Прошлой осенью я лишился своего VPN-сервиса. Классический селфхостед на VDS, поднятом у зарубежного хостера, без посредников. Работал надёжно, стоил копейки — и я привык к тому, что всё просто работает. Осенняя волна блокировок смела его вместе с тысячами похожих.
Не я один попал под раздачу. Эта волна ударила как по самоварам, так и по крупным коммерческим сервисам. Дополнительной нервозности добавлял тот факт, что ситуация разительно отличалась в зависимости от региона, провайдера и типа соединения — что вносило дополнительную суматоху и делало любые обобщения практически невозможными.
Ноябрьский обвал стал шоком. VLESS — протокол, казавшийся нерушимым — пал. СМИ подавали это как великое достижение российского регулятора: России удалось то, чего не смог Китай — страна с самой совершенной системой интернет-цензуры в мире, с многолетним опытом и колоссальными ресурсами. Великий Китайский Файрвол при всей своей мощи не нашёл противодействия VLESS. Российский регулятор — нашёл.
Однако когда я начал по кусочкам собирать картину произошедшего, всё оказалось не так мрачно. Протокол устоял. Расколоть его до сих пор не удалось никому. Проблема была не в протоколе, а в людях, которые его использовали. Их всех сгубили общие паттерны: характерные признаки трафика, по которым системы DPI научились его детектировать и выделять из общего потока.
VLESS стал невероятно популярен — и вот это, как я понимаю теперь, и было первым тревожным звоночком, который я пропустил. Вместе с популярностью пришли удобство и инструменты: веб-панели, готовые скрипты, тулзы на любой вкус. Я оказался одним из тех десяти миллионов леммингов, которые не могут ошибаться. Поддался всеобщей эйфории, уверовал в неуязвимость VLESS — и совсем потерял осторожность. Поставил себе удобную панель 3X-UI, не удосужившись сменить дефолтный порт или хоть как-то её замаскировать.
Именно это и детектировали системы DPI. Миллионы пользователей, действующих по одному шаблону: однотипные гайды по настройке, одни и те же сайты для мимикрии трафика, одни и те же инструменты и панели с дефолтными портами, которые известны, как выяснилось, не только энтузиастам. Поверх этого — активное зондирование, выявляющее характерное отклонение при рукопожатии.
Результатом действий регулятора стала не компрометация протокола, а выявление и компрометация узлов, которые его использовали, — с последующей блокировкой по IP. Я убедился в этом лично: в судорожной попытке починить упавший сервис потерял доступ к узлу даже по SSH — но только из российского сегмента сети. С зарубежных серверов он по-прежнему оставался доступен.
Кампания по блокировке VLESS оказалась беспрецедентной по масштабу. Она наглядно показала: времена, когда можно было целиком полагаться на одну технологию — пусть даже самую совершенную — остались в прошлом. Никто больше не может чувствовать себя неуязвимым.
Но у этой истории есть и обратная сторона. Кампания обнажила слабости самого регулятора. Когда все силы были брошены на VLESS, многие другие протоколы, прежде заблокированные, вдруг снова начали работать. На короткое время открылся доступ к ранее недоступным ресурсам — мощностей оборудования, судя по всему, не хватило, чтобы блокировать всё и сразу: тотальный контроль уперся в лимиты железа.
Тем не менее главный вывод, который сделало большинство участников рынка, был однозначным: жизнь больше не будет прежней. Схемы, работавшие раньше — когда можно было арендовать сервер за рубежом по цене чашки кофе, прокинуть до него защищенный канал и получить свой личный VPN, — больше не работают. Такие каналы будут вычислены и заблокированы. И с развитием систем и техник DPI срок их обнаружения и компрометации будет только уменьшаться.
Время простых схем закончилось. Чтобы обеспечить стабильную работу сети в будущем, потребуются более сложные инфраструктурные решения — масштабные и диверсифицированные, способные гибко реагировать на действия регулятора: менять топологию и протоколы в зависимости от ситуации и обеспечивать всё более глубокую маскировку.
Эта история заставила меня остановиться и подумать. Не о том, как быстрее восстановить доступ к утраченному сервису — технически это вполне решаемая проблема. А о природе произошедшего: почему схема, работавшая годами, сломалась?
Подписывайтесь на мой канал в телеграм: мои статьи появится там на пару дней раньше, чем на Хабре.
Продолжение: «Записки выжившего лемминга — Часть 2. Гонка вооружений»
