Лонгрид о том, как анонимный китайский программист, российские государственные подрядчики и тысячи безымянных инженеров со всего мира десять лет воевали за право на обычный интернет и чем эта война стала сегодня
Пролог: письмо
22 августа 2015 года пользователь GitHub под ником clowwindy написал короткое сообщение в треде своего проекта. По-английски ведь, потому что по-китайски было опаснее:
"Two days ago the police came to me and wanted me to stop working on this. Today they asked me to delete all the code from GitHub. I have no choice but to obey."
После этого он удалил все репозитории. Очистил аккаунт. Исчез.
Проекту, который он удалил, было три года. За это время его скачали миллионы раз. Он работал на телефонах студентов в Пекине, на ноутбуках журналистов в Гонконге, на серверах активистов в Синьцзяне. Он назывался Shadowsocks.
Вот что произошло дальше: репозиторий с пометкой "removed according to regulations" за несколько часов стал первым в глобальном рейтинге трендов GitHub. Сотни тысяч людей зафоркали код, который только что пытались уничтожить. Через три дня аналогичным образом исчез GoAgent ещё один инструмент обхода. Потом GitHub лёг под DDoS-атакой, которую многие приписали китайским властям. Иногда попытка что-то заглушить только усиливает звук.
Но чтобы понять, почему один человек в китайском городе испугался настолько, что удалил три года работы за одну ночь надо начать раньше.
Глава 1. Мир до войны
Ранний интернет строился на принципе, который казался самоочевидным: маршрутизатор читает только адрес назначения пакета. Как почтальон, который смотрит только на адрес конверта. Что внутри не его дело.
Именно это давало ощущение открытости. Тебе не надо объяснять, зачем ты пишешь это письмо. Просто пишешь и оно летит.
Всё изменилось с Deep Packet Inspection ... технологией глубокой инспекции пакетов. DPI появился в телекоммуникациях в конце 90-х как инструмент оптимизации: можно приоритизировать видеозвонки над торрентами, разгружать сеть умнее. Вполне безобидно.
Потом кто-то в правительстве спросил: а если не приоритизировать, а блокировать?
В Китае это произошло раньше всех. «Золотой щит» начал строиться в 1998 году. К 2010-му — уже не просто блокировка по IP, а многоуровневая система анализа трафика. Google заблокирован. Facebook заблокирован. YouTube заблокирован. Западные корреспонденты в Пекине первыми столкнулись с практическим вопросом: как отправить материал в редакцию?
Ответом стал OpenVPN.
Глава 2. Эпоха OpenVPN
OpenVPN написали в 2001 году. К 2010-му он был стандартом де-факто для корпоративных VPN по всему миру. Принцип: весь трафик шифруется и упаковывается в туннель — снаружи виден зашифрованный поток, что внутри неизвестно.
Для маршрутизатора 2005 года, достаточно. Зашифровано? Пропускаем.
Проблема была в том, что OpenVPN при установке соединения делал очень характерное TLS-рукопожатие. Определённый набор параметров, определённый порядок расширений, определённая последовательность первых пакетов. Это как почерк: содержимое письма зашифровано, но стиль написания выдаёт автора даже через конверт.
Инженеры Золотого щита сделали простое: собрали образцы OpenVPN-трафика, выделили паттерны первых пяти пакетов, добавили правило. Видишь такой паттерн — блокируй.
К 2012 году OpenVPN в Китае сыпался. Тогда clowwindy сел писать Shadowsocks.
Глава 3. Революция случайности
Идея была простой до гениальности.
Что если сделать трафик абсолютно случайным? Не «зашифрованным с характерным заголовком» а буквально потоком байт, в котором статистически невозможно найти паттерн. Никакого TLS-рукопожатия. Никакого первого пакета с сигнатурой. Просто шифрованный хаос — с первого байта.
Shadowsocks работал просто: клиент и сервер заранее договариваются о ключе. Дальше всё, включая метаданные соединения, шифруется немедленно. DPI-система смотрит на поток — и видит ничего. Статистический шум. Что делать с шумом? Непонятно. Заблокировать всё зашифрованное значит заблокировать половину мирового интернета.
Первые два года Shadowsocks работал практически без помех. К 2014-му сотни тысяч пользователей, клиенты под все платформы, активное сообщество.
Потом появилось активное зондирование.
Глава 4. Когда файрвол начал думать
Если нельзя опознать трафик по первым пакетам можно проверить сервер напрямую.
Система замечала подозрительный трафик: постоянные соединения к одному IP, нестандартные порты, характерный объём данных. Не блокировала сразу. Отправляла автоматизированного разведчика — программу, которая пыталась поговорить с сервером на разных языках.
«Ты HTTP?» - нет ответа.
«Ты HTTPS?» - нет ответа.
«Ты Shadowsocks?» - ...
Если сервер отвечал блокировка. Если не отвечал ни на что — тоже подозрительно, тоже блокировка.
Shadowsocks-серверы начали исчезать в течение 6–24 часов после начала активного использования. Пользователи просыпались и обнаруживали, что вчера купленный сервер уже недоступен.
22 августа 2015-го пришли к clowwindy.
Он удалил всё. Но было уже поздно. Код жил в тысячах форков, мейнтейнеры были по всему миру. Shadowsocks продолжил жить без создателя. Хорошая идея переживает давление.
Но техническая проблема осталась: случайный шум — слишком очевидный признак того, что ты что-то скрываешь. Нужна была маскировка под что-то конкретное и легитимное.
Глава 5.
Стоп.
Прежде чем идти дальше нам надо поговорить о деньгах.
Глава 6. ТСПУ: за чей счёт банкет
В 2019 году в России приняли закон о «суверенном интернете». Официально — для «обеспечения устойчивой работы российскрого сегмента интернета». Так родилась ТСПУ — Технические средства противодействия угрозам.
Вот что важно понять, прежде чем читать дальше про протоколы.
ТСПУ это не абстрактный «государственный файрвол» из новостей. Это конкретное железо, стоящее в серверных конкретных провайдеров, купленное у конкретных компаний за конкретные бюджетные деньги. Правила фильтрации приходят провайдерам автоматически сверху: провайдер часто сам не знает, что именно блокирует коробка в его серверной. Управление — централизованное из РКН.
Основные подрядчики по госзакупкам: Эшелон один из ключевых поставщиков DPI-решений. Компания, которая выросла из постсоветской телекоммуникационной инфраструктуры и спокойно конвертировала этот бэкграунд в контракты на интернет-фильтрацию. Норси-Транс — поставщик сетевого оборудования, получивший несколько крупных контрактов. RDP.RU, EcoFilter — системы контент-фильтрации.
Суммарные затраты на ТСПУ к 2023 году, по оценкам исследователей, изучавших данные госзакупок, превысили 20 миллиардов рублей. Это не разовая закупка — это регулярные обновления, расширение, поддержка.
20 миллиардов рублей из федерального бюджета на то, чтобы ты не мог читать независимые новости. Можно по-разному к этому относиться. Но делать вид, что это просто «сетевая архитектура» нечестно.
Глава 7. Россия разминается (2017–2019)
Пока Китай воевал с протоколами годами, Россия первые попытки делала по-дилетантски.
В 2018-м Роскомнадзор попытался заблокировать Telegram. Telegram переезжал на новые адреса в процессе. РКН в ответ заблокировал более 18 миллионов IP-адресов Amazon* , Google* и других крупных провайдеров ну и... попутно уронив ритейл-сайты, банковские приложения, несколько государственных сервисов. Telegram продолжал работать.
Через два года блокировку тихо сняли. Официального объяснения не последовало. В Думе никто не сказал «мы облажались». Просто однажды Telegram* снова стал доступен и все сделали вид, что так и было.
Вывод был очевидным: IP-блокировки против умного противника не работают. Нужен DPI. Именно телеграм-фиаско стало политическим аргументом для ускорения принятия закона о суверенном интернете.
Глава 8. V2Ray: притворяемся веб-сайтом
К 2019 году китайское сообщество уже работало над следующим поколением.
V2Ray с протоколом VMess строил маскировку на другом принципе: не случайный шум, а трафик, неотличимый от обычного HTTPS. Клиент подключается через WebSocket, WebSocket идёт поверх TLS, TLS идёт через CDN это например, Cloudflare.
Что видит DPI? Обычный HTTPS-запрос к домену на Cloudflare. С нормальным сертификатом, нормальными заголовками, нормальным рукопожатием.
Заблокировать? Это выглядит как обычный сайт. Активно зондировать? CDN отвечает сам, сервер не получает прямых подключений. Заблокировать Cloudflare* ? Тогда ляжет значительная часть мирового интернета.
Первая массовая реализация «domain fronting»: используем крупные CDN как щит именно потому, что заблокировать их невозможно без катастрофических потерь.
Это работало. Но у VMess была проблема: двойное шифрование. Трафик шифровался самим VMess, а потом ещё TLS. Дополнительная нагрузка и статистические отклонения, которые теоретически заметны при поведенческом анализе.
Глава 9. VLESS: меньше значит чище
В 2020 году появился разработчик под ником rprx с простым аргументом: если трафик и так зашифрован внешним TLS — зачем шифровать второй раз внутри? Второй слой не добавляет безопасности, но добавляет нагрузку и статистический след.
Так появился VLESS - протокол без лишнего шифрования и XTLS, технология, которая синхронизировала поведение туннеля с внешним TLS-потоком. Трафик перестал просто «выглядеть» как HTTPS он им был, без дополнительных артефактов поверх.
rprx создал Xray-core- форк V2Ray с новыми протоколами. Проект быстро набрал аудиторию.
Мой первый VLESS-сервер я поднял в конце 2021-го. Работал стабильно несколько месяцев. Потом пришёл февраль 2022-го .. и стало понятно, что правила игры внезапно меняются.
Глава 10. Февраль 2022: всё изменилось
За первые недели Роскомнадзор заблокировал Facebook*, Instagram*, Twitter*, сотни новостных сайтов — BBC*, Deutsche Welle*, «Дождь*», «Медузу*». По данным OONI*, количество блокировок за 2022 год выросло в четыре раза по сравнению с 2021-м. VPN-приложения исчезали из App Store и Google Play* — РКН* слал запросы напрямую в Apple* и Google*, те выполняли.
По данным Sensor Tower*, в первые дни скачивания VPN-приложений в России выросли на 2700%.
ТСПУ перешла в агрессивный режим. Shadowsocks-серверы начали блокироваться за несколько часов. Мой сервер лёг через четыре часа после того, как я дал ссылку нескольким людям. Следующий — через шесть. Нужно было что-то принципиально другое.
И тут rprx представил VLESS + Reality.
Глава 11. Reality: кража личности как метод защиты
Предыдущие протоколы притворялись веб-сайтами. Reality пошла дальш�� — она крала TLS-личность реального, живого сервиса.
Когда браузер заходит на Spotify, он делает рукопожатие с конкретными параметрами: определённые шифровые алгоритмы в определённом порядке, определённые TLS-расширения, конкретные тайминги между пакетами. Всё это вместе уникальный «TLS-отпечаток». По отпечатку опытный аналитик может определить, какой браузер на какой ОС сделал запрос.
DPI-системы нового поколения умеют это проверять: если ты говоришь, что ты Chrome 120 на Windows 11 рукопожатие должно выглядеть именно так. Несоответствие это подозрение. Reality решила это радикально: клиент делает настоящее рукопожатие с настоящим сервером Apple или Spotify. С тем же отпечатком, теми же таймингами. После завершения данные туннеля вшиваются внутрь.
С точки зрения DPI: идеальный, настоящий TLS-запрос к Apple iCloud. Заблокировать — значит потерять сотни тысяч iPhone, App Store, корпоративные сервисы ну и мой следующий сервер с Reality+VLESS работал больше двух месяцев без единой блокировки. Это был другой уровень :)
Глава 12. ML входит в игру
Инженеры на стороне государства не сидели сложа руки.
Классический DPI работает по сигнатурам: если первые 16 байт выглядят так блокировать. Это относительно легко обойти, изменив эти байты. ML-подход работает иначе. Нейросеть обучается на статистических характеристиках трафика:
Распределение размеров пакетов. У браузера, смотрящего Netflix, пакеты имеют определённое распределение. У VPN-туннеля - другое.
Межпакетные интервалы. Браузер делает паузы при рендеринге страницы, загрузке скриптов. Туннель нет, у него более равномерный поток.
Соотношение входящего и исходящего. При просмотре видео входящий трафик сильно превышает исходящий. Многие VPN-туннели симметричны или ведут себя иначе.
Никакого одного характерного байта. Только статистика по тысячам характеристик одновременно. По данным исследований команды Censored Planet из Мичиганского университета, ML-классификаторы в лабораторных условиях достигают точности 95–99% при распознавании Shadowsocks и VMess даже без активного зондирования. В реальных условиях цифры ниже: слишком много ложных срабатываний даст непредсказуемые блокировки. Но тенденция понятна: сигнатурный DPI уходит в прошлое, на смену идёт поведенческий анализ. Это принципиально меняет задачу. Теперь недостаточно иметь правильные байты — нужно правильно вести себя во времени.
Глава 13. ShadowTLS и смерть ECH
Сообщество отвечало на каждый новый вызов.
ShadowTLS пошёл ещё дальше Reality: он делал настоящее, полноценное рукопожатие с реальным сервером например, банковским сайтом. После завершения данные передавались внутри уже установленной TLS-сессии. С точки зрения любого анализатора абсолютно легитимный TLS к легитимному серверу.
ECH (Encrypted Client Hello) должен был закрыть последнюю дыру в TLS: поле SNI — Server Name Indication долгое время передавалось в открытом виде, позволяя DPI видеть, к какому домену идёт запрос даже в зашифрованном HTTPS. ECH стал частью TLS 1.3 и должен был зашифровать это поле.
В России и Китае ECH практически мёртв. По простой причине: TLS-рукопожатие без SNI — или с зашифрованным SNI можно просто не пропускать. Неизвестно что подозрительно — блок. Многие провайдеры именно так и делают. Инструмент, призванный защитить приватность, стал маркером подозрительного трафика.
DNS over HTTPS, DNS over TLS это попытки скрыть DNS-запросы, которые исторически передавались в открытом виде. У значительной части российских провайдеров DoH заблокирован.
Каждое новое решение порождало новое противодействие.
Глава 14. Один вопрос без ответа
Здесь я должен поставить вопрос, на который честно не знаю ответа.
Все инструменты, о которых идёт речь, создавались с понятной целью: дать людям доступ к открытому интернету в условиях цензуры. Использовались журналистами, активистами, студентами, которые хотят читать Википедию или позвонить родственникам за границей.
Но те же протоколы, та же инфраструктура используются и для другого. Для трафика, незаконного в любой юрисдикции. Для анонимизации действий, за которые в нормальных правовых системах положена реальная ответственность.
Разработчики об этом знают. Они выбирают продолжать — потому что альтернатива означает отдать государству монополию на решение, какой трафик «хороший», а какой «плохой». А эту монополию, как показывает история с ТСПУ и 20 миллиардами рублей, государство использует не так, как обещает.
Где проходит правильная черта — я не знаю.
Глава 15. Где мы сейчас (2025–2026)
Тогда, в 2015-м, один протокол мог работать годами. Сейчас нет ни одного универсального решения. Есть спектр инструментов с разными компромиссами.
VLESS + Reality по-прежнему один из лучших вариантов по соотношению скорость/стелс. Но требует аккуратной настройки: правильный выбор SNI-«донора», правильный fingerprint. Небрежно настроенный Reality-сервер обнаруживается.
XHTTP новый транспорт в Xray-core, построенный поверх HTTP/2 или HTTP/3. Имитирует поведение браузера точнее, чем WebSocket — включая паузы, размеры запросов, паттерны мультиплексирования. Прямой ответ на ML-классификаторы.
Sing-box универсальный клиент, поддерживающий десятки протоколов. Можно быстро переключаться при необходимости. По гибкости сейчас лучший в классе.
Snowflake (проект Tor Project) децентрализованные мосты через браузерные расширения обычных пользователей. Медленно, но принципиально устойчиво: заблокировать невозможно, потому что «серверы» — это случайные браузеры по всему миру.
По данным OONI и Censored Planet, к 2025 году в России стабильно блокируются: чистый Shadowsocks (за несколько часов), VMess без маскировки (нестабильно, часто), OpenVPN (почти везде), WireGuard (по характерному UDP-паттерну у многих провайдеров). Показательный факт: в сентябре 2024-го Роскомнадзор заблокировал сам OONI Explorer — систему мониторинга блокировок. То есть даже наблюдение за цензурой теперь цензурируется.msg.ooni+1
Главный вывод: то, что работало полгода назад, может не работать сегодня. Важнее знания конкретных инструментов этоконечно понимание принципов работы инструментов, чтобы адаптироваться, а не искать каждый раз «волшебный конфиг».
Глава 16. Люди за протоколами
За технической историей легко потерять главное.
clowwindy написал Shadowsocks в одиночку. Его настоящее имя неизвестно. В 2015-м, когда он удалял код, Danny O'Brien из Electronic Frontier Foundation выпустил официальное заявление с поддержкой. Это было что-то — но не защита. Где он сейчас — неизвестно. В 2020 году кто-то заметил, что его аккаунт лайкнул чужой твит о Shadowsocks. Жив. Следит. Видит, что работа продолжается.[chinadigitaltimes]
rprx, создатель VLESS и XTLS, до сих пор активно поддерживает Xray-core. Работает анонимно. В одном из немногих публичных сообщений написал, что считает свою работу инфраструктурой для миллионов людей, которые просто хотят нормальный интернет.
Тысячи безымянных мейнтейнеров клиенты под Android и iOS, документация на десятках языков, инструкции для сисадминов и для бабушек. Без зарплаты, анонимно, иногда с реальным юридическим риском.
На другой стороне тоже люди. Инженеры, которые строят ТСПУ, работают за обычную зарплату, выполняют технические задачи. Некоторые из них, возможно, пользуются теми же инструментами дома.
Это не война добра и зла. Это война о принципе: кто решает, какую информацию ты имеешь право получить?
Эпилог ... ?
Shadowsocks, который clowwindy удалил в 2015-м, сегодня живёт в десятках форков. Его идея — что трафик должен выглядеть как случайный шум — стала основой для всего, что пришло после.
Через несколько часов после удаления репозиторий с пометкой «removed according to regulations» поднялся на первое место в глобальном GitHub Trending. Тысячи людей по всему миру зафоркали код, который пытались уничтожить. Автор исчез — идея разошлась.[chinadigitaltimes]
Каждый протокол, каждый коммит, каждая строчка документации — это письмо, написанное с надеждой, что оно дойдёт. Несмотря на оборудование Эшелона в серверных провайдеров. Несмотря на 20 миллиардов рублей. Несмотря ни на что.
Пока эти письма доходят что-то важное остаётся живым.
Пссс можешь заглянкть в тгшку пока не блокнули: https://t.me/mirazh_dev
*Редакция напоминает: BBC*, Deutsche Welle* и «Медуза*» и кто там еще ... ну они типо признаны нежелательными / иностранными агентами / просто нехорошими людьми нужное подчеркнуть. Чтение их материалов может привести к самостоятельному мышлению, что противопоказано при ряде хронических заболеваний. VPN-сервисы, упомянутые в тексте, не одобрены Министерством здравоохранения и могут вызывать побочные эффекты: осведомлённость, критическое мышление, доступ к зарубежным источникам.
Проконсультируйтесь с Роскомнадзором перед применением. Автор данного текста, вероятно, тоже иностранный агент он использует иностранный браузер, иностранный процессор и иностранный протокол TCP/IP, разработанный в США* в 1974 году при поддержке Министерства обороны. DARPA, привет.
*Дисклеймер: перечисленные издания признаны [нужное вписать]. Обход блокировок вреден для здоровья, экономики и духовных скреп. Автор* написал эту статью через VPN, что автоматически делает её экстремистским материалом. Пожалуйста, закройте вкладку и откройте RT.
