🌫️ Дымка VPN Открыть бота →
ТСПУ ·DPI ·блокировки

Как работает ТСПУ — техническое объяснение блокировок 2026

Что такое ТСПУ, как Роскомнадзор замедляет YouTube и блокирует VPN. Разбор технологий DPI, Deep Packet Inspection и SNI-фильтрации в России.

КД Команда Дымки
· · 8 мин чтения

В 2019 году в России появился ФЗ-90 «о суверенном интернете». В 2021-м на сетях крупных провайдеров начали появляться «чёрные ящики» — оборудование ТСПУ. К 2024 году установка завершена у всех операторов с аудиторией свыше 100 тысяч пользователей. Сейчас, в 2026-м, это главный инструмент Роскомнадзора для управления трафиком.

За четыре года ТСПУ прошли путь от замедления Twitter (X) до блокировки Shadowsocks и троттлинга YouTube до нескольких сотен килобит. Разберём, как это устроено технически.

Что такое ТСПУ

ТСПУ — технические средства противодействия угрозам. Название из ФЗ-90 (2019), который обязал операторов связи установить оборудование под управлением Роскомнадзора. Де-юре это «защита от внешних угроз»; де-факто — государственная система фильтрации трафика.

Архитектура централизованная: оборудование физически стоит у провайдера (в точках обмена трафиком, на стыках с магистралью), но управляется дистанционно через ЦМУ ССОП — Центр мониторинга и управления сетью связи общего пользования. Провайдер не контролирует, что блокировать: команды приходят сверху.

По публичным данным, на стороне Роскомнадзора используется реестр запрещённых ресурсов (ЕРИР), который автоматически транслируется в правила фильтрации на ТСПУ. Обновление правил — в режиме реального времени, без перезагрузки оборудования.

Ключевое отличие от классического файрвола: ТСПУ работает не только со списком IP-адресов, но анализирует содержимое пакетов — то есть использует DPI.

DPI — Deep Packet Inspection в основе ТСПУ

Классический L4-файрвол видит только заголовки: IP-адрес источника и назначения, порт, протокол (TCP/UDP). Он может заблокировать 1.2.3.4:443, но не знает, что именно передаётся внутри.

Deep Packet Inspection работает на L7 — уровне приложений. DPI-система разбирает содержимое пакета: читает заголовки HTTP, анализирует TLS-хендшейк, определяет fingerprint приложения. Это позволяет блокировать не «этот IP», а «этот протокол» или «этот домен» — даже если трафик идёт через стандартный порт 443.

В российских ТСПУ применяется оборудование нескольких вендоров. Публично известен EcoFilter (разработка компании «ЭкоФильтр», аффилированной с государством) — системы серии RDP. Также фигурирует оборудование ТСПУ-К от «РТК-ЦОД» (структура Ростелекома). Точный список вендоров не раскрывается, но утечки тендерной документации позволяют судить об архитектуре.

Принципиальное отличие от китайского Golden Shield (GFW) — масштаб и подход. GFW охватывает всю страну как единую систему, строится десятилетиями и имеет более развитый ML-слой. Российские ТСПУ — моложе, неоднородны по производительности у разных операторов (МТС, Билайн, Ростелеком блокируют с разной эффективностью) и пока хуже справляются с обфусцированными протоколами.

Техническая суть DPI-блокировки: система собирает несколько первых пакетов TCP-сессии (до завершения хендшейка), анализирует их по сигнатурной базе и принимает решение — пропустить, заблокировать или затроттлить. Всё это происходит в реальном времени на линейной скорости.

SNI-фильтрация и блокировки HTTPS

Здесь скрыта одна из самых важных технических деталей. HTTPS-трафик зашифрован — DPI не видит содержимое HTTP-запроса. Но до шифрования происходит TLS-хендшейк, и в первом пакете клиента (ClientHello) есть поле Server Name Indication (SNI).

SNI — это расширение TLS, которое клиент отправляет открытым текстом, чтобы сервер знал, для какого домена нужен сертификат (один IP может обслуживать тысячи сайтов). Пакет с SNI передаётся ещё до установки шифрования, поэтому ТСПУ читает его без каких-либо проблем.

Схема блокировки через SNI-фильтрацию:

  1. Клиент отправляет TLS ClientHello с sni: youtube.com
  2. ТСПУ перехватывает пакет, читает поле SNI
  3. Домен совпадает с записью в реестре — соединение обрывается (RST-пакет) или пакеты молча дропаются

Это объясняет, почему HTTPS-сайты блокируются «чисто», без редиректа на страницу блокировки: сервер вообще не получает запрос.

Технически существует решение — Encrypted Client Hello (ECH/ESNI). ECH шифрует поле SNI, делая его нечитаемым для ТСПУ. Проблема: ECH требует поддержки со стороны DNS (HTTPS-записи) и сервера. Сейчас это в основном Cloudflare. Большинство российских и зарубежных сервисов ECH не поддерживают.

Telegram в 2025–2026 году вновь под нарастающими ограничениями: с августа 2025 заблокированы звонки, с февраля 2026 — троттлинг медиа, в марте 2026 у части провайдеров приложение перестало открываться. WhatsApp полностью заблокирован с февраля 2026. YouTube сейчас не заблокирован полностью — вместо этого его троттлят (подробнее ниже). Протоколы Telegram умеют частично обходить фильтрацию через встроенный MTProto, но VPN даёт более надёжный результат.

Как замедляется YouTube

С середины 2024 года ТСПУ не блокирует YouTube, а троттлит — ограничивает пропускную способность соединений с YouTube-серверами.

Механизм: система идентифицирует трафик к YouTube по SNI (youtube.com, googlevideo.com, Google CDN-адресам), а затем вместо полного сброса соединения искусственно снижает throughput. Первые несколько секунд видео может грузиться нормально (браузер буферизует из кеша CDN), затем скорость падает до 128–256 кбит/с — это ниже минимального битрейта для 360p.

Троттлинг, а не полная блокировка — политическое решение: формально YouTube доступен, жалоб в Европейский суд нет, но пользователи «сами» переходят на российские платформы. Технически разница между блокировкой и троттлингом — в действии ТСПУ: RST-пакет vs. управление окном перегрузки TCP или rate limiting на уровне потока.

На мобильных устройствах ситуация аналогична. Приложение YouTube использует те же серверы, SNI читается так же. Некоторые пользователи замечали, что QUIC/HTTP3 (UDP) иногда обходил троттлинг дольше — но ТСПУ научился блокировать и UDP-трафик к Google-серверам.

Важно: обычный VPN на 443/TCP мгновенно решает проблему YouTube — трафик идёт через VPN-сервер, SNI youtube.com ТСПУ не видит. Проблема в том, что сам VPN-трафик тоже фильтруется.

Какие протоколы ТСПУ блокирует и как

OpenVPN — самый узнаваемый. TLS-хендшейк OpenVPN имеет характерный fingerprint, отличающийся от браузерного TLS. DPI определяет его по паттерну первых пакетов. Стандартный порт 1194/UDP давно в чёрном списке. Даже OpenVPN на 443/TCP распознаётся по fingerprint с высокой точностью. Заблокирован надёжно.

WireGuard — современный и быстрый, но у него фиксированная структура handshake: первый пакет всегда начинается с байта 0x01, имеет фиксированную длину 148 байт. Сигнатура тривиальна для DPI. Стандартный порт 51820/UDP заблокирован, но и нестандартные порты не помогают — сигнатура читается независимо от порта.

L2TP/IPSec и PPTP — старые протоколы с хорошо известными сигнатурами. Блокируются легко, использовать не стоит.

IKEv2 — частично работает у части провайдеров. Fingerprint менее однозначен, но UDP/500 и UDP/4500 под наблюдением.

Shadowsocks без обфускации — использует собственное шифрование, трафик выглядит случайным. ТСПУ применяет статистический анализ: случайный трафик с высокой энтропией на нестандартных портах — подозрительный паттерн. В 2023–2024 годах ТСПУ научился блокировать Shadowsocks через вероятностный анализ: не 100% блокировка, но значительный процент сессий обрывается.

Какие протоколы ТСПУ пока пропускает

VLESS + Reality — наиболее устойчивый на сегодня вариант. Reality — это расширение протокола XTLS, которое маскирует VPN-трафик под обычное TLS-соединение к реальному легитимному сайту. ТСПУ видит TLS ClientHello с SNI microsoft.com (или другим разрешённым доменом), получает в ответ настоящий TLS-сертификат этого домена — и не может отличить от обычного HTTPS. Подробнее про архитектуру — в нашем разборе VLESS Reality.

AmneziaWG — модифицированная версия WireGuard. Добавляет junk-пакеты в начало хендшейка, рандомизирует заголовки и длины пакетов, уничтожая фиксированную сигнатуру WireGuard. В 2025–2026 годах ТСПУ включил AmneziaWG в список блокируемых протоколов — в части регионов и у части провайдеров он уже блокируется. Стабильнее на сегодня — VLESS+Reality. Детальный обзор — в статье про AmneziaWG.

Trojan — маскируется под HTTPS. Работает поверх TLS с валидным сертификатом, трафик неотличим от веб-серфинга. Уязвимое место — паттерн трафика (много длинных соединений к одному IP). Работает, но менее распространён.

TUIC — протокол поверх QUIC/HTTP3. Ещё относительно новый, ТСПУ пока не имеет надёжной сигнатуры.

Obfs4 / ScrambleSuit — обфускация для OpenVPN и Tor. Добавляет случайный padding, скрывает паттерны. Работает, но производительность ниже нативных протоколов.

Общий принцип выживания под ТСПУ: протокол должен быть неотличим от легального HTTPS-трафика как по структуре пакетов, так и по поведенческим паттернам. SNI должен указывать на существующий разрешённый домен, TLS-fingerprint — совпадать с браузерным.

Что дальше — куда движется борьба ТСПУ vs VPN

ТСПУ первого поколения работает на сигнатурах — известных паттернах конкретных протоколов. Следующий уровень — ML-классификация трафика. Модель обучается на примерах «легального» и «VPN-трафика», находит статистические различия в распределении длин пакетов, межпакетных задержках, соотношении входящего и исходящего трафика.

Именно так работает часть систем в GFW: даже обфусцированный Shadowsocks иногда детектируется не по сигнатуре, а по поведенческому профилю (постоянный поток к одному IP, нетипичное соотношение upload/download).

Контрмеры со стороны VPN-протоколов:

  • Random padding — случайное добавление мусорных байт к пакетам, сбивающее статистику длин
  • Traffic shaping — искусственная задержка пакетов для имитации человеческих паттернов браузинга
  • Multipath / IP rotation — распределение трафика по нескольким IP, снижающее подозрительность любого отдельного потока
  • Domain fronting — маршрутизация через CDN крупных провайдеров (Cloudflare, AWS), где блокировка невозможна без коллатерального ущерба

Предсказать точные сроки гонки вооружений сложно. Но тренд очевиден: чем «умнее» ТСПУ, тем важнее не просто шифрование, а качественная имитация легального трафика.

Заключение

ТСПУ — это не брандмауэр с чёрным списком IP. Это DPI-система, читающая SNI в TLS ClientHello, распознающая сигнатуры протоколов и умеющая троттлить трафик вместо полной блокировки. Простые VPN-протоколы с узнаваемыми handshake-паттернами (OpenVPN, WireGuard, L2TP) блокируются надёжно. Протоколы, маскирующиеся под HTTPS с валидным TLS и реальным SNI, пока проходят.

Понимание механики помогает выбирать инструменты осознанно, а не методом проб и ошибок.

От команды Дымки. Мы используем VLESS+Reality+XHTTP — протокол, который ТСПУ не отличает от обычного HTTPS-трафика. 1 ГБ/день бесплатно, безлимит за 50 ₽ первый месяц. Бот: @dymka_app_bot.

— От команды Дымки

Хочешь VPN, который проходит ТСПУ?

Дымка использует VLESS+Reality+XHTTP — трафик маскируется под обычный HTTPS, поэтому DPI его не отличает. 1 ГБ/день бесплатно навсегда, безлимит за 50 ₽ первый месяц.

⚡ Открыть @dymka_app_bot → Добавить прокси в Telegram

Telegram работает? Открой бота. Не подключается? Добавь прокси — бот появится сам.

— Ещё в блоге
troubleshooting

Почему VPN перестаёт работать в России — 7 причин и решения

VPN отвалился? 7 типичных причин: блокировка протокола, IP-блок, перегрузка сервера, DPI-обновление. Как диагностировать и вернуть доступ.

Читать → split routing

Дымку не нужно отключать на Госуслугах и Сбере

Российские сайты в Дымке идут мимо VPN автоматически — банки видят домашний IP, Госуслуги работают мгновенно. Разбор: какие клиенты подхватывают правила из коробки.

Читать →