Что такое DPI и почему одни VPN перестают работать

Что такое DPI

DPI расшифровывается как Deep Packet Inspection — «глубокий анализ пакетов». Обычное сетевое оборудование смотрит только на «конверт» пакета: откуда и куда он идёт, по какому порту. DPI вскрывает «конверт» и изучает сам трафик — его структуру, ритм, размеры пакетов и характерные сигнатуры протокола.

Важно понимать: DPI не обязательно читает содержимое ваших сообщений — современный трафик зашифрован. Но даже не видя что вы передаёте, система видит как вы это делаете. И этого почерка часто достаточно, чтобы опознать конкретный инструмент.

Как по DPI вычисляют VPN

У каждого протокола есть узнаваемый «почерк» — порядок установки соединения, типичная длина служебных пакетов, особенности рукопожатия. DPI сравнивает проходящий трафик с известными шаблонами и помечает совпадения.

• Сигнатура протокола. Незамаскированный VPN-трафик имеет предсказуемую структуру, которую легко добавить в список фильтров.
• Поле SNI. При установке HTTPS-соединения имя сайта (SNI) долгое время передавалось открытым текстом — по нему фильтр понимает, к какому ресурсу вы идёте, ещё до шифрования.
• Поведение соединения. Долгий шифрованный туннель к одному IP, не похожий на обычный веб-сёрфинг, выглядит подозрительно сам по себе.

Обнаружив совпадение, система может просто разорвать или замедлить соединение. Это и есть один из главных инструментов современной сетевой фильтрации.

Почему «старые» протоколы детектируются

Протоколы вроде OpenVPN в классическом виде или незамаскированного туннеля создавались, когда DPI ещё не был массовым. У них яркий, легко распознаваемый почерк: характерное рукопожатие, узнаваемые заголовки, предсказуемый ритм. Для DPI это всё равно что табличка с надписью «здесь VPN».

Шифрование данных тут не спасает: фильтр опознаёт сам факт использования VPN, не расшифровывая трафик. Поэтому такие протоколы первыми попадают под блокировку в сетях с жёсткой фильтрацией.

Почему современные протоколы устойчивее

Новое поколение протоколов решает задачу иначе: вместо того чтобы прятать VPN, оно делает его неотличимым от обычного веба. Это называется обфускацией трафика.

• VLESS + Reality подделывает рукопожатие так, будто вы открываете реальный популярный сайт по обычному HTTPS. Поле SNI выглядит легитимным, а почерк соединения — как у миллионов других пользователей.
• Hysteria2 работает поверх QUIC (UDP) и маскируется под привычный современный веб-трафик, заодно держа высокую скорость на нестабильных мобильных сетях.

Для DPI такой поток сливается с обычными HTTPS-соединениями: заблокировать его, не задев половину «белого» интернета, крайне трудно. Подробнее о различиях поколений — в материале о протоколах VPN.

Что это значит при выборе VPN

Когда сервис «вдруг перестал работать», дело редко в самом сервере — чаще устарел протокол. Поэтому при выборе VPN смотрите не на красивый интерфейс, а на технологию под капотом.

1. Используются ли современные протоколы — VLESS/Reality и Hysteria2.
2. Маскируется ли трафик под обычный HTTPS, а не передаётся «как есть».
3. Есть ли выбор протокола, чтобы переключиться, если один начал фильтроваться.

Именно по этой логике построен SplashVPN: VLESS/Reality и Hysteria2 на каждой локации, трафик маскируется под обычное HTTPS-соединение, безлимит и три дня бесплатно на старте.

Коротко

• DPI анализирует не адрес, а характер и сигнатуру трафика.
• VPN вычисляют по почерку протокола и полю SNI, даже не расшифровывая данные.
• Старые протоколы имеют яркий почерк и блокируются первыми.
• VLESS/Reality и Hysteria2 выглядят как обычный HTTPS — и потому устойчивее.