В выходные дни пользователи по всей стране столкнулись с массовыми перебоями в работе XRay/VLESS. Крупные сбои в работе протокола зафиксированы в ряде регионов России: Татарстан, Удмуртия, Приморский край и Нижегородская область.
С вечера пятницы в профильных сообществах начала поступать информация о проблемах с подключением. По данным пользователей, интернет-провайдеры, включая крупных мобильных операторов («МегаФон», МТС, Tele2), усилили фильтрацию трафика и научились определять и блокировать соединения, использующие протокол XRay (VLESS). Под ограничения попали популярные конфигурации, включая связку xtls-rprx-vision и механизм Reality, ранее считавшиеся эффективным решением для маскировки под стандартный HTTPS-трафик.
Характерные симптомы заключаются в том, что соединение либо не устанавливается, либо обрывается через несколько минут после начала передачи данных. При этом маскировочная страница-заглушка, которая используется для имитации легитимного трафика, остается доступной. Это свидетельствует о том, что системы глубокого анализа трафика (DPI) научились выявлять специфические паттерны протокола VLESS внутри TLS-потока.
Часть пользователей высказывает предположение, что некоторые операторы стали применять более агрессивные методы фильтрации, блокируя по умолчанию весь трафик, который не похож на популярные российские сервисы, однако эта точка зрения пока не нашла официального подтверждения.
В настоящее время разработчики XRay анализируют проблему и работают над ее решением. В качестве временных мер энтузиасты экспериментируют с настройками: одни рекомендуют переход на xhttp, другие видят причину в использовании для маскировки популярные SNI (google[.]com, microsoft[.]com) и рекомендуют использовать self-steal с реальными личными доменами. Пользователи из разных регионов страны сообщают о массовых сбоях в работе инструментов обхода цензуры, которые до сих пор считались неуязвимыми даже для знаменитого «Золотого щита» Китая.
Российский сегмент интернета, похоже, вступает в новую фазу технологического противостояния между регуляторами и пользователями средств обхода блокировок. В последние несколько дней специалисты по кибербезопасности и рядовые юзеры фиксируют аномальное поведение сетей: популярный и технически продвинутый протокол XRay (в частности, его реализация VLESS с технологией Reality) подвергся точечным блокировкам. Долгое время этот стандарт оставался «тихой гаванью» для тех, кто искал свободный доступ к информации, поскольку его архитектура создавалась специально для мимикрии под обычный, легитимный трафик. Нынешние события свидетельствуют о том, что российская система ТСПУ (технические средства противодействия угрозам) начала тестировать новые алгоритмы распознавания, которые могут изменить расклад сил в рунете.
Ситуация развивается неравномерно, что указывает на тестовый характер ограничений. Жалобы на невозможность соединения или существенное падение скорости приходят не повсеместно, а очагами — из отдельных регионов и от абонентов конкретных провайдеров, причем как мобильных, так и проводных. Технически происходящее выглядит как попытка фильтрации на глубоком уровне пакетов (DPI). Если раньше Роскомнадзор блокировал конкретные IP-адреса или подсети, то теперь под ударом оказалась сама механика соединения. Протокол VLESS, особенно в связке с технологией Reality, разрабатывался как ответ на жесткую цензуру: он не просто шифрует данные, но и маскирует их под посещение безобидных зарубежных ресурсов, например, сайтов Microsoft, Apple или Samsung. Для внешнего наблюдателя такое соединение выглядит как обычный веб-серфинг, что до сих пор делало его обнаружение крайне сложной задачей.
Парадокс нынешней ситуации заключается в сравнении с опытом Китая, который традиционно считается эталоном цифровой изоляции. Даже в условиях жесткого контроля «Великого китайского файрвола» протокол XRay/VLESS продолжает функционировать относительно стабильно. Китайские цензоры, обладая колоссальными ресурсами, зачастую вынуждены пропускать такой трафик, чтобы не нарушить связность деловых коммуникаций и работу критически важных сервисов, под которые маскируется VPN. То, что российские системы начали «резать» этот протокол, может говорить о двух вещах: либо отечественные специалисты нашли уникальные сигнатуры (цифровые отпечатки) протокола, которые пропустили их китайские коллеги, либо, что более вероятно, российский регулятор готов пойти на большие риски сопутствующего ущерба, блокируя подозрительные соединения более агрессивно и с меньшей оглядкой на возможные сбои в работе легальных сервисов.
Эксперты телеком-рынка предполагают, что текущие перебои — это «учения» на живой сети. Операторы ТСПУ, оборудование которых установлено на узлах всех крупных провайдеров страны и управляется централизованно из Москвы, настраивают чувствительность фильтров. Блокировка протоколов, мимикрирующих под TLS-шифрование (стандарт защищенного интернета), чревата так называемым оверблокигом — ситуацией, когда вместе с VPN перестают открываться обычные банковские приложения, сайты зарубежных университетов или корпоративные порталы. Видимо, именно поэтому внедрение происходит волнами и в разных регионах: инженеры ищут баланс между эффективностью блокировки и работоспособностью остальной сети.
Для обычного пользователя это означает начало периода нестабильности. Если раньше переход на современный протокол вроде VLESS гарантировал спокойный доступ к заблокированным ресурсам на долгие месяцы, то теперь гарантий не дает ни одна технология. Борьба брони и снаряда переходит в плоскость эвристического анализа, где автоматические системы пытаются угадать назначение трафика по косвенным признакам: задержкам пакетов, их размеру и последовательности. Это требует от провайдеров VPN постоянной адаптации и смены настроек, превращая использование интернета в непрерывную гонку вооружений.
Впрочем, говорить о полной победе цензуры пока рано. История развития технологий обхода блокировок показывает, что на любое действие находится противодействие. Разработчики протоколов уже обсуждают методы дополнительной обфускации (запутывания) трафика, которые сделают его еще более похожим на хаотичный шум или стриминг видео. Тем не менее, сигнал, который посылает регулятор, считывается однозначно: эра простых решений заканчивается, и доступ к свободной информации потребует от пользователей все большей технической грамотности. Оперативную информацию о состоянии сетей, новых методах обхода и цифровой безопасности вы всегда можете найти, читая телеграм-канал Digital Report, где эксперты в реальном времени отслеживают изменения ландшафта российского интернета.