Салют, Хабр!

На связи MediaMetriqa и сегодня поговорим... нет, не про крипту, а про Телегу. Про то, что происходит с ней и вокруг неё: файлы не грузятся, звонки не проходят, VPN банят быстрее, чем успеваешь наиграться с пробным тарифом.

То, что раньше стабильно работало, превратилось в рулетку, ибо сегодня оно работает, а завтра – уже нет. И дело не в конкретных сервисах, а в самом подходе к ограничению доступа. Фильтрация стала умнее – вот в чем причина.

В статье разберём, как на самом деле устроено замедление Telegram, почему привычные VPN перестали давать гарантированный результат и какие технические подходы позволяют сохранить хоть сколько-то стабильный доступ к Тележке в текущих реалиях.

Поехали!

Признавайтесь, все уже там? :) 
Признавайтесь, все уже там? :) 

Дисклеймер: данная статья носит исключительно информационный характер и не призывает ни к каким действиям. Если в вашей юрисдикции что-то запрещено – поймите, примите, смиритесь. Мы не агитируем ничего нарушать, ничего устанавливать и ничего обходить – просто разбираем, как устроены современные сетевые технологии и почему одни решения работают, а другие перестают давать результат, которого от них ждут.

Содержание:

1. Как работает замедление Телеграм

2. Почему привычные инструменты перестали работать

3. Массовость = уязвимость, а простота – хуже воровства

4. Как энтузиасты обходят блокировку Телеграм

5. VPN vs прокси в контексте блокировки Телеграм

6. Сложно ли установить и пользоваться прокси

7. CDN как дополнительный слой маскировки

8. «Неубиваемая» локальная петля

Как работает замедление Телеграм

Блокировки по IP-адресам давно перестали быть чем-то эффективным: их по щелчку пальцев обходят даже школьники. Теперь в инфраструктуре крупных провайдеров используются системы глубокого анализа трафика (DPI), работающие по централизованно заданным правилам.

Проще говоря, внутри сети условного Билайна или Мегафона установлено оборудование, которое анализирует трафик не только по адресам, но и по содержимому, поведению. Эти системы работают по заранее заданным политикам фильтрации, обновляемым централизованно, то есть, провайдер не определяет правила, а лишь отвечает за их реализацию: «сверху сказали делать так – мы делаем так».

Это как если бы на почте проверяли не просто адрес на конверте, а читали само письмо, смотрели, как часто вы отправляете такие письма, кому отправляете, в какое время, и каким почерком, черт возьми, пишите. DPI делает то же самое, но с интернет-трафиком.

Почему привычные инструменты перестали работать

Логичный вопрос: если всё так сложно, то почему раньше VPN и прокси работали годами, а теперь «умирают» за считанные дни?

Во-первых, DPI внедрялись постепенно и у запрещенных сервисов был этакий «льготный период», пока получить к ним доступ не представляло труда. Во-вторых, подобным системам нужно время для накопления статистики и формирования устойчивых сигнатур типичного трафика: когда VPN только начали массово использовать, для систем фильтрации это был всего лишь зашифрованный трафик, непонятно что внутри, непонятно зачем – проще пропустить, чем разбираться.

Но теперь ситуация изменилась. На дистанции и объемах в сотни тысяч, а может и миллионы пользователей, сформировались чёткие паттерны поведения популярных решений для обхода блокировок. Теперь DPI знает, как выглядит типичный VPN-трафик: как устанавливается соединение, с какой частотой идут пакеты, какие протоколы используются, какие характерные признаки TLS-рукопожатий и т.д.

Иными словами, привычные VPN и прокси стали слишком заметными, и из-за этого массово попадают под фильтры.

Массовость = уязвимость, а простота – хуже воровства

В текущих условиях любой простой популярный инструмент рано или поздно начинает работать против себя. Один и тот же протокол, одни и те же сервера, одинаковые настройки у тысяч пользователей. В один прекрасный момент всё это добро превращается в идеальную сигнатуру для фильтрации. Криптаны, кстати, регулярно с таким сталкиваются, когда пытаются абузить проекты: баны и «нот элигибл» раздают по тому же принципу – при наличии характерных паттернов. Только с кластером <10, а не >100.

Короче.

Главная причина блокировок – узнаваемость. Именно поэтому с экранов ТВ пугают невозможностью обхода ограничений Телеграм – большинство пользуется тем, что сформировало четкие паттерны и стало легко узнаваемо.

Не обсуждайте такое в чатах на трезвую голову
Не обсуждайте такое в чатах на трезвую голову

Как энтузиасты обходят блокировку Телеграм

Если внимательно читали выше – уже наверняка и сами догадались. Главный принцип: не отсвечивать и не привлекать внимание (снова привет, крипта, ахахах).

Большинство пользуется бесплатными инструментами. Разумеется, все они либо уже в черных списках, либо быстро туда попадают из-за стремительного формирования характерных паттернов на больших цифрах.

Бесплатно = много юзеров = быстрая идентификация типичного поведения = бан.

Хотя, справедливости ради, дело тут не в платности или бесплатности, а именно в массовости. Просто бесплатные сервисы по понятным причинам самые массовые, но это не значит, что платные, напротив, не массовые. Здесь дело в деталях, ниже будет понятнее.

VPN vs прокси в контексте блокировки Телеграм

Не будем сейчас про безопасность, нюансы и вот это вот всё – исключительно стабильность работы на практике. А практика такова, что прокси показывают себя лучше и банят их в разы, а то и десятки раз реже в сравнении с VPN. Однако лишь в случаях, когда речь идет об индивидуальных или резидентских прокси (это, к слову, не одно и то же – последние дороже и целесообразность их использования в целом под вопросом в случае с Телеграм). Любые публичные, и уж тем более бесплатные публичные прокси – по умолчанию не стоят того, чтобы тратить на них время: проще купить индивидуальный прокси за 1.5-2 доллара в месяц, чем искать бесплатные с периодичностью пару-тройку раз в день. По крайней мере, так говорят энтузиасты, попробовавшие и то, и другое :)

VPN – это массовый, узнаваемый паттерн. Индивидуальный прокси – это частный, менее заметный трафик. Это как если бы вы толпой в сто человек устроили шествие по центральной улице и сразу привлекли к себе внимание, либо шли спокойненько один и не выделялись. Логика примерно такая.

Да, есть и индивидуальные VPN-сервера, однако прайс на готовые решения едва ли понравится средне-статистическому Телеграм-юзеру. А то, что распространено в массах – стоит более-менее приемлемо и активируется одной кнопкой – это именно публичные VPN. Отсюда и все проблемы.

Сложно ли установить и пользоваться прокси

Чуть сложнее, чем тыкнуть пару кнопок в привычном публичном VPN-приложении. Хотя, сейчас доступна куча прокси-клиентов под разные платформы, где достаточно один раз ввести данные, а потом просто включать клиент при необходимости. Например, для Android и iOS очень хвалят Super Proxy (есть в официальных маркетах), а для Windows и macOS – Proxifier. Последний не бесплатный, но там просто тьма настроек и возможностей автоматизации.

Кстати, кто не знал, в Телеграм есть нативная поддержка прокси. Если не ошибаемся, ее добавили еще во времена самой первой попытки заблокировать мессенджер. Поэтому те, кому прокси нужен исключительно для Телеги – могут вообще не заморачиваться с установкой дополнительных приложений.

Нативная поддержка прокси в Телеграм. Настройки → Данные и память
Нативная поддержка прокси в Телеграм. Настройки → Данные и память

CDN как дополнительный слой маскировки

Индивидуальные прокси – довольно примитивный вариант для юзеров, которые не хотят заморачиваться. Опытные ребята практикуют «фокусы» поинтереснее.

Так, отдельный класс решений строится вокруг использования CDN-инфраструктуры, например Cloudflare, в качестве промежуточного звена.

Если сильно упростить, пользователь подключается не напрямую к целевому серверу, а сначала к узлам CDN. А уже дальше трафик уходит туда, куда нужно. В глазах сети это выглядит как обычное HTTPS-соединение с популярным сервисом, через который проходит огромное количество легитимного трафика.

И вот тут проявляется ключевой эффект: трафик перестаёт быть «уникальным» и начинает растворяться в общем потоке. А значит – его сложнее выделить и отфильтровать.

Чаще всего подобные схемы применяются не сами по себе, а в связке с каким-нибудь Xray. В этом случае маскировка происходит сразу на нескольких уровнях:

  • на уровне протокола (что передаётся);

  • на уровне транспорта (как передаётся);

  • и на уровне маршрута (через что передаётся).

Именно за счёт многослойности вся эта басня выглядит более устойчивой и стабильной в сравнении с банальными прокси.

Но иллюзий строить все равно не стоит: CDN не является волшебным щитом, хоть и может заметно усложнить детектирование за счёт изменения маршрута и внешнего вида трафика. По поведению соединения, сигнатурам протоколов и другим косвенным признакам отфильтровать его могут, особенно при массовых паттернах.

«Неубиваемая» локальная петля

Кавычки вокруг этого громкого эпитета очень важны, ибо в теории убить можно все, что угодно. Но не будем о грустном.

Локальная петля состоит из трех компонентов:

  1. VPS-сервер, арендованный где-нибудь в Нидерландах или США, на котором будет крутиться серверная часть, чаще всего под управлением 3X-UI;

  2. клиент на смартфоне или ПК, например, v2rayNG, Nekoray, V2Box;

  3. Telegram, как конечный потребитель трафика.

Создается «невидимый» туннель: на сервере настраивается современный протокол, обычно это VLESS + REALITY. Этот протокол не просто шифрует данные – он мимикрирует под обычный сайт, в итоге провайдер видит, что пользователь зашел за условным обновлением на популярный сервис, и не блокирует соединение.

Поднимается «мост» на 127.0.0.1: запускаетя клиентское приложение на телефоне или ПК, в нем включается конфиг сервера. Приложение подключается к серверу, но не включает системный VPN. Вместо этого оно как бы говорит системе: «Я открываю на этом телефоне/ПК внутренний порт 1080. Если кто-то из программ придет по адресу 127.0.0.1:1080, я заберу их данные и тихо передам их на свой сервер через замаскированный туннель».

Настраивается прокси в Телеграм: сервер 127.0.0.1 («петля», обращение приложения к самому себе), порт 1080 (вход в туннель).

Для тех, кто в теме, гыыы :) 
Для тех, кто в теме, гыыы :) 

Те, кто практикует подобное, уверены в непробиваемости решения.

Во-первых, потому что localhost (127.0.0.1) – это не про сеть провайдера. Это локальный адрес устройства, который никуда не выходит и, соответственно, не может фильтроваться на уровне оператора.

Во-вторых, из-за отсутствия типичных признаков VPN-подключения, используемого массовыми сервисами: для системы устройство не в VPN, трафик других приложений (банков, Госуслуг) идет напрямую, что позволяет избежать блокировок от сервисов, которые «не дружат» с VPN.

В-третьих, из-за наличия стелс-режима: протокол маскировки внутри туннеля перепакует пакеты Telegram так, что они будут выглядеть как случайный шум или легитимный HTTPS-трафик.

Кстати, поговаривают, что в эпоху нейронок такую штуку способен развернуть за час-полтора даже откровенный гуманитарий. Но мы не проверяли, так что подтвердить не можем. Ровно как и опровергнуть :-)

Такие вот дела.

Кто всё понял – тот молодец. Кто не понял – может попытаться зайти к нам в Телегу и посмотреть, как настраиваются прокси: сделали небольшой гайд с примерами конфигураций и пояснениями. Ну и про крипту мы там регулярно пишем, в крипте без прокси и всяких хитрых костылей никак не обойтись. Кому интересно – вэлкам.

Если есть, что добавить – ждём в комментах.

Хейтерам привет: крипта скам, Телега скам, всё скам, парни, вы безусловно правы :-) 

Всем беспроблемного доступа к любимым ресурсам, всех обняли, ваша MediaMetriqa!