DPI (Deep Packet Inspection, глубокая инспекция пакетов) — технология, которая позволяет сетевому оборудованию анализировать не только заголовки пакетов (как обычный firewall), но и их содержимое. Это основной инструмент интернет-цензуры в России (ТСПУ), Китае (Great Firewall), Иране, Туркмении и других странах.
DPI (Deep Packet Inspection) lets network hardware analyze packet contents, not just headers. It is the main tool of internet censorship in Russia (TSPU), China (GFW), Iran, Turkmenistan.
Как работает DPI / How DPI Works
Обычный router/firewall смотрит только на метаданные: IP-адреса отправителя и получателя, порты, протокол (TCP/UDP). DPI идёт глубже — он анализирует payload (полезную нагрузку) каждого пакета. Основные методы:
- Pattern matching — поиск характерных байтовых последовательностей (сигнатур протоколов)
- Port analysis — нестандартные порты для известных протоколов = подозрительно
- Statistical analysis — размер пакетов, интервалы, соотношение in/out
- TLS fingerprinting (JA3/JA4) — определение клиента по параметрам TLS-рукопожатия
- SNI inspection — чтение Server Name Indication в ClientHello
- Active probing — отправка тестовых запросов на подозрительные сервера
- ML-модели — нейросети, обученные распознавать VPN-трафик
ТСПУ в России / TSPU in Russia
ТСПУ (Технические Средства Противодействия Угрозам) — российская система DPI, внедрённая в 2021-2022 годах. Установлена у всех крупных провайдеров. Возможности:
- Блокировка сайтов по IP, домену, SNI
- Замедление трафика (throttling) — YouTube, Discord
- Детекция VPN-протоколов (OpenVPN, WireGuard, IPSec)
- Блокировка HTTPS к определённым доменам
- Обнаружение Tor и его мостов
В 2024-2025 ТСПУ научился блокировать WireGuard по сигнатуре handshake и детектировать OpenVPN почти со 100% точностью.
TSPU (Technical Means of Counteracting Threats) is Russia's DPI system deployed since 2021-2022. Blocks by IP, domain, SNI. Throttles YouTube and Discord. Detects OpenVPN, WireGuard, IPSec with ~100% accuracy.
Great Firewall of China / GFW
GFW — самая продвинутая DPI-система в мире, работающая с 2003 года. Использует ML для распознавания обфусцированных протоколов, активно пробит подозрительные серверы, анализирует паттерны трафика в реальном времени. Блокирует даже V2Ray/Xray с обычным TLS.
Как обойти DPI / How to Bypass DPI
Стратегии обхода делятся на 3 категории:
1. Маскировка (Disguise)
Сделать трафик идентичным легитимному. Лучший пример — VLESS+Reality, который имитирует HTTPS к реальному популярному сайту. DPI видит обычный трафик к google.com и пропускает.
2. Обфускация (Obfuscation)
Изменить характерные сигнатуры протокола. Пример — AmneziaWG 2.0, который добавляет случайный шум и ломает паттерны WireGuard.
3. Туннелирование (Tunneling)
Запрятать трафик внутрь другого протокола. Примеры: Shadowsocks через WebSocket+TLS, V2Ray через HTTPUpgrade, DNS-over-HTTPS.
Three bypass strategies: Disguise (VLESS+Reality mimics real HTTPS), Obfuscation (AmneziaWG adds noise), Tunneling (Shadowsocks inside WebSocket).
Что не работает в 2026 / What Does Not Work
- OpenVPN — детектируется 100%, ТСПУ режет мгновенно
- WireGuard (чистый) — сигнатура handshake, блок в 85% случаев
- IKEv2/IPSec — стандартные порты, характерные пакеты
- L2TP — устарел, легко детектируется
- PPTP — мёртв уже 10 лет, слабое шифрование
OmniShield и обход DPI / OmniShield and DPI
OmniShield — это 5 протоколов, каждый из которых проектировался для обхода DPI: VLESS+Reality (маскировка), VLESS+XHTTP (туннелирование), AmneziaWG 2.0 (обфускация), Shadowsocks 2022 (туннелирование) и DTLS (скрытый UDP). 9 серверов в ЕС плюс экосистема Omnixploit для мониторинга блокировок.