Все статьи
Безопасность

Что такое DPI и как операторы фильтруют трафик

DPI — это «глубокая проверка пакетов». Оператор смотрит не только куда идёт пакет, но и что внутри. Разбираем механику.

DPI (Deep Packet Inspection, глубокий анализ пакетов) — это технология, при которой провайдер связи смотрит не только адрес назначения пакета, но и его содержимое. Это и есть тот инструмент, которым реализуются блокировки сайтов и VPN.

Чем DPI отличается от обычной маршрутизации

Обычный роутер смотрит только заголовок IP-пакета: куда переслать. Не интересуется содержимым.

DPI смотрит внутрь пакета:

  • Какой протокол прикладного уровня (HTTP, HTTPS, DNS, BitTorrent, VPN-протоколы).
  • Что в заголовках (например, в HTTPS — SNI, имя сайта).
  • Какие первые байты сессии — для определения протокола по сигнатуре.
  • Статистика по соединению — размеры пакетов, частота, продолжительность.

Имея эти данные, DPI решает: пропустить, замедлить, заблокировать.

Что DPI может

  • Блокировать по домену. Видит SNI в TLS-handshake → если домен в чёрном списке, дропает.
  • Блокировать по IP — самый простой и грубый способ.
  • Распознавать протоколы — даже зашифрованные, по сигнатуре первого пакета. OpenVPN, WireGuard, BitTorrent — узнаваемы.
  • Шейпить (замедлять) — не блокирует, а снижает скорость. Используется для YouTube в РФ.
  • Инжектить ответы — отправлять клиенту поддельный TCP-RST или поддельную страницу «сайт заблокирован».

Что DPI НЕ может (легко)

  • Прочитать содержимое HTTPS. Внутри TLS-туннеля контент зашифрован. DPI видит только метаданные.
  • Заблокировать всё подряд. Слишком агрессивная блокировка положит банковские приложения, мессенджеры, рабочие VPN компаний — это политически неприемлемо.
  • Различить шифрованный VPN-трафик от любого другого шифрованного трафика без явных сигнатур. Поэтому VLESS Reality, AmneziaWG работают — у них нет сигнатур.

Как DPI определяет VPN

  1. Сигнатура. В первом пакете VPN-протоколов часто есть характерные байты. DPI их матчит.
  2. JA3/JA4-фингерпринт. Если TLS-клиент — это не браузер а VPN, его JA3 отличается. См. JA3/JA4 разбор.
  3. Поведенческий анализ. VPN-сессия обычно длинная, поток ровный, без явных запросов-ответов как у браузера. По этим признакам можно подозревать VPN.
  4. Active probing. ТСПУ сам отправляет подозрительному серверу handshake и смотрит ответ. Если ответ — это «обычный сайт», норм. Если «странная штука» — блок IP.

Как обходят DPI

  • Маскировка под обычный HTTPS (VLESS Reality, FakeTLS у MTProto).
  • Обфускация — добавление случайного шума, чтобы убрать характерную сигнатуру (AmneziaWG, Shadowsocks с obfs4).
  • Скрытое домено — DNS-over-HTTPS / DNS-over-TLS — DPI не видит, какой домен запрашивается.
  • Cover-сайт — VPN-сервер также является нормальным веб-сервером. На active-probe отвечает как настоящий веб-сервер.

Подробнее про конкретные протоколы и их способы маскировки — в статьях FakeTLS MTProto, AmneziaWG obfuscation, DPI в России 2026.

WProxy использует современные протоколы, которые DPI пока плохо ловит. Это не магия — это работа над тем, чтобы каждый из наших серверов выглядел в трафике максимально похоже на легитимные.

Попробовать WProxy

Один аккаунт — пять протоколов

MTProto, Hysteria, VLESS, AmneziaWG и Whitelist — пять протоколов под разные задачи, каждый подключается отдельно. Регистрация бесплатная, на старте хватит 100 ₽ чтобы попробовать.

Приложение WGate для Android

AmneziaWG и Whitelist-VPN в один тап. Только Android.

Скачать WGate.apk

Читать дальше

JA3/JA4-fingerprinting: как ТСПУ ловит VPN-трафик

JA3 и JA4 — это «отпечатки» TLS-handshake. По ним DPI отличает реальный браузер от поддельного VPN-клиента — даже если шифрование одинаковое.

DPI в России 2026: что умеет ТСПУ сейчас

ТСПУ — это система DPI, которую оператор связи обязан установить по закону. Разбираем, что она может и не может в 2026.

Ко всем статьям