Это не преувеличение и не конспирология. Именно так работает ТСПУ в 2026 году — и понимание этого меняет всё: какой протокол выбирать, где держать сервер и почему бесплатные VPN давно не работают не из-за жадности провайдеров.

Китай придумал это раньше всех

Российский ТСПУ строился не с нуля. Его идеология и часть архитектуры — прямое наследие китайского Great Firewall, который Китай оттачивал с конца 90-х.

Один из ключевых методов GFW называется Active Probing — активное зондирование. Исследователи задокументировали его ещё в 2011–2012 годах: система обнаруживает зашифрованный трафик с подозрительным профилем и вместо немедленной блокировки сама инициирует соединение к серверу. Стучится и смотрит, что ответит. Если сервер ведёт себя как прокси — блокируется он и вся его подсеть, через инъекцию TCP RST пакетов.

В 2026 году это автоматизировано и работает в ТСПУ. Боты имитируют поведение реального браузера. Сервер без защиты выдаёт себя при первом же обращении.

Шифрование больше не спасает. Вот почему

Большинство людей думают: зашифровал трафик — система ничего не увидит. Это работало раньше. Сейчас современный DPI не пытается расшифровать содержимое пакетов. Он смотрит на то, что зашифровать невозможно: поведение трафика во времени.

IAT — «ритм» вашего соединения

Inter-Arrival Time — время между последовательными пакетами. У каждого типа трафика свой ритм. Голосовой звонок через WebRTC генерирует пакеты почти метрономически — константный низкий IAT. Браузерный серфинг — рваный, с паузами между загрузками страниц. VPN-туннель с мультиплексированным трафиком создаёт хаотичный джиттер, который не похож ни на что легитимное.

Нейросеть видит этот ритм и классифицирует соединение. Не читая ни байта содержимого.

Размеры пакетов — «походка» трафика

Видеостриминг создаёт пакеты близкие к максимуму — около 1500 байт. Интерактивный чат изобилует мелкими ACK-пакетами. VPN с инкапсуляцией создаёт характерную гистограмму размеров, которую система научилась узнавать.

Можно надеть маску. Но если вы хромаете — вас узнают. Шифрование скрывает лицо. Паттерны трафика — это походка

Какие нейросети стоят за этим

CNN — сверточные сети — анализируют пакеты как двумерные векторы. Интересный нюанс: исследования с методом GradCAM показали, что CNN фактически не умеют работать с зашифрованным содержимым. Их внимание концентрируется на границе между данными и нулевым паддингом. По сути — дорогой детектор размера пакета.

RNN и LSTM смотрят на последовательности пакетов во времени — сотни пакетов подряд, контекст всей сессии.

Трансформеры — самое новое и точное. Архитектуры типа NTT и TransECA-Net анализируют глобальные зависимости во всём потоке. Сначала обучаются на терабайтах неразмеченного трафика, потом дообучаются под конкретную задачу — выявление туннелей. Именно они делают IAT-анализ по-настоящему точным.

Белые списки: теперь запрещено всё, чего нет в списке

Старая логика фильтрации: есть список плохих сайтов — блокируем их. Новая логика ТСПУ в мобильных сетях — инвертированная: есть список хороших ресурсов, всё остальное дропается по умолчанию.

Технически это выглядит так: SYN-пакет к IP-адресу не из белого списка просто отбрасывается на узлах Carrier-Grade NAT. Без TCP RST, без ICMP Unreachable — просто тишина. Вы видите таймаут. Сервер как будто недоступен.

YouTube тормозит именно так: система не блокирует его полностью, но вносит искусственные задержки и обрывает сессии. Пользоваться невозможно, формально — не заблокировано.

Что входит в белый список — ресурсы, отключение которых вызовет коллапс:

Маскировка под «случайный зашифрованный поток» в этих условиях бессмысленна. Вопрос уже не в том, как выглядеть легитимно — а в том, как выглядеть легитимно для конкретного ресурса из этого списка.

Свой VPS — не панацея. Три причины

В 2026 году личный сервер за 5–10$ в месяц несёт конкретные риски:

• ASN-блокировки — ТСПУ регулярно блокирует целые автономные системы популярных хостингов: Hetzner, DigitalOcean, OVH. Трафик из этих подсетей проверяется с максимальной строгостью.
• Active Probing — без настройки REALITY сервер выдаёт себя при первом же обращении бота-сканера. После этого IP блокируется, иногда вместе с подсетью.
• Паразитный трафик — если в качестве SNI-ширмы использовать домены за Cloudflare, сервер становится открытым edge-узлом CDN. Чужие сканеры начинают маршрутизировать через него свой трафик. ТСПУ видит это и блокирует ваш IP — даже если ваш собственный трафик был скрыт идеально.

Бесплатные VPN — отдельная история. Они работают на устаревших протоколах без маскировки под TLS 1.3. Простейший DPI-фильтр их видит насквозь.

VLESS + REALITY: притворяться, а не прятаться

Протокол REALITY, разработанный командой Xray, реализует другую философию: не скрывать трафик, а сделать так, чтобы система фильтрации сочла его легитимным на уровне криптографических отпечатков.

Как это работает

Вместо собственного сертификата сервер перехватывает TLS ClientHello и мимикрирует под рукопожатие реального ресурса из белого списка — например, gosuslugi.ru или sberbank.ru. Если к серверу стучится цензурный бот без правильного ключа — запрос прозрачно уходит на настоящий целевой сервер. Бот получает валидный ответ и считает узел безобидным транзитным маршрутизатором.

Авторизация реального клиента — через постквантовый алгоритм X25519MLKEM768 и параметр short_id. Без него — только fallback на ширму.

Как обманывают нейросети

• Динамический паддинг (XTLS Vision) — случайные блоки данных добавляются к пакетам перед шифрованием. Гистограмма длин размывается, CNN теряет ориентиры.
• Управляемая фрагментация TCP — сегменты разбиваются на мелкие чанки случайного размера через TCP_NODELAY. По лабораторным тестам: точность ИИ-классификатора падает с 98% до 63% — уровень случайного угадывания. Накладные расходы — не более 5%.
• Имитация IAT — клиент искусственно формирует задержки между пакетами, подстраивая ритм под профиль легитимного WebRTC или обычного HTTPS-серфинга.

Протоколы: что реально работает в сетях РФ

Что с этим делать

Рабочая система в 2026 году — это не просто поднятый Xray. Это правильный SNI из белого списка (не каждый подходит), настроенный fallback, защита от сканеров через blackholing, TLS-фингерпринтинг под актуальный Chrome по алгоритму JA4, split-tunneling под iOS и Android по-разному, и мониторинг — потому что IP блокируются в любой момент.

Каждый из этих пунктов — отдельная кроличья нора. Один неверный шаг, например SNI за Cloudflare вместо госдомена, и сервер горит за день.

Если хочется разобраться самому — впереди недели с JSON-конфигами и сменой горящих IP.

Если нет — вся эта инфраструктура уже настроена и обновляется под актуальные фильтры.