Утащу любопытный текст у https://rsshub.top/telegram/channel/normvpn
___

Мы продолжаем разбирать инцидент последней недели и копать глубже.

Что произошло? В ночных тестах мы наткнулись на странную аномалию: подняли сервер и обманку Reality — то, что должно работать стабильно, оказалось полностью мёртвым. Но стоило переключиться на WebSocket с определёнными настройками — всё внезапно ожило.

Спойлер для тех, кто поднимает свои VPN: не используйте WebSocket. Он «голый» и сам по себе плохое решение проблемы.

Дальше мы полезли в логи тестового сервера — и вывод оказался тревожным: это уже не старые блокировки, когда РКН просто ломал хендшейк. Теперь первые пакеты проходят нормально. Система слушает трафик, анализирует структуру соединения (TLS, XTLS, Reality), и если паттерн кажется подозрительным — соединение рубят сразу.

Теория двух этапов

Судя по поведению блокировок, Роскомнадзор внедрил (или тестирует) двухуровневую систему фильтрации. Это невероятно дорого, поэтому работает выборочно:

Этап первый: “фейсконтроль”
Система смотрит на IP, хост и SNI. Если адрес «чистый», не светился в VPN и не вызывает подозрений — его пропускают без лишних затрат.

Этап второй: глубокая инспекция (DPI + ML)
Если возникают сомнения, трафик отправляют на детальный анализ. И здесь включается Machine Learning — по сути, нейросеть, которая ищет сигнатуры конкретных протоколов.

Почему мы уверены?

Во время тестов мы заметили, что #XTLS перестал работать на современном HTTP/2. Мы сделали даунгрейд — принудительно переключились на HTTP/1.1 — и всё заработало.

Объяснение простое: ML-модель цензора, скорее всего, натренирована на паттерны современного трафика (TLS 1.3, HTTP/2). Она «выучила», как выглядит технологичный интернет, а старые стандарты воспринимает как обычный безопасный веб-сёрфинг.

Именно поэтому сейчас деградирует качество связи вообще везде, а не только у сервисов обхода. VPN просто попадает под раздачу как самый технологичный сегмент.

История повторяется

Помните замедление YouTube, когда параллельно на две недели лёг #shadowsocks? Сейчас происходит то же самое.

YouTube и WhatsApp уже вывели из сложных цепочек DNS и DPI, чтобы просто отключить напрямую. Зачем? Чтобы освободить мощности #ТСПУ и бросить их на нынешнюю волну блокировок.

Что это значит?

#РКН учится. Мы зафиксировали сигнатурный анализ и первое применение нейросетей для атаки на интернет-трафик — чтобы блокировать VPN и Telegram.

Проблема в том, что задевает вообще всех по пути: Apple, обычные сайты, инфраструктуру.

Но у этой системы есть слабое место: Роскомнадзор уже начал частично откатывать фильтрацию. Причина банальна — они не тянут.

Нейросеть, которая в реальном времени анализирует весь HTTP/2-трафик страны, — это невозможно поддерживать долго. Ни по железу, ни по финансам.
___
#ru_vpn