Интернет-цензура в 2026 году — это уже не один рубильник, который щёлкает государство. Это стек из четырёх технических слоёв, каждый со своей логикой и своими методами обхода. Понимание этого стека — разница между инструментом, который реально помогает, и инструментом, который просто создаёт ощущение защищённости.
Четыре слоя современной цензуры
Любая серьёзная система цензуры работает, комбинируя хотя бы два из четырёх следующих методов. Они накладываются друг на друга не случайно: каждый слой дёшев в эксплуатации и перекрывает свой класс трафика. Вместе они закрывают большую часть того, что государство или оператор хотят подавить.
Блокировка DNS — самый старый и дешёвый слой. Когда ваше устройство хочет подключиться к домену — скажем, к новостному сайту, признанному нежелательным — оно сначала отправляет запрос DNS-резолверу, чтобы узнать IP-адрес, скрытый за доменным именем. Операторы, контролирующие резолвер (интернет-провайдер почти всегда запускает свой по умолчанию), могут просто вернуть неправильный ответ — или вообще никакого. Вы вводите домен, резолвер лжёт, браузер сообщает об ошибке соединения. Для пользователя это выглядит точно как недоступный сайт. Для оператора это почти ничего не стоит: чёрный список из нескольких тысяч доменов обслуживается несколькими запросами к базе данных. Блокировка DNS — самый распространённый первый слой, потому что не требует инспекции пакетов, масштабируется на миллионы пользователей на обычном железе и обновляется за минуты.
Блокировка IP работает на уровень ниже. Вместо того чтобы обманывать DNS-резолвер, сеть дропает любой пакет, адресованный конкретному IP или диапазону IP. Это перекрывает трафик, который вообще не использует DNS — захардкоженные адреса, VoIP-клиенты, приложения, кэширующие адреса — и создаёт более жёсткий технический барьер там, где обход DNS распространён. Операторы используют таблицы маршрутизации и правила файрвола на пограничных роутерах. Грубость блокировки IP — и её слабость: один IP-адрес может хостить тысячи несвязанных сайтов (shared hosting, CDN), поэтому блокировка одного нередко блокирует многих. Этот побочный ущерб иногда создаёт политические проблемы и вынуждает цензоров избирательно подходить к тому, какие IP они действительно нулируют.
Глубокая инспекция пакетов (DPI) — слой наблюдения. Вместо того чтобы действовать на основе адресной информации, DPI в реальном времени анализирует содержимое и форму сетевого трафика, выискивая паттерны, идентифицирующие тип трафика и, в некоторых случаях, его содержимое. DPI-аппаратура на границе провайдера может классифицировать соединения по протоколу, идентифицировать VPN-рукопожатия по характерным байтовым последовательностям, читать незашифрованные DNS-запросы даже когда маршрутизация говорит, что они должны пройти, и обнаруживать ключевые слова в незашифрованном HTTP. Это слой, делающий обход цензуры сложным с помощью простых инструментов — потому что блокировка основана не на том, куда вы идёте, а на сигнатуре того, как вы туда добираетесь. Статья глубокая инспекция пакетов объясняет, как DPI-оборудование принимает эти решения на линейной скорости. Коммерческие DPI-аппараты от Sandvine, Huawei и ZTE широко развёрнуты в ограничительных сетях и способны обрабатывать трафик на операторских скоростях без заметной задержки.
Замедление (throttling) — самый незаметный слой. Вместо того чтобы блокировать трафик напрямую, замедление деградирует конкретные сервисы до состояния непригодности — снижает скорость до нескольких килобайт в секунду для видеострима, принудительно обрывает соединения через тайм-аут, избирательно деградирует международные каналы в политически чувствительные периоды. Throttling сложнее атрибутировать и сложнее доказать, чем жёсткую блокировку. Пользователь, который не может смотреть новостной эфир, воспринимает это как «плохой интернет сегодня», а не как цензуру — в этом и смысл. К тому же замедление мгновенно и отрицаемо обратимо. Мобильные операторы — частая точка применения throttling, потому что спектр и инфраструктура жёстко регулируются, и регуляторы имеют прямые административные рычаги над операторами.
| Метод | Что блокирует | Кто применяет | Ощущение пользователя |
|---|---|---|---|
| Блокировка DNS | Пункты назначения по доменному имени | Резолвер ISP, национальный DNS | «Сайт не найден» — выглядит как недоступный сайт |
| Блокировка IP | Конкретные IP-адреса серверов или диапазоны | Пограничные роутеры, файрволы ISP | Тайм-аут или сброс соединения — выглядит как сетевая проблема |
| Глубокая инспекция пакетов | Протоколы, VPN-рукопожатия, ключевые слова | DPI-аппараты на уровне ISP/национальной границы | Избирательные сбои — VPN отваливается, отдельные приложения перестают работать |
| Замедление (throttling) | Всё, что оператор может классифицировать | Мобильные операторы, QoS-системы ISP | Критическое замедление, тайм-ауты, неработоспособность — похоже на перегрузку сети |
Карта цензуры: как это выглядит в разных частях мира
Интернет-цензура не везде одинакова, потому что цели, технические возможности и политические ограничения различаются. Понимание этих различий объясняет, почему инструмент, работающий в одной среде, полностью ломается в другой.
Самые лёгкие режимы цензуры полагаются почти исключительно на блокировку DNS — возможно, дополненную избирательными IP-блоками для наиболее приоритетных целей. Это характерно для стран с демократическими институтами, где регуляторные полномочия над интернетом политически оспариваются: суды могут обязать провайдеров блокировать конкретные домены, но полное развёртывание DPI потребовало бы законодательства, которого пока нет или которое столкнулось бы с конституционными ограничениями. Такие блоки раздражают, но тривиально обходятся с помощью альтернативного DNS-резолвера.
Более агрессивный уровень сочетает DNS и IP-блокировку с DPI-детектированием VPN. Эти сети блокируют не только пункты назначения — они блокируют инструменты, используемые для достижения заблокированных пунктов назначения. Коммерческий VPN с узнаваемым рукопожатием будет обнаружен и молча дропнут. Пользователь может обнаружить, что определённые порты заблокированы, что VPN-соединения устанавливаются ненадолго, а затем обрываются, или что устойчиво проходит только трафик, похожий на обычный веб-браузинг. Здесь выбор правильного транспорта важнее выбора правильного VPN-провайдера.
Наиболее изощрённые развёртывания добавляют белый список: вместо поддержания чёрного списка запрещённых пунктов назначения они ведут белый список разрешённых. Любой адрес, не вошедший в список, недоступен по умолчанию. В сочетании с обязательной регистрацией устройств в сети это создаёт среду, где сетевая топология сама по себе обеспечивает контроль доступа. VPN, выходящий в открытый интернет, здесь бесполезен, потому что VPN-трафик сам идёт на IP-адрес, которого нет в белом списке. Единственные технические контрмеры — маршрутизация через одобренный отечественный сервер, который затем достигает запрещённого пункта назначения — что требует кооперирующей структуры внутри одобренной сети.
Несколько факторов определяют интенсивность цензуры в конкретном месте. Технические возможности — один из них: создание и поддержание DPI-инфраструктуры в национальном масштабе дорого и требует подготовленного персонала. Политическая воля — другой: цензура, раздражающая технически грамотный городской средний класс, создаёт политические издержки. Правовые рамки тоже важны — в странах, где доступ к интернету входит в правозащитный дискурс, планка для открытой блокировки выше. И экономика играет роль: жёсткая блокировка международных платформ может мешать законной деловой активности, создавая давление со стороны внутренних коммерческих интересов.
Наконец, кризисные периоды резко меняют картину. Сети, применяющие мягкую DNS-фильтрацию в обычное время, могут активировать IP-блоки и замедление в течение нескольких часов с началом протестов, приближением выборов или разворачиванием крупного геополитического события. Инфраструктура для агрессивной цензуры нередко строится заранее и держится в резерве, а не применяется непрерывно — потому что непрерывное применение несёт политические издержки, которых прерывистое применение избегает.
Как обходится каждый слой — и какова цена
Понимание логики каждого слоя делает обходы очевидными. Каждый обход либо перемещает трафик на путь, который цензор не контролирует, либо делает трафик похожим на то, что цензор решил не блокировать.
Обход блокировки DNS — самый простой. Поверхность атаки узкая: если вы контролируете, какой DNS-резолвер использует ваше устройство, можно использовать тот, что отвечает честно. DNS over HTTPS (DoH) и зашифрованный DoT — протоколы, скрывающие ваши запросы внутри зашифрованного соединения с доверенным резолвером: 1.1.1.1 (Cloudflare), 9.9.9.9 (Quad9) или 8.8.8.8 (Google). ISP-уровень DNS-перехватчика не может читать или подделывать эти запросы, потому что они зашифрованы ещё до того, как покидают ваше устройство. Большинство современных браузеров поддерживают DoH нативно; его включение — смена настроек, а не установка программы. Цена минимальна: незначительное увеличение задержки (несколько миллисекунд до резолвера за пределами вашей страны) и остаточный риск того, что противник заблокирует IP-адреса популярных публичных резолверов — что некоторые и делают. Для пользователей, сталкивающихся только с DNS-блоками, DoH в одиночку нередко достаточен — VPN не нужен, заметного замедления нет.
Обход блокировки IP требует переноса трафика на сервер, которого нет в чёрном списке. VPN — стандартный инструмент: ваши пакеты идут на IP VPN-сервера, а не на заблокированный адрес назначения, и VPN-сервер пересылает их дальше. Это надёжно работает, пока IP VPN-сервера сам не заблокирован. Гонка вооружений — вокруг свежести IP-адресов: цензоры добавляют IP выходных узлов VPN в чёрные списки; провайдеры VPN вводят новые. Резидентские прокси — направляющие трафик через IP-адреса, назначенные рядовым абонентам, а не диапазонам дата-центров — сложнее блокировать в масштабе, потому что их блокировка нарушает и легитимный резидентский трафик. Трейдофф: стоимость (дороже в эксплуатации), скорость (отдельные резидентские соединения медленнее дата-центровой оптики) и доверие (вы маршрутизируете через чужое домашнее устройство). О том, что VPN делает на сетевом уровне и как работает обход IP-слоя — подробно в что такое VPN.
Обход DPI — самая сложная задача, и здесь большинство VPN-маркетинга вводит в заблуждение. DPI блокирует не пункты назначения — он блокирует сигнатуры трафика. Поэтому решение не в том, чтобы найти пункт назначения, который цензор не заблокировал; решение — сделать соединение похожим на то, что цензор не будет блокировать. На практике это означает: сделать VPN-трафик похожим на обычный зашифрованный веб-браузинг, используя порты и паттерны трафика, неотличимые от обычной браузерной сессии. Статья глубокая инспекция пакетов разбирает конкретные сигналы, которые использует DPI: размеры пакетов, временные распределения, форму открывающих байт рукопожатия, поле доменного имени в заголовке соединения. VPN-транспорт, правильно имитирующий всё это, крайне сложно заблокировать, не нарушив при этом значительную долю обычного веб-трафика — на что большинство цензоров идти не готовы. Цена этого подхода — вычислительные ресурсы и накладные расходы на задержку: «одевание» пакетов под нужный отпечаток трафика требует времени обработки. На современном железе это обычно несколько миллисекунд на соединение — незаметно на практике, но ставит потолок пропускной способности ниже сырой мощности быстрого канала.
Обход замедления концептуально прост, но технически зависит от предыдущего слоя. Throttling применяется к трафику, который сеть умеет классифицировать. Зашифрованный туннель, скрывающий природу того, что внутри, предотвращает избирательное замедление — QoS-система цензора не может отличить видеострим от загрузки документа от VPN-соединения. Остаточный риск: цензор замедляет весь зашифрованный трафик, который он не может классифицировать — что некоторые сети и делают, трактуя неклассифицируемый трафик как подозрительный. В этом сценарии транспорт, похожий на обычный веб-трафик, получает лучшее обращение, чем тот, что просто неклассифицируем.
Что VPN реально делает против цензуры — и где не работает
VPN — не универсальный инструмент обхода цензуры. Это инструмент обхода для конкретных слоёв, и честность в том, каких именно, помогает избежать самонадеянности.
Против блокировки DNS VPN работает чисто. После подключения к VPN-серверу все DNS-запросы идут через резолвер сервера, а не через резолвер провайдера. Ложь, которую рассказывает резолвер провайдера, неактуальна — вы его не используете.
Против блокировки IP VPN работает хорошо — с учётом гонки вооружений вокруг IP-адресов, описанной выше. Ваш трафик идёт на IP VPN-сервера; IP заблокированного пункта назначения появляется в заголовке пакета только внутри VPN-сервера, где цензор не видит. Это рушится в момент, когда сам IP VPN-сервера попадает в чёрный список. Провайдеры, активно ротирующие IP серверов, опережают это; провайдеры, которые этого не делают, будут заблокированы в сильно фильтруемых сетях.
Против DPI ответ зависит от транспорта VPN. VPN с узнаваемой сигнатурой рукопожатия будет идентифицирован и заблокирован компетентным DPI-развёртыванием. VPN, делающий свой трафик похожим на обычный веб-трафик, может уклониться от DPI-детектирования — но не все VPN это реализуют. Это различие между stealth-транспортами и обычными VPN-транспортами — и это ось, которую большинство коммерческих VPN-провайдеров недообъясняют. Использует ли VPN современное шифрование — не важно для уклонения от DPI; важно то, как трафик выглядит на проводе, а не что он содержит.
Против белых списков VPN в основном бесполезен. Если сеть допускает трафик только к предварительно одобренному списку пунктов назначения, а IP VPN-сервера в этом списке нет, VPN-соединение вообще не может быть установлено. Исключение — VPN-сервер, чей IP оказался в белом списке, — что требует либо кооперирующего отечественного провайдера, либо VPN-сервера, замаскированного под одобренный пункт назначения. Технически возможно, но сложно масштабировать и требует постоянного сопровождения.
Против угроз внутри устройства VPN не даёт ничего. Если на устройстве работает принудительное ПО, логирующее активность и отправляющее её органу власти, это ПО имеет доступ к трафику ещё до того, как он входит в VPN-туннель. Физическое изъятие устройства даёт следователям доступ к всему, что хранится локально, — вне зависимости от того, какой VPN использовался.
Более широкую мысль стоит сформулировать прямо: VPN перемещает границу доверия от провайдера к VPN-провайдеру. Если провайдер находится в юрисдикции, сотрудничающей с вашим противником, или если провайдер ведёт логи, которые можно истребовать, VPN не даёт много защиты против изощрённого противника государственного уровня. Уклонение от DPI — другая ось: оно помогает пропустить трафик, но не делает вас анонимным ни для VPN-провайдера, ни для сервисов, которые вы через него достигаете.
Иерархия инструментов: от удобного к радикальному
Разные модели угроз требуют разных инструментов. Использование инструмента сложнее, чем требует ваша модель угроз, стоит вам реального удобства без реальной защиты. Лестница идёт от лёгкого к тяжёлому.
DoH/DoT — для случайных DNS-блоков. Если ваш провайдер блокирует несколько новостных сайтов на DNS-уровне, зашифрованный DNS сам по себе решает проблему. Включите DoH в настройках Firefox или Chrome, или установите системный резолвер на 1.1.1.1 или 9.9.9.9. Никакого VPN, никакого приложения, никаких ощутимых потерь в скорости. Это мгновенно закрывает самый простой уровень цензуры. Что это не решает: IP-блоки, DPI, и ситуации, когда цензор блокирует сами зашифрованные DNS-резолверы — что некоторые делают.
VPN — для рутинной приватности и большинства региональных блоков. Правильно выбранный VPN обходит DNS и IP слои, а VPN со stealth-транспортом обходит и большинство DPI. Для пользователей в странах, блокирующих социальные сети, новостные сайты или конкретные сервисы — без агрессивного преследования за использование VPN — VPN является правильным уровнем инструмента. Трейдоффы невелики: несколько миллисекунд задержки, ежемесячная стоимость и перенос доверия от провайдера к VPN-провайдеру. Детальный разбор того, что VPN делает на уровне протокола — в что такое VPN.
Мосты и pluggable transports — для сетей, блокирующих VPN-протоколы. Сеть мостов Tor Project — это набор волонтёрских узлов-ретрансляторов, адреса которых не опубликованы публично. Pluggable transports — в частности obfs4 — делают трафик мостов похожим на случайные байты или обычные веб-соединения, а не на узнаваемый трафик Tor. Snowflake — pluggable transport, маршрутизирующий трафик через WebRTC-каналы данных, устанавливаемые браузерами волонтёров: его сложно заблокировать, потому что IP-адреса постоянно меняются, а блокировка WebRTC сломает многие легитимные приложения для видеоконференций. Эти инструменты медленнее VPN — накладные расходы ощутимы — но они созданы для сетей, активно идентифицирующих и блокирующих VPN-протоколы. Они требуют больше настройки, чем VPN, а адреса мостов нужно получать по отдельному каналу: через bridges.torproject.org или по почте bridges@torproject.org.
Tor — для анонимности наряду с обходом. Tor маршрутизирует трафик как минимум через три независимо управляемых ретранслятора, так что ни один из них не знает одновременно и кто вы, и что вы запрашиваете. Это качественно отличное свойство от VPN: анонимность, а не просто приватность. Но это реально медленно: ожидайте задержки в сотни миллисекунд и пропускной способности, подходящей для текстовых сайтов, но не для стриминга. Tor — правильный инструмент, когда требование — анонимность, а не просто обход. Сравнение VPN, Tor и прокси, когда что имеет смысл и что каждый реально обеспечивает — в VPN vs Tor vs прокси. Tor можно сочетать с мостами и pluggable transports для сетей, блокирующих публичные ретрансляторы Tor.
Физическая передача данных — для самых экстремальных условий. Когда все сетевые пути закрыты — при полном интернет-отключении, в средах без досягаемых внешних серверов — люди прибегали к офлайн-обмену данными: USB-накопители, SD-карты, Bluetooth-передача, короткодистанционные mesh-сети. Программы вроде Briar маршрутизируют зашифрованные сообщения напрямую между устройствами через Bluetooth и WiFi без интернета. Это инфраструктура последнего прибежища: высокое трение, ограниченная пропускная способность, географические ограничения. Но она работала во время полных сетевых отключений, когда ничто другое не могло.
Принцип, лежащий в основе этой лестницы, — соответствие инструмента реальной модели угроз. Использовать Tor для случайного разблокирования контента — всё равно что использовать кувалду, чтобы вбить гвоздь; использовать DoH в сети с активным DPI — всё равно что прикрываться бумажным щитом.
Выбор под модель угроз
Три персонажа-читателя, сопоставленные с инструментами выше.
Персонаж A: Случайная приватность. Вы живёте в стране со свободным интернетом. Вы не сталкиваетесь с цензурой. Ваша озабоченность — что ваш провайдер логирует посещаемые сайты и продаёт эти данные, или что вас отслеживают между сайтами по IP-адресу. Вам нужен VPN — конкретно такой, который обрабатывает DNS-запросы внутри туннеля, так что провайдер видит только непрозрачный поток к VPN-серверу и ничего больше. Stealth-транспорт не нужен: сеть не пытается вас заблокировать, нечего уклоняться. Вам нужен VPN с чёткой политикой no-log и провайдером в юрисдикции, не требующей хранения метаданных соединений. Производительность важнее способности к уклонению. DoH в одиночку закрывает самую узкую версию этой озабоченности — защищает DNS-запросы от провайдера — с практически нулевым трением.
Персонаж B: Региональные блоки. Вы живёте в стране, где конкретные сервисы заблокированы — социальные сети во время выборов, иностранные новостные сайты, мессенджеры, VoIP — но использование VPN распространено, не преследуется активно, и инструменты обхода широко доступны. VPN со stealth-транспортом — правильный инструмент. Вам нужен обход, а не анонимность. DNS-блоки и IP-блоки — основные применяемые методы, возможно с небольшим DPI для очевидных VPN-рукопожатий. VPN с обычным, легко идентифицируемым рукопожатием будет иногда блокироваться; VPN, использующий stealth-транспорт и делающий трафик похожим на обычный браузинг, будет работать надёжнее. Трейдофф — умеренные накладные расходы на скорость. Дополнительные инструменты не нужны; операционная безопасность — не основная забота.
Персонаж C: Журналист или активист в зоне высокого риска. Вы в реально враждебной среде. Вы не просто пытаетесь получить доступ к заблокированному контенту — вам нужно, чтобы содержание ваших коммуникаций оставалось приватным, ваша идентичность была защищена от противника государственного уровня с юридическими полномочиями истребовать записи от отечественных провайдеров, а сама ваша деятельность по обходу не была атрибутируема. Здесь честная рекомендация — не ORION/VPN — а Tor в сочетании с Tails OS и тщательной операционной безопасностью. Tails — живая операционная система, запускающаяся с USB-накопителя, не оставляющая следов на компьютере и маршрутизирующая весь трафик через Tor по умолчанию. Тщательная операционная безопасность — это разделение идентичностей, использование выделенного железа для чувствительной работы и отказ от повторного использования имён пользователей или контактных методов в разных контекстах. VPN недостаточен здесь не потому, что шифрование слабое, а потому что у VPN-провайдера есть метаданные вашего соединения и провайдер подчиняется правовым процедурам. Многоуровневая архитектура Tor специально создана, чтобы выдерживать это давление. Этот раздел был бы неполным без прямой ссылки на руководство Electronic Frontier Foundation по защите от слежки — ssd.eff.org — для детального операционного руководства.
Часто задаваемые вопросы
Законно ли использование VPN для обхода цензуры?
Это целиком зависит от юрисдикции. В большинстве стран использование VPN легально и обычно — бизнес, академики и разработчики постоянно используют VPN в законных целях. В меньшем числе стран регулирование ограничивает использование VPN одобренными государством провайдерами, обязывает операторов VPN логировать и делиться данными соединений или прямо запрещает личное использование VPN. Практический риск использования VPN в этих странах варьируется: одни активно применяют запрет, другие держат ограничение на бумаге с ограниченным правоприменением. VPN не даёт правового иммунитета в отношении того, что вы делаете через него.
Как быстрее всего обойти блокировку DNS?
Переключите устройство или браузер на зашифрованный DNS-резолвер — 1.1.1.1 (Cloudflare) или 9.9.9.9 (Quad9) через DoH. Большинство современных браузеров позволяют настроить это прямо в настройках в разделе «Безопасный DNS» или «DNS over HTTPS». Настройка занимает меньше минуты, ничего не стоит и полностью устраняет DNS-блоки. Если ваша сеть перехватывает зашифрованный DNS-трафик или блокирует IP-адреса этих резолверов — нужен VPN. Но сначала попробуйте DoH: это быстрее и проще всего остального.
Почему мой VPN иногда блокируется, даже если он платный?
Скорее всего, трафик вашего VPN имеет узнаваемую сигнатуру, которую DPI-оборудование на пограничном роутере обнаруживает и дропает. Это не вопрос качества шифрования — это вопрос того, как выглядит соединение до начала зашифрованной полезной нагрузки. VPN с обычными транспортами производят рукопожатия, которые специализированное оборудование классифицирует за миллисекунды. Решение — VPN со stealth-транспортом, сконструированным так, чтобы соединения выглядели как обычный веб-трафик. Не все VPN-провайдеры это реализуют. Вторичная причина — IP-адреса серверов вашего провайдера попали в чёрный список; переключение на другой сервер или на провайдера с большим IP-разнообразием помогает в этом случае.
Может ли государство понять, что я использую VPN?
С DPI-оборудованием — да, если только ваш VPN не использует stealth-транспорт. Форма обычного VPN-соединения характерна: конкретные номера портов, характерные паттерны байт рукопожатия, распределение размеров пакетов. DPI на пограничном роутере может классифицировать это точно и на высокой скорости без расшифровки. VPN со stealth-транспортом делает соединения похожими на обычные браузерные сессии; различить их от реального браузерного трафика требует статистического анализа во времени, а не поконнекционной классификации, и даже это даёт ошибки. Использование stealth-транспорта существенно поднимает планку; оно не исключает возможность детектирования против терпеливого, хорошо обеспеченного ресурсами противника.
Достаточно ли Tor, чтобы обойти цензуру самостоятельно?
Во многих случаях да — Tor может достичь открытого интернета и обходит DNS, IP и DPI-блоки по дизайну: финальный хоп выходит с IP ретранслятора Tor, а не вашего. Практические ограничения — скорость (Tor медленный: ожидайте 1–5 Мбит/с со значительной задержкой) и тот факт, что публичные ретрансляторы Tor сами заблокированы в некоторых странах. Решение для заблокированных ретрансляторов — использование мостов (частных, неопубликованных точек входа) в сочетании с pluggable transport, делающим трафик Tor похожим на что-то другое. Браузер Tor включает поддержку мостов и транспортов; запрос мостов на bridges.torproject.org занимает несколько минут. Tor лучше подходит для анонимности, чем для рутинного разблокирования; для большинства сценариев региональной блокировки VPN быстрее и практичнее.
Как понять, применяет ли моя страна DPI?
Косвенные признаки: ваш VPN работает на одних серверах, но не на других с похожим географическим расположением? Смена порта или протокола меняет, подключается ли он? VPN-соединения устанавливаются, а затем обрываются через несколько секунд (типичное DPI-поведение — дать соединению завершиться, наблюдать паттерн рукопожатия, затем сбросить)? Одни приложения падают, а другие со схожими пунктами назначения работают нормально? Это отпечатки DPI в действии. Прямые признаки: исследователи в организациях вроде OONI (Open Observatory of Network Interference) публикуют отчёты об измерениях цензуры для большинства стран — проверка на ooni.org даёт задокументированные данные о том, какие методы применяются где.
Что такое «Великий файрвол» — это одна штука?
«Великий файрвол» — разговорное название национальной цензурной инфраструктуры Китая, официально называемой Проектом «Золотой щит». Это не одно устройство — это набор систем, эксплуатируемых разными ISP под централизованным регуляторным руководством, объединяющих все четыре описанных выше уровня: манипуляция DNS, блокировка IP, DPI-классификация протоколов и замедление трафика. Интеграция этих систем на протяжении многих лет делает его одним из наиболее технически изощрённых цензурных развёртываний. Термин иногда используется вольно для обозначения любой крупномасштабной национальной системы цензуры, но технически он относится к конкретному развёртыванию. Другие страны построили аналогичные многоуровневые системы; ни одна не идентична по архитектуре.
Почему стриминговые сервисы блокируют VPN, а мессенджеры — нет?
Стриминговые сервисы блокируют VPN, потому что их контент-лицензии географические: провайдер может иметь права на шоу в одной стране, но не в другой, и VPN-доступ обходит лицензионные границы, которые требуют их договоры. Обнаружение VPN-IP и их блокировка — мера соответствия контрактным обязательствам, а не безопасности. Мессенджеры редко блокируют VPN, потому что у них нет географической лицензионной модели. Напряжение для стриминговых сервисов в том, что блокировка IP дата-центров (где живут VPN-серверы) также блокирует легитимных корпоративных VPN-пользователей, что создаёт проблемы с поддержкой клиентов.
Работает ли VPN и в мобильной сети тоже?
Да. VPN на мобильном устройстве маршрутизирует весь трафик через VPN-туннель независимо от того, используете ли вы WiFi или мобильную сеть. Механика идентична: устройство устанавливает зашифрованное соединение с VPN-сервером, и все пакеты идут через это соединение. Мобильные операторы могут и действительно замедляют или блокируют конкретные VPN-протоколы в некоторых регионах, поэтому те же соображения о выборе транспорта применимы. Расход аккумулятора и трафика немного выше с VPN из-за накладных расходов на шифрование, но на современных устройствах эффект невелик — обычно менее 5% дополнительного расхода батареи.
Если цензор не может заблокировать меня — попытается ли он деанонимизировать меня?
Возможно, в зависимости от вашей модели угроз и ресурсов противника. Если анализ трафика может идентифицировать VPN-соединения, противник, способный наблюдать оба конца соединения — трафик вашего устройства на уровне ISP и трафик, приходящий на VPN-сервер — может потенциально коррелировать время и объём пакетов, чтобы деанонимизировать вас даже через зашифрованный туннель. Это реальная возможность для национальных спецслужб. Многоуровневый дизайн Tor делает это значительно сложнее — он требует контроля нескольких независимых узлов, каждый с независимой видимостью. Для пользователей, чья модель угроз включает противника государственного уровня, готового вложить значительные ресурсы в их идентификацию, операционная безопасность — отдельные устройства, тщательное разделение идентичностей, физическая безопасность — важна не меньше любого технического инструмента.
ORION/VPN предлагает бесплатный план с 10 ГБ в месяц — достаточно для большинства задач регионального разблокирования и ежедневной приватности без подписки. Для сетей, идентифицирующих и блокирующих обычный VPN-трафик, транспорт Horizon формирует каждый пакет так, что он выглядит как обычное соединение с веб-сайтом — уклонение от DPI по дизайну. Для открытых сетей, где приоритет — чистая скорость, транспорт Wind работает без накладных расходов на камуфляж и обеспечивает максимальную пропускную способность. Оба транспорта используют одинаковое современное AES-256-класс аутентифицированное шифрование; свойства безопасности идентичны, различается только камуфляж. Для дальнейшего чтения — что такое VPN объясняет базовую архитектуру понятным языком, а глубокая инспекция пакетов детально разбирает, как DPI-оборудование идентифицирует и классифицирует трафик.