В этой заметке я постараюсь ответить на вопрос – как ТСПУ детектируют и блокируют VPN. (Официально, ТСПУ означает Технические Средства Противодействия Угрозам. Имеются в виду угрозы правящему классу со стороны трудящегося населения, которое как учит история не всегда будет терпеть эксплуататоров на своей шее.)
Как уже упоминалось в ранее, технология VPN изначально не предназначалась для обхода блокировок. VPN – это виртуальная частная сеть (VPN – Virtual Private Network). Основная идея – организация туннелей в общей сети – виртуальных каналов, эмулирующих двухточечное соединение. Входы и выходы из туннеля располагаются в точках подключения абонентов. Для обхода блокировок нужно настроить туннель в интернете, так чтобы на одном конце находился ваш компьютер или смартфон, а на другом – некоторый сервер вне юрисдикции РФ. Тогда ваш трафик сможет пройти по туннелю, не будучи перехваченным ТСПУ, и выйти в другую сеть, где цензура слабее и достичь целевого ресурса – сервера YouTube, например.
По мере увеличения спроса на технологии обхода цензуры, производители VPN стали позиционировать свои продукты как устойчивые к цензуре с единственной целью заработать, а базовая технология при этом не изменилась. Всё многообразие доступных VPN является незначительной доработкой трёх основных VPN-протоколов. Чаще всего VPN построен на протоколах OpenVPN или WireGuard, и реже на протоколе IPSec.
Общей чертой всех протоколов VPN (и, кстати, TOR) является двухэтапная схема установления соединения. На первом этапе происходит соединение вашего устройства с VPN-сервером для обмена конфигурационными файлами, выбора общих протоколов шифрования VPN-туннеля и получения адреса шлюза. На втором этапе ваше устройство устанавливает туннель, ведущий на шлюз. С этого момента весь трафик от ваших приложений и обратно будет проходить по этому туннелю до шлюза, затем попадать во внутреннюю сеть VPN-провайдера, и выходить из неё в некотором месте, которое находится вне юрисдикции РФ, откуда и дойдёт до целевого ресурса. Если целевой ресурс (например, сайт в интернете) не обладает средствами распознавания VPN, то для него источником вашего трафика будет точка выхода из сети VPN, а не ваш настоящий адрес. VPN-провайдеры, как правило, покупают большое количество серверов в разных странах, и вы можете выбрать, в какой стране выйдет ваш трафик через один из таких серверов.
Например, если вы находитесь в РФ и желаете посмотреть YouTube, то вам не следует выбирать, например, Белоруссию как точку выхода из VPN. Ваш трафик будет заблокирован внутри белорусской сети. Выберите другую страну из доступных у VPN-провайдера или в самом приложении VPN.
Самым уязвимым местом в двухэтапной схеме является установление первого соединения – то есть, соединение с VPN-сервером. Если адреса шлюзов меняются часто, то адреса VPN-серверов меняются редко или вообще не меняются. Поэтому они известны цензору. ТСПУ легко идентифицируют и блокируют соединения с такими серверами. Как это реализовано технически?
Соединения с VPN-сервером как правило устанавливается по протоколу TLS (TLS – Transport Layer Security). TLS — это очень широко распространённый протокол шифрованной передачи данных в интернете. Когда вы читаете эти строки, ваше устройство уже установило не одно TLS-соединение. Среди них и соединение с сайтом РП.
Первым сообщением, которое клиент посылает для установки TLS-соединения с сервером имеет легко запоминающееся название ClientHello. Помимо прочих полей в ClientHello содержится поле SNI (SNI – Server Name Indication, Индикация Имени Сервера), в котором указан “адрес” VPN-сервера. Это поле нешифрованное и легко доступно ТСПУ для просмотра.
Приведём для наглядности значения этого поля для наиболее популярных VPN: NordVPN: nor-dapps1.com, nordcdn.com, xx.nordvpn.com; ProtonVPN: verify.proton.me; VyprVPN: api.goldenfrog.com; Windscribe: api.windscribe.com; WARP: api.cloudflareclient.com.
Для ТСПУ не составляет труда сбросить установку соединения при обнаружении подобных адресов в ClientHello SNI. Поскольку почти все VPN устроены таким образом, постольку они все легко блокируются по SNI. Блокировка по SNI – один из самых распростанённых методов цензура. Это полезно знать.
VPN нельзя рассматривать как серьёзное средство обхода блокировок. Как правило, новое VPN-приложение блокируется в течение нескольких дней. Зачастую этому способствуют сами пользователи, распространяющие из добрых побуждений информацию о новом способе обхода блокировок в публичных каналах.
В этой заметке я постараюсь ответить на вопрос – как ТСПУ детектируют и блокируют VPN. (Официально, ТСПУ означает Технические Средства Противодействия Угрозам. Имеются в виду угрозы правящему классу со стороны трудящегося населения, которое как учит история не всегда будет терпеть эксплуататоров на своей шее.)
Предыдущую вводную заметку про ТСПУ можно прочитать здесь: https://work-way.com/blog/2019/01/19/kurilka/comment-page-35/#comment-70286
Как уже упоминалось в ранее, технология VPN изначально не предназначалась для обхода блокировок. VPN – это виртуальная частная сеть (VPN – Virtual Private Network). Основная идея – организация туннелей в общей сети – виртуальных каналов, эмулирующих двухточечное соединение. Входы и выходы из туннеля располагаются в точках подключения абонентов. Для обхода блокировок нужно настроить туннель в интернете, так чтобы на одном конце находился ваш компьютер или смартфон, а на другом – некоторый сервер вне юрисдикции РФ. Тогда ваш трафик сможет пройти по туннелю, не будучи перехваченным ТСПУ, и выйти в другую сеть, где цензура слабее и достичь целевого ресурса – сервера YouTube, например.
По мере увеличения спроса на технологии обхода цензуры, производители VPN стали позиционировать свои продукты как устойчивые к цензуре с единственной целью заработать, а базовая технология при этом не изменилась. Всё многообразие доступных VPN является незначительной доработкой трёх основных VPN-протоколов. Чаще всего VPN построен на протоколах OpenVPN или WireGuard, и реже на протоколе IPSec.
Общей чертой всех протоколов VPN (и, кстати, TOR) является двухэтапная схема установления соединения. На первом этапе происходит соединение вашего устройства с VPN-сервером для обмена конфигурационными файлами, выбора общих протоколов шифрования VPN-туннеля и получения адреса шлюза. На втором этапе ваше устройство устанавливает туннель, ведущий на шлюз. С этого момента весь трафик от ваших приложений и обратно будет проходить по этому туннелю до шлюза, затем попадать во внутреннюю сеть VPN-провайдера, и выходить из неё в некотором месте, которое находится вне юрисдикции РФ, откуда и дойдёт до целевого ресурса. Если целевой ресурс (например, сайт в интернете) не обладает средствами распознавания VPN, то для него источником вашего трафика будет точка выхода из сети VPN, а не ваш настоящий адрес. VPN-провайдеры, как правило, покупают большое количество серверов в разных странах, и вы можете выбрать, в какой стране выйдет ваш трафик через один из таких серверов.
Например, если вы находитесь в РФ и желаете посмотреть YouTube, то вам не следует выбирать, например, Белоруссию как точку выхода из VPN. Ваш трафик будет заблокирован внутри белорусской сети. Выберите другую страну из доступных у VPN-провайдера или в самом приложении VPN.
Самым уязвимым местом в двухэтапной схеме является установление первого соединения – то есть, соединение с VPN-сервером. Если адреса шлюзов меняются часто, то адреса VPN-серверов меняются редко или вообще не меняются. Поэтому они известны цензору. ТСПУ легко идентифицируют и блокируют соединения с такими серверами. Как это реализовано технически?
Соединения с VPN-сервером как правило устанавливается по протоколу TLS (TLS – Transport Layer Security). TLS — это очень широко распространённый протокол шифрованной передачи данных в интернете. Когда вы читаете эти строки, ваше устройство уже установило не одно TLS-соединение. Среди них и соединение с сайтом РП.
Первым сообщением, которое клиент посылает для установки TLS-соединения с сервером имеет легко запоминающееся название ClientHello. Помимо прочих полей в ClientHello содержится поле SNI (SNI – Server Name Indication, Индикация Имени Сервера), в котором указан “адрес” VPN-сервера. Это поле нешифрованное и легко доступно ТСПУ для просмотра.
Приведём для наглядности значения этого поля для наиболее популярных VPN: NordVPN: nor-dapps1.com, nordcdn.com, xx.nordvpn.com; ProtonVPN: verify.proton.me; VyprVPN: api.goldenfrog.com; Windscribe: api.windscribe.com; WARP: api.cloudflareclient.com.
Для ТСПУ не составляет труда сбросить установку соединения при обнаружении подобных адресов в ClientHello SNI. Поскольку почти все VPN устроены таким образом, постольку они все легко блокируются по SNI. Блокировка по SNI – один из самых распростанённых методов цензура. Это полезно знать.
VPN нельзя рассматривать как серьёзное средство обхода блокировок. Как правило, новое VPN-приложение блокируется в течение нескольких дней. Зачастую этому способствуют сами пользователи, распространяющие из добрых побуждений информацию о новом способе обхода блокировок в публичных каналах.
Более подробный технический анализ возможностей обхода блокировок можно прочитать в статье “Vpn or vpwn? how afraid should you be of vpn traffic identification?”, T. Rajore, 2025 (https://tma.ifip.org/2025/wp-content/uploads/sites/14/2025/06/tma2025_paper62.pdf)
Продолжение будет.
Вечер добрый. Что вы думаете насчёт этой технологии и её применении при фашистском обрубании связи в стране или ряде стран?
https://youtu.be/5iz5d8urO8I?si=addDclKXq0EpGtWT