Блокировка vpn
6 декабря 2025 г.В последние годы государства и крупные интернет‑операторы усиливают контроль над трафиком, направленным к VPN‑сервисам. Цель — ограничить доступ к запрещённым ресурсам и обеспечить возможность мониторинга пользовательской активности. В статье рассматриваются основные технические методы блокировки VPN, их взаимодействие с различными протоколами и схемы, позволяющие понять, как именно происходит обнаружение и фильтрация трафика.
Основные методы блокировки VPN
1. Блокировка на уровне DNS
Самый простой способ — возвращать неверный IP‑адрес или NXDOMAIN в ответ на запрос к домену VPN‑провайдера. При этом клиент пытается установить соединение с недоступным адресом и получает ошибку.
2. Блокировка по IP‑адресу
Список IP‑адресов, принадлежащих VPN‑серверам, заносится в черные списки маршрутизаторов и межсетевых экранов. Трафик к этим адресам отбрасывается без уведомления.
3. Глубокий анализ пакетов (DPI)
DPI‑системы просматривают заголовки и полезную нагрузку пакетов, ищут характерные признаки VPN‑протоколов и блокируют их в реальном времени.
4. Фильтрация по SNI и TLS‑fingerprint
При установке TLS‑соединения клиент передаёт в поле SNI (Server Name Indication) имя хоста. Если в SNI указано известное VPN‑доменноe имя, соединение блокируется. Кроме того, уникальные «отпечатки» (cipher suites, порядок хэндшейков) позволяют отличить OpenVPN‑TLS от обычного HTTPS.
5. Трафик‑шейпинг и ограничение скорости
Определённые типы трафика (например, UDP‑пакеты с постоянным размером) могут быть замедлены или отброшены, что делает работу VPN‑клиента непрактичной.
Технические детали методов блокировки
Схема работы DPI‑детектора
+-------------------+ 1. Захват пакета
| Пакет из сети |---------------------------->
+-------------------+ 2. Парсинг заголовков
| (IP, TCP/UDP, TLS)
v
+-------------------+ 3. Поиск сигнатур
| DPI‑модуль |---------------------------->
+-------------------+ 4. Сравнение с базой
| (OpenVPN‑TLS, WireGuard,
v V2Ray‑VMess, …)
+-------------------+ 5. Принятие решения
| Действие: |<----------------------------
| - DROP |
| - RATE‑LIMIT |
+-------------------+
Схема блокировки по SNI
Client --> TLS ClientHello (SNI = "vpn.example.com")
|
v
DPI / Proxy проверяет поле SNI
|
|--- Если SNI в черном списке → RST/FIN
|
|--- Иначе → передаёт дальше
Протоколы VPN и их уязвимости перед блокировкой
- OpenVPN (TCP/UDP) – использует собственный протокол поверх TLS. Уязвим к DPI (по портам 1194/443) и TLS‑fingerprint.
- WireGuard – лёгкий протокол на основе UDP, фиксированный набор пакетов. Легко обнаруживается по характерному размеру и частоте пакетов.
- IKEv2/IPsec – использует UDP‑порт 500/4500 и ESP. Может быть заблокирован по портам и по характерному набору ESP‑заголовков.
- L2TP/IPsec – комбинация UDP‑портов 1701, 500, 4500. Часто попадает под блокировку по этим портам.
- PPTP – использует GRE и TCP‑порт 1723, устарел и легко фильтруется.
- SSTP – работает через HTTPS (порт 443), но имеет отличительный TLS‑handshake, который можно отличить от обычного веб‑трафика.
- Shadowsocks – простой SOCKS‑прокси, часто маскируется под обычный HTTP/HTTPS, но характерные размеры пакетов позволяют его обнаружить.
- V2Ray (VMess, VLESS) – гибкие протоколы с возможностью маскировки под HTTP/2, но требуют специфических сигнатур для обнаружения.
- SOCKS5 – базовый прокси‑протокол, часто блокируется по IP и по анализу начального рукопожатия.
Сравнительная таблица (в виде списка) методов блокировки vs протоколов
- DNS‑блокировка
- Эффективна против: OpenVPN (доменные имена), Shadowsocks, V2Ray (доменные точки входа)
- Обход: DNS‑over‑HTTPS, DNSCrypt
- Эффективна против: OpenVPN (доменные имена), Shadowsocks, V2Ray (доменные точки входа)
- Обход: DNS‑over‑HTTPS, DNSCrypt
- IP‑блокировка
- Эффективна против: любой протокол с фиксированными IP‑адресами
- Обход: динамические IP, CDN‑облачные фронты
- Эффективна против: любой протокол с фиксированными IP‑адресами
- Обход: динамические IP, CDN‑облачные фронты
- DPI
- Эффективна против: OpenVPN, WireGuard, IKEv2, V2Ray (по сигнатурам)
- Обход: обфускация (obfs4, meek), маскировка под HTTPS
- Эффективна против: OpenVPN, WireGuard, IKEv2, V2Ray (по сигнатурам)
- Обход: обфускация (obfs4, meek), маскировка под HTTPS
- SNI/TLS‑fingerprint
- Эффективна против: OpenVPN‑TLS, SSTP, V2Ray‑TLS
- Обход: TLS‑прокси, изменение порядка cipher suites, использование TLS 1.3 (меньше отпечатков)
- Эффективна против: OpenVPN‑TLS, SSTP, V2Ray‑TLS
- Обход: TLS‑прокси, изменение порядка cipher suites, использование TLS 1.3 (меньше отпечатков)
- Трафик‑шейпинг
- Эффективен против: WireGuard (постоянный размер пакетов), UDP‑VPN
- Обход: перемешивание размеров пакетов, добавление «шумного» трафика
- Эффективен против: WireGuard (постоянный размер пакетов), UDP‑VPN
- Обход: перемешивание размеров пакетов, добавление «шумного» трафика
Практические способы для обхода блокировок
- Выбор протокола с наименьшей сигнатурой:
WireGuard + obfs4илиV2Ray + TLS‑obfuscation. - Использование мульти‑хоп (цепочки) серверов, каждый из которых находится в разных подсетях.
- Обфускация DNS:
DNS‑over‑HTTPS (DoH)илиDNS‑Cryptвместо обычного UDP‑DNS. - Переключение портов: использовать 443 TCP (маскировка под HTTPS) или случайные порты, меняемые автоматически.
- Внедрение «пакетных шумов» (packet padding) для выравнивания размеров пакетов до типичных HTTP‑запросов.
- Регулярное обновление списка серверов и IP‑адресов, чтобы избежать статических черных списков.
Заключение
Блокировка VPN — это постоянно развивающаяся игра между провайдерами фильтрации и разработчиками обходных решений. Традиционные методы (DNS и IP‑блокировки) легко обходятся, тогда как DPI, SNI‑фильтрация и TLS‑fingerprinting требуют более сложных техник маскировки. Понимание того, какие сигнатуры ищут системы фильтрации, позволяет подобрать оптимальный протокол и набор обфускационных слоёв, обеспечивая надёжный доступ к запрещённым ресурсам даже в условиях строгой цензуры.
