Как обойти
Deep Packet Inspection
DPI — технология, которую государства и провайдеры используют для обнаружения и блокировки VPN-трафика. Узнайте, как она работает, почему обычные VPN не справляются и как протоколы обфускации её обходят.
Что такое Deep Packet Inspection?
Deep Packet Inspection (DPI) — технология анализа сетевого трафика, которая проверяет содержимое пакетов данных при прохождении через контрольную точку. В отличие от простой фильтрации по заголовкам (источник, назначение, порт), DPI инспектирует полезную нагрузку каждого пакета, определяя тип передаваемого трафика.
Представьте это как почтовую систему: базовая фильтрация проверяет адрес на конверте, а DPI вскрывает конверт и читает содержимое. Это позволяет операторам сети определить не только куда идёт трафик, но и что он собой представляет — веб-страницу, видеопоток, VPN-туннель или загрузку файла.
DPI может обнаружить:
- check_circle Сигнатуры VPN-протоколов (OpenVPN, WireGuard, PPTP, L2TP)
- check_circle Паттерны трафика Tor и подключения через мосты
- check_circle SSH-туннелирование и SOCKS-прокси соединения
- check_circle Аномалии зашифрованного трафика (пакеты с высокой энтропией на нестандартных портах)
- check_circle Уникальные паттерны хендшейков протоколов туннелирования
Как DPI распознаёт VPN-трафик
Системы DPI используют несколько методов в комбинации для точного обнаружения VPN-соединений.
Отпечатки протоколов
У каждого протокола есть уникальная сигнатура. OpenVPN начинается с определённой последовательности байтов (0x00-0x0F для управляющего канала). WireGuard использует характерный трёхэтапный хендшейк с сообщениями фиксированного размера. Системы DPI ведут базу данных таких сигнатур и сопоставляют входящие пакеты с ними в реальном времени.
Статистический анализ
Даже в зашифрованном виде VPN-трафик имеет статистические свойства, отличающиеся от обычного веб-сёрфинга. DPI анализирует распределение размеров пакетов, временные интервалы и уровень энтропии. Постоянный поток одинаковых по размеру зашифрованных пакетов в одном соединении — явный признак VPN, поскольку обычный HTTPS создаёт пакеты разного размера с нерегулярными интервалами.
Активное зондирование
Продвинутые системы DPI (такие как GFW в Китае) не просто пассивно наблюдают — они активно зондируют подозрительные серверы. Если DPI подозревает, что IP-адрес обслуживает VPN, она отправляет на сервер специально сформированные пакеты. VPN-сервер ответит иначе, чем обычный веб-сервер, что подтвердит подозрение и повлечёт блокировку.
Классификация методами машинного обучения
Современные системы DPI используют ML-модели, обученные на размеченных датасетах трафика. Эти классификаторы способны обнаруживать VPN-трафик даже при скрытых сигнатурах, распознавая скрытые паттерны в поведении соединений, характеристиках TLS-сертификатов и динамике потоков трафика.
Почему обычные VPN не могут обойти DPI
Большинство VPN-протоколов разработаны для конфиденциальности и безопасности, но не для скрытности. Они не маскируют свой трафик, что делает их лёгкой мишенью для DPI.
| Протокол | Метод обнаружения DPI | Блокируется? |
|---|---|---|
| OpenVPN | Уникальный опкод в первом байте, TLS-хендшейк с пользовательскими расширениями | Легко блокируется |
| WireGuard | Фиксированный размер хендшейка (148 байт), характерные типы сообщений 1-4 | Легко блокируется |
| IPSec/IKEv2 | IKE-согласование на UDP 500/4500, протокол ESP номер 50 | Легко блокируется |
| SSTP | HTTPS на порту 443, но SSL-сертификат раскрывает заголовки SSTP | Обнаруживается |
| star WireGuard + Amnezia | Неотличим от HTTPS — известных DPI-сигнатур нет | Необнаруживаемый |
Как обфускация побеждает DPI
Протоколы обфускации преобразуют VPN-трафик так, чтобы он был неотличим от разрешённых типов трафика. Вот как работает слой обфускации Amnezia в VPNWG:
Дополнение и фрагментация пакетов
Сообщения хендшейка WireGuard фиксированного размера дополняются случайными данными до различной длины, соответствующей типичному распределению размеров HTTPS-пакетов. Это устраняет статистический отпечаток, на который опирается DPI.
Трансформация заголовков
Специфические заголовки протоколов и магические байты шифруются или заменяются безобидными данными. Первые байты каждого пакета — которые DPI проверяет в первую очередь — не раскрывают реальный используемый протокол.
Рандомизация временных интервалов
Между пакетами вводятся небольшие случайные задержки, чтобы нарушить регулярные временные паттерны, характерные для VPN-трафика. В результате поток трафика имитирует неравномерный, нерегулярный характер обычного веб-сёрфинга.
Обёртка в TLS
Весь обфусцированный поток оборачивается в валидную TLS-сессию, что делает его неотличимым от стандартного HTTPS-трафика для любого наблюдателя. DPI видит обычное TLS 1.3-соединение с тем, что выглядит как обычный веб-сервер.
Страны, использующие DPI для блокировки VPN
Блокировка VPN на основе DPI развёрнута во многих странах. VPNWG создан для работы в каждой из них.
Обойдите DPI с VPNWG
Хватит бороться с DPI протоколами, не предназначенными для скрытности. Обфускация Amnezia от VPNWG делает ваш VPN-трафик невидимым даже для самых продвинутых систем инспекции.