DPI в России 2026: что умеет ТСПУ сейчас

ТСПУ (Технические средства противодействия угрозам) — система фильтрации трафика, которую с 2019 года обязаны устанавливать у себя все российские операторы связи. Управляется Роскомнадзором. Это и есть та «волшебная коробочка», которая блокирует VPN, замедляет YouTube и т.д.

Технологически это что

ТСПУ — это глубокий пакетный анализ (DPI) + центр управления. Каждый пакет, проходящий через узел оператора, анализируется по полям: IP, порт, протокол, TLS-fingerprint, размер, частота, статистика по сессии.

Базовая архитектура — что-то похожее на коммерческие DPI-системы Sandvine, Allot, RDP, плюс российские разработки на их базе.

Что ТСПУ умеет

• Блокировка по IP/домену. Реестр заблокированных сайтов — это базовый функционал. Работает по DNS-имени, hosts-файлу, SNI в TLS.
• Блокировка по DPI-сигнатуре протокола. OpenVPN, обычный WireGuard, старый Shadowsocks — всё детектится по характерным паттернам пакетов.
• Блокировка по JA3/JA4-fingerprint TLS. Точечно ловит конкретные VPN-клиенты по их TLS-отпечаткам.
• Шейпинг (замедление). Не блокирует, а резко снижает скорость. Применяется к YouTube (с 2024) и некоторым CDN-доменам.
• Поведенческий анализ. Если соединение «выглядит как VPN» по статистике (стабильный поток, шифрованная нагрузка, постоянные пакеты) — может быть deprioritized или дропнуто.
• Active probing. Активная проверка подозрительных серверов: сам отправляет на них handshake и смотрит ответ.

Что ТСПУ пока **не умеет** хорошо

• Различать VLESS Reality от настоящего трафика к CDN. Поэтому VLESS пока надёжен.
• Полностью блокировать UDP-трафик. Hysteria продолжает работать, хотя на некоторых провайдерах его уже точечно фильтруют.
• Реагировать на новые техники обхода быстро. От появления техники до блока обычно проходит несколько недель-месяцев.
• Различать обфусцированный WireGuard (AmneziaWG) от случайного UDP-мусора.
• Работать с домашним IPv6-трафиком. IPv6-стек у ТСПУ слабее, чем у IPv4. Иногда обходится прямой подключение через IPv6.

Куда движется

Главные тренды 2026:

• Замедление вместо прямой блокировки — даёт пользователю «работает, но плохо», что психологически уменьшает желание возиться с VPN.
• Точечная атрибуция трафика — ТСПУ всё лучше различает протоколы по поведенческим признакам, а не только по сигнатуре первого пакета.
• Активное вмешательство в TCP-сессии — сброс соединений (RST-инъекции), задержки в подтверждениях.
• Эпизодические шатдауны в кризисные дни — белые списки в отдельных регионах.

Что это значит для пользователя

Сегодня нет «вечно работающего VPN». Любой протокол со временем учат детектить. Поэтому стратегия — иметь несколько протоколов в одной подписке, чтобы переключаться между ними когда один отвалится. Hysteria → VLESS → AmneziaWG → Whitelist — лестница стойкости.