Возможно ли блокирование VPN в России через DPI? Стоит ли бояться?
Недавние события в российской сети говорят о том, что для блокировки VPN, провайдеры приобретают технологию DPI (Deep Packet Inspection). Хочу поделиться своим мнением относительно блокировок, особенно через DPI.
Как сейчас осуществляются блокировки?
Роскомнадзор заносит запрещенные ресурсы в черный список, и провайдеры блокируют доступ к ним. Например, при попытке открыть Facebook*, браузер отправляет DNS-запрос провайдеру для получения IP-адреса Facebook. Если адрес в черном списке, провайдер перенаправляет вас на свою страницу с уведомлением о блокировке.
Однако, блокировка IP-адресов не всегда эффективна. Например, в 2018 году, при попытке блокировать Telegram, Роскомнадзор столкнулся с проблемой, когда Telegram менял адресацию своих серверов. Telegram, размещенный на Amazon Web Services (AWS) вместе с множеством других сайтов, оставался доступным, в то время как попытки блокировки затрагивали другие ресурсы.
Есть множество способов обхода блокировок, например, использование альтернативных DNS-серверов, прокси и VPN, что делает задачу Роскомнадзора сложной.
DPI как новый инструмент блокировки
DPI — технология, анализирующая сетевые пакеты для блокировки определенных типов трафика. Например, DPI может блокировать пакеты, передаваемые через протокол OpenVPN.
Вопрос возникает, как DPI будет блокировать VPN-трафик, если он зашифрован? DPI не может расшифровать пакеты, но может определить VPN-трафик по метаданным и другим характеристикам. Например, протокол OpenVPN, являясь открытым, использует порт 1194. Если DPI обнаружит зашифрованный трафик через этот порт, он может блокировать его. Также легко можно анализировать популярный протокол WireGuard.
DPI также может анализировать протоколы на основе различных аспектов, таких как заголовки и характеристики трафика.
Блокировка всего VPN-трафика возможна?
Хочется сказать, что мы не в Китае, НО...
Не совсем, так как существуют методы шифрования и маскировки трафика, делающие VPN-трафик неотличимым от обычного, помогая обойти DPI. Некоторые VPN-сервисы уже внедрили такие протоколы, например, Shadowsocks, obfs4, Cloak, Stunnel и OpenVPN Scramble.
Полное блокирование VPN невыгодно для экономики, так как VPN необходим не только для обхода блокировок, но и для безопасной работы компаний. Проверка каждого пакета замедляет скорость трафика и требует дорогостоящего оборудования.
По опыту Китая, блокировки через DPI можно обойти с помощью технологий маскировки трафика.
Следите за нашими новостями, у нас в разработке целых три проекта с применением последних технологий из мира ВПН.
*Следует отметить, что деятельность Meta (включая Facebook и Instagram) в России запрещена как экстремистская.