компрометация узлов, которые его использовали, — с последующей блокировкой по IP. Я убедился в этом лично: в судорожной попытке починить упавший сервис потерял доступ к узлу даже по SSH — но только из российского сегмента сети. С зарубежных серверов он по-прежнему оставался доступен.

Кампания по блокировке VLESS оказалась беспрецедентной по масштабу. Она наглядно показала: времена, когда можно было целиком полагаться на одну технологию — пусть даже самую совершенную — остались в прошлом. Никто больше не может чувствовать себя неуязвимым.

Но у этой истории есть и обратная сторона. Кампания обнажила слабости самого регулятора. Когда все силы были брошены на VLESS, многие другие протоколы, прежде заблокированные, вдруг снова начали работать. На короткое время открылся доступ к ранее недоступным ресурсам — мощностей оборудования, судя по всему, не хватило, чтобы блокировать всё и сразу: тотальный контроль уперся в лимиты железа.

Тем не менее главный вывод, который сделало большинство участников рынка, был однозначным: жизнь больше не будет прежней. Схемы, работавшие раньше — когда можно было арендовать сервер за рубежом по цене чашки кофе, прокинуть до него защищенный канал и получить свой личный VPN, — больше не работают. Такие каналы будут вычислены и заблокированы. И с развитием систем и техник DPI срок их обнаружения и компрометации будет только уменьшаться.

Время простых схем закончилось. Чтобы обеспечить стабильную работу сети в будущем, потребуются более сложные инфраструктурные решения — масштабные и диверсифицированные, способные гибко реагировать на действия регулятора: менять топологию и протоколы в зависимости от ситуации и обеспечивать всё более глубокую маскировку.

Эта история заставила меня остановиться и подумать. Не о том, как быстрее восстановить доступ к утраченному сервису — технически это вполне решаемая проблема. А о природе произошедшего: почему схема, работавшая годами, сломалась?

Подписывайтесь на мой канал в телеграм: мои статьи появится там на пару дней раньше, чем на Хабре.

Продолжение: «Записки выжившего лемминга — Часть 2. Гонка вооружений»

Комментарии (5)


  1. Last26
    31.03.2026 07:24
    #29750860

    Чтож..это объясняет почему когда все говорили про блокировки vless у меня все продолжало работать..тк по привычке я закрыл любой трафик кроме того, что с моих адресов к ВПС идёт ..


    1. A1exMa Автор
      31.03.2026 07:24
      #29751058

      Про active probing это лишь догадки, the truth is out there


  1. Belkogoth
    31.03.2026 07:24
    #29759232

    Ну в целом так и есть, когда протокол начинают гонять массы - он становится понятным по внешнему виду. ТСПУ-то по своей работе напоминает подслушивающего из соседней квартиры через тазик у толстой бетонной стены: сам разговор не слышит, потому не понимает речь, но отчетливо ясны факты, что происходит именно разговор людей, и по тембру бубнежа понятно, что один из говорящих - знакомый сосед))) А детали разговора подслушивающему не нужны)))


    1. A1exMa Автор
      31.03.2026 07:24
      #29759780

      Точн. Основной поинт серии - что можно технически спрятать что угодно: заголовки, адреса, тело... и как угодно зашифровать... Но вот избавиться от этого бубнежа... Либо заворачивать его в трафик, в котором он растворится (это как слушать в плотно населенной коммуналке, когда все бубнят со всех сторон, и это сливается в один плотный гул; тогда отдельный бубнеж не слышен). Либо бубнить не так как все (на других частотах, например).

      Учитывая, что сейчас к распознаванию бубнежа активно подключаются нейросети - а это всегда обучение на больших данных и немножко вероятностный характер результата... Надо стремиться попасть в те 2% шума, которые были в обучающей выборке - если вы понимаете, что я хочу этим сказать. Стать типичным нетипичным отклонением от среднего.

      Если я непонятно выразился - есть клевое аниме "Психопаспорт" на эту тему, стоит посмотреть (1й сезон)


      1. Belkogoth
        31.03.2026 07:24
        #29764416

        Ну в теории можно попробовать маскировать траффик не под веб-серфинг, а под, к примеру, видеопоток с легитимного видеохостинга или облака крупного производителя систем видеонаблюдения) И маскировать траффик под паттерн потока, который, во-первых, довольно рандомный по содержанию (передающая камера может слать поток только по обнаружению движения в кадре) и по характерным признакам h.265 сжатия))) Такое куда сложнее выделить, чем веб-серфинг, ибо поток плотнее, и плотность не постоянная ввиду причины выше)) По крайней мере, пока этим не начали страдать массы. Все же странно будет с точки зрения ТСПУ, что у нас в стране несколько миллионов человек вдруг резко решили понапокупать камер и активно смотреть их)))

        Впрочем, на удивление, у меня до забугорного VPS пока что единственный протокол, который работает практически 24\7\365 - SSTP между роутеросями, с сертфикатами. OpenVPN\tcp тоже работает, хотя и обрывается время от времени. Wireguard работает через жопу даже внутри страны - этот момент отдельно выбешивает, ибо попросту на нем даже не поднять стабильный канал на рабочие ресурсы. Опсосы опупели в край. Остальное плюс-минус как повезет.