ТСПУ как система: что можно утверждать, а что пока остаётся реконструкцией
Я изучал тему ТСПУ по открытым источникам и в какой‑то момент понял, что главная проблема обсуждения здесь — смешение разных уровней знания. Подтверждённые факты, правдоподобные инженерные выводы и чистые гипотезы часто складывают в одну корзину.
Чтобы не скатываться в источники «одна баба сказала» мифологию, полезно развести эти уровни отдельно.
Подтверждённый слой
На основании открытых данных можно считать достаточно подтверждённым следующее:
ТСПУ распределены по сетям операторов и управляются централизованно.
система использует комбинацию механизмов: DPI, DNS и более грубые сетевые методы.
ТСПУ хранит контекст и может реализовывать не только статические блокировки, но и временные ограничения.
в системе существует разрешительная/запретительная политика (Белые/черные списки).
ТСПУ имеет ресурсные пределы; кроме того и режим bypass (Пропускаем весь трафик).
РКН планирует существенно увеличивать мощность и бюджет этой инфраструктуры.
Вероятный слой
Следующий уровень — это уже не прямое подтверждение, а реконструкция, которая хорошо ложится на наблюдаемую логику таких систем:
скорее всего, внутри реализован многоступенчатый pipeline обработки и принятия решений;
белые списки, скорее всего, работает как fast‑path (дешевое, с точки средния ресурсов решение) для удешевления обработки части трафика;
часть решений может приниматься по совокупности признаков, а не по одному сигнатурному совпадению, возможно накопительная система, как в антифроде;
под высокой нагрузкой система, вероятно, переходит к более дешёвым сценариям анализа и воздействия;
Telegram и сопоставимый трафик можно предположительно отнести к дорогому классу нагрузки для DPI, так как. MTProxy маскируются под https и требуют более глубокого L7 анализа, тоже похоже относится и к VLESS.
Гипотетический слой
Пока нет оснований уверенно утверждать:
как именно устроен механизм применения правил;
используются ли ML/AI‑компоненты, или всё построено на правилах и эвристиках;
как именно система управляет таблицей состояний соединений — как очищает её, какие записи вытесняет при нехватке ресурсов и по каким правилам хранит информацию о текущих и недавних сетевых сессиях;
где именно находятся пороговые значения для включения bypass;
насколько отличается глубина L7-разбора между разными типами трафика.
Мой промежуточный вывод такой: ТСПУ разумно анализировать не как отдельное устройство, а как распределённую систему с централизованным управлением, ограничениями по вычислительным ресурсам и, вероятно, несколькими режимами деградации.
Если к теме будет интерес, я могу подготовить аналитическую статью: архитектура, стоимость анализа и пределы блокировок. Готов коллаборациям с другими исследователями.
Об авторе:
Я занимаюсь информационной безопасностью, основной профиль — практическое тестирование на проникновение (pentest), расследование инцидентов и анализ защищённости инфраструктур. В том числе работаю с инцидентами, связанными с хищением криптоактивов и разбором сложных кейсов, требующих технического и аналитического подхода.
