Это 2 часть серии из 4 статей.
Первая часть: «Записки выжившего лемминга — Часть 1. Паттерны убивают»
Где-то в середине 2018 года на Хабре вышла статья «Туннели и VPN, устойчивые к DPI». Это была одна из первых статей, с которых начиналось моё знакомство с темой. Хороший обзор решений, аргументы за и против собственного VPN. В те годы я только начинал строить первые приватные сети. Выбор инструментов был понятным:
OpenVPN — главный «народный» VPN эпохи. Надёжный, гибкий, хорошо задокументированный. Но тяжёлый — и узнаваемый: характерное TLS-рукопожатие и паттерны трафика делали его видимым для любого DPI, который хотел его увидеть.
SSH-форвард — другая крайность: минималистичный туннель поверх SSH, мимикрирующий под служебный трафик. Для точечных задач годился, для повседневного использования — не то.
Shadowsocks появился как прямой ответ на Великий Китайский Файрвол: прокси, маскирующийся под зашифрованный поток без явных признаков протокола, созданный именно для противодействия DPI — и долгое время с задачей справлявшийся.
WireGuard выбивался из ряда: простой, быстрый, элегантный — но откровенный. Никакой обфускации, трафик идентифицируется моментально. Скорость в обмен на скрытность.
Я в итоге осел на IKEv2 — корпоративном стандарте, непопулярном у энтузиастов. Именно поэтому он долго оставался ниже уровня радаров: нет массовости — нет устойчивых паттернов — нет приоритета для блокировки.
Но по-настоящему примечательным было другое: автор попытался заглянуть в будущее. Это неблагодарный труд — предсказывать, но многие прогнозы из той статьи сбылись. Автор указал на тенденцию, которая тогда ещё только намечалась: одного шифрования трафика перестаёт быть достаточно. Следующий рубеж — обфускация: трафик должен стать не просто зашифрованным, но неклассифицируемым, неотличимым ни от какого известного протокола. А за этим горизонтом автор предсказал появление протоколов с мимикрией: VPN, притворяющихся обычным веб-сервером. Стучишься — страничка с кошечками. Стучишься правильно — туннель. Спустя несколько лет мы увидели именно это.
Пионерами стали VMESS, а вслед за ним — VLESS. Общий принцип у них и у появившихся следом аналогов один: шифрование через TLS, минимальный объём заголовков, мимикрия под действующий HTTPS-хост, система «свой-чужой» на уровне рукопожатия. Фоллбек на настоящий веб-сервер — для всех, кто постучался не так. Никакого TLS поверх TLS и других тяжёлых схем, которые сами по себе становятся демаскирующим признаком.
Моё знакомство с VLESS началось в первые месяцы его существования — так совпало. Когда я поднимал свой первый Xray-сервер, протокол только вышел, и клиентов под него можно было пересчитать по пальцам одной руки. Никаких веб-панелей и прочей мишуры: конфиги писались вручную в терминале, прямо на сервере. Так оно и работало — несколько лет, без особого внимания с моей стороны, лишь изредка требуя перезагрузки.
Протоколы оказались настолько эффективны, что крупные коммерческие VPN-сервисы начали один за другим начали брать его на вооружение, а также создавать собственные решения, на тех же исходных принципах.
Точка, в которой мы находимся сейчас: взломать лучшие из современных протоколов по-прежнему не удалось. Но поиски — в активной фазе. И основное направление борьбы, избранное регулятором, — не взлом криптографии. Это выявление паттернов поведения трафика: характерных признаков, по которым можно вычислить узел и заблокировать его точечно. Иногда «точечно» означает целые подсети или отключение крупных хостеров. Но принцип именно такой: не ломать замок, а научиться узнавать нужную дверь.
Средства блокировок эволюционируют — и вместе с ними эволюционируют средства обхода. DPI умнеет, учится распознавать трафик по поведенческим паттернам, по энтропии, по тайминговым характеристикам. В ответ появляются новые транспорты, новые методы маскировки, новые способы мимикрии под легитимный трафик. Это не гонка, у которой есть финиш — это вечный бег жизни. Темп будет только расти. И тот, кто не сумеет адаптироваться — сойдёт с дистанции.
Если говорить о рынке в целом — я думаю, нас ждёт серьёзное сокращение игроков. Это не значит, что сервисы исчезнут как класс: спрос будет только расти, а значит, будет и предложение. Но стабильность крупных коммерческих сервисов, скорее всего, станет заметно хуже — и я бы не советовал заключать долгосрочные контракты ни с кем на этом рынке. Слишком много прецедентов, когда сервис исчезал за один день вместе с оплаченными подписками своих пользователей.
Из того, что активно обсуждается в сообществе: возможно появление чего-то вроде «государственного VPN» — для доступа к сервисам, которые де-факто не запрещены, но не могут нормально работать в условиях текущих ограничений. Более прагматичным мне кажется другой сценарий: серия сделок между крупными игроками и государством, в обмен на сотрудничество. Полуофициальные договорённости в серой зоне, назначение «уполномоченных операторов».
В любом случае, общий вектор здесь совпадает с тем, что мы уже видели в телекоме, банкинге и медиа: укрупнение, вытеснение мелких игроков и установление государственного контроля над несколькими крупными. Типовая история. Финал предсказуем.
Подписывайтесь на мой канал в телеграм: мои статьи появится там на пару дней раньше, чем на Хабре.
Продолжение: Записки выжившего лемминго — Часть 3. Вызов времени
