- Сообщения
- 50
- Реакции
- 45
Есть два типа людей. Одни думают что провайдер видит каждую их переписку и фотку. Другие уверены что HTTPS защищает от всего. Оба неправы
Провайдер не читает твои сообщения в Telegram. Но он знает что ты открыл Telegram, в какое время, сколько трафика ушло и на какой IP. И этого хватает
Разберём без мифов — что реально видит провайдер, что хранит, и что от этого защищает а что нет
Что видно без шифрования
Если сайт работает по HTTP (без S) — провайдер видит всё. URL целиком, содержимое страниц, формы, cookies. В 2026 таких сайтов почти не осталось, но они есть — внутренние панели, старые форумы, IoT-устройства
Нешифрованный DNS — аналогично. Ты набираешь адрес в браузере, он спрашивает у DNS-сервера провайдера "какой IP у rutor-forum24.cc?". Этот запрос идёт открытым текстом. Провайдер видит каждый домен который ты запрашивал, когда и сколько раз
Это не теория — это основа для блокировок. РКН блокирует по DNS и по IP
Что видно при HTTPS
HTTPS шифрует содержимое — провайдер не видит что ты пишешь, какие страницы открываешь, что скачиваешь. Но видит метаданные:
- IP-адрес сервера — к кому ты подключился
- SNI (Server Name Indication) — имя сайта открытым текстом в TLS-хендшейке. Ты заходишь на example.com — провайдер видит "example.com" ещё до установки шифрованного соединения
- Объём трафика — сколько данных скачал/отправил
- Время — когда подключился, сколько был на сайте
- DNS-запросы — если используешь DNS провайдера
То есть провайдер не знает ЧТО ты написал на форуме. Но знает что ты был на этом форуме, в 23:47, сидел 12 минут, скачал 3 МБ данных
SNI — основная утечка. Encrypted Client Hello (ECH) должен это закрыть, но на март 2026 он всё ещё не развёрнут массово. Cloudflare поддерживает, но далеко не все сайты
СОРМ — что это и как работает
СОРМ — Система Оперативно-Розыскных Мероприятий. В России три поколения:
СОРМ-1 — перехват телефонных звонков. Работает с 90-х
СОРМ-2 — перехват интернет-трафика. IP-адреса, email, данные сессий
СОРМ-3 — агрегация всего. Собирает статистику со всех систем провайдера: биллинг, RADIUS, NAT-трансляции, DPI. Метаданные всех абонентов в одном месте
По закону (374-ФЗ) провайдер обязан хранить метаданные 30 суток, а содержимое трафика — 6 месяцев. На практике содержимое хранят меньше (дорого), но метаданные — надёжно
СОРМ-оборудование стоит у каждого лицензированного провайдера. Без него лицензию не дадут — на 2026 год это жёсткое требование ФСБ. Оборудование ставит провайдер за свой счёт, доступ к данным — у ФСБ, без уведомления оператора
Что попадает в СОРМ-3: кто, когда, куда подключался, с какого устройства, через какой NAT, сколько трафика. Профиль абонента целиком
ТСПУ — блокировки на стероидах
ТСПУ — Технические Средства Противодействия Угрозам. Железо Роскомнадзора, установленное на сетях провайдеров. По сути государственный DPI
Через ТСПУ идут все блокировки. Система анализирует трафик и определяет:
- Тип протокола (OpenVPN, WireGuard, Shadowsocks, VLESS, L2TP, SOCKS5)
- IP-адреса назначения (сверяет с реестром)
- Паттерны трафика — даже если протокол зашифрован, по характеру пакетов можно определить что это VPN
К февралю 2026 года Роскомнадзор через ТСПУ заблокировал 469 VPN-сервисов. С декабря 2025 начали резать VLESS — протокол который долго считался необнаруживаемым, но ТСПУ научились определять его по косвенным признакам
РКН планирует AI-систему за 2.3 млрд рублей для автоматической блокировки VPN-трафика. Тренд понятен — будет хуже
DPI — глубокий анализ пакетов
Deep Packet Inspection смотрит не только заголовки, но и содержимое пакетов. На практике это работает так:
Нешифрованный трафик — DPI видит всё. HTTP, DNS, FTP — открытая книга
Шифрованный трафик — DPI не видит содержимое, но анализирует:
- Размер пакетов и их распределение
- Тайминг между пакетами
- TLS-хендшейк (версия, cipher suites, расширения)
- Характерные паттерны конкретных протоколов
OpenVPN через DPI определяется за секунду — у него узнаваемый хендшейк. WireGuard — тоже, хотя чуть сложнее. Даже обфусцированные протоколы оставляют статистические отпечатки — размеры пакетов, интервалы, энтропия данных
DPI от Rohde & Schwarz (R&S PACE 2) — один из лидеров. Умеет определять Tor даже через obfs4-мосты. Не 100% точности, но достаточно для флагирования
VPN — что спасает а что нет
VPN шифрует трафик между тобой и VPN-сервером. Провайдер видит:
- Что ты подключён к VPN-серверу (IP)
- Объём переданных данных
- Время подключения
Провайдер НЕ видит:
- Какие сайты ты посещаешь
- Что ты качаешь
- DNS-запросы (если VPN не течёт)
Но. VPN переносит доверие, а не убирает его. Вместо провайдера твой трафик видит VPN-провайдер. Если он ведёт логи — разница нулевая. Особенно если сервер в юрисдикции где по запросу выдают данные
Второй момент — утечки. WebRTC может выдать реальный IP. DNS-запросы могут пойти мимо VPN (DNS leak). IPv6 может обойти туннель. Kill switch отваливается — трафик пошёл напрямую. Каждая из этих утечек видна провайдеру
Третий — ТСПУ определяет сам факт использования VPN. Даже если не знает что внутри — факт записан. В текущих реалиях это может быть достаточно
Tor — лучше но не идеально
Tor шифрует в три слоя. Провайдер видит только подключение к входной ноде. Не знает куда ты идёшь дальше и что делаешь
Проблемы:
- Сам факт подключения к Tor видим. Guard-ноды публичные, их IP известны
- Мосты (bridges) помогают, но DPI уровня ТСПУ обнаруживает обфусцированный Tor-трафик
- Скорость страдает — три ноды через разные страны
- Exit-нода видит трафик если он не HTTPS
obfs4-мосты затрудняют определение, но не делают его невозможным. Snowflake и WebTunnel — новее и пока обнаруживаются хуже, но и тут вопрос времени
DNS — тихая утечка
Стандартный DNS работает по UDP порт 53 без шифрования. Каждый запрос — открытым текстом. Даже если сайт на HTTPS, провайдер видит что ты его запрашивал через DNS
Решения:
- DNS-over-HTTPS (DoH) — DNS-запросы идут через HTTPS, неотличимы от обычного веб-трафика. Поддерживается Firefox, Chrome, Brave
- DNS-over-TLS (DoT) — шифрованный DNS на порту 853. Работает, но провайдер видит что ты используешь DoT (отдельный порт)
DoH предпочтительнее — он маскируется под обычный HTTPS-трафик. Но если используешь VPN — DNS и так идёт через туннель (если нет утечки)
Что реально защищает
От провайдера:
- HTTPS — скрывает содержимое, но не метаданные
- VPN — скрывает всё кроме факта подключения к VPN
- Tor — скрывает всё кроме факта подключения к Tor
- DoH — скрывает DNS-запросы
От СОРМ/ТСПУ:
- Обфусцированные протоколы (VLESS + XTLS-Reality, Cloak) — затрудняют определение, но не гарантируют
- Tor через мосты — аналогично
- Свой сервер за границей с кастомной обфускацией — лучший вариант, но требует знаний
Что НЕ защищает:
- Режим инкогнито — провайдер видит всё как обычно
- Прокси без шифрования — SOCKS5/HTTP прокси не шифруют трафик по умолчанию
- Бесплатные VPN — половина ведёт логи, четверть продаёт трафик
Общий принцип — провайдер всегда видит ФАКТ подключения к чему-то. Полная невидимость невозможна. Цель — сделать так чтобы факт подключения нельзя было связать с конкретным действием
Вопросы по теме кидайте в ветку, разберём
Провайдер не читает твои сообщения в Telegram. Но он знает что ты открыл Telegram, в какое время, сколько трафика ушло и на какой IP. И этого хватает
Разберём без мифов — что реально видит провайдер, что хранит, и что от этого защищает а что нет
Что видно без шифрования
Если сайт работает по HTTP (без S) — провайдер видит всё. URL целиком, содержимое страниц, формы, cookies. В 2026 таких сайтов почти не осталось, но они есть — внутренние панели, старые форумы, IoT-устройства
Нешифрованный DNS — аналогично. Ты набираешь адрес в браузере, он спрашивает у DNS-сервера провайдера "какой IP у rutor-forum24.cc?". Этот запрос идёт открытым текстом. Провайдер видит каждый домен который ты запрашивал, когда и сколько раз
Это не теория — это основа для блокировок. РКН блокирует по DNS и по IP
Что видно при HTTPS
HTTPS шифрует содержимое — провайдер не видит что ты пишешь, какие страницы открываешь, что скачиваешь. Но видит метаданные:
- IP-адрес сервера — к кому ты подключился
- SNI (Server Name Indication) — имя сайта открытым текстом в TLS-хендшейке. Ты заходишь на example.com — провайдер видит "example.com" ещё до установки шифрованного соединения
- Объём трафика — сколько данных скачал/отправил
- Время — когда подключился, сколько был на сайте
- DNS-запросы — если используешь DNS провайдера
То есть провайдер не знает ЧТО ты написал на форуме. Но знает что ты был на этом форуме, в 23:47, сидел 12 минут, скачал 3 МБ данных
SNI — основная утечка. Encrypted Client Hello (ECH) должен это закрыть, но на март 2026 он всё ещё не развёрнут массово. Cloudflare поддерживает, но далеко не все сайты
СОРМ — что это и как работает
СОРМ — Система Оперативно-Розыскных Мероприятий. В России три поколения:
СОРМ-1 — перехват телефонных звонков. Работает с 90-х
СОРМ-2 — перехват интернет-трафика. IP-адреса, email, данные сессий
СОРМ-3 — агрегация всего. Собирает статистику со всех систем провайдера: биллинг, RADIUS, NAT-трансляции, DPI. Метаданные всех абонентов в одном месте
По закону (374-ФЗ) провайдер обязан хранить метаданные 30 суток, а содержимое трафика — 6 месяцев. На практике содержимое хранят меньше (дорого), но метаданные — надёжно
СОРМ-оборудование стоит у каждого лицензированного провайдера. Без него лицензию не дадут — на 2026 год это жёсткое требование ФСБ. Оборудование ставит провайдер за свой счёт, доступ к данным — у ФСБ, без уведомления оператора
Что попадает в СОРМ-3: кто, когда, куда подключался, с какого устройства, через какой NAT, сколько трафика. Профиль абонента целиком
ТСПУ — блокировки на стероидах
ТСПУ — Технические Средства Противодействия Угрозам. Железо Роскомнадзора, установленное на сетях провайдеров. По сути государственный DPI
Через ТСПУ идут все блокировки. Система анализирует трафик и определяет:
- Тип протокола (OpenVPN, WireGuard, Shadowsocks, VLESS, L2TP, SOCKS5)
- IP-адреса назначения (сверяет с реестром)
- Паттерны трафика — даже если протокол зашифрован, по характеру пакетов можно определить что это VPN
К февралю 2026 года Роскомнадзор через ТСПУ заблокировал 469 VPN-сервисов. С декабря 2025 начали резать VLESS — протокол который долго считался необнаруживаемым, но ТСПУ научились определять его по косвенным признакам
РКН планирует AI-систему за 2.3 млрд рублей для автоматической блокировки VPN-трафика. Тренд понятен — будет хуже
DPI — глубокий анализ пакетов
Deep Packet Inspection смотрит не только заголовки, но и содержимое пакетов. На практике это работает так:
Нешифрованный трафик — DPI видит всё. HTTP, DNS, FTP — открытая книга
Шифрованный трафик — DPI не видит содержимое, но анализирует:
- Размер пакетов и их распределение
- Тайминг между пакетами
- TLS-хендшейк (версия, cipher suites, расширения)
- Характерные паттерны конкретных протоколов
OpenVPN через DPI определяется за секунду — у него узнаваемый хендшейк. WireGuard — тоже, хотя чуть сложнее. Даже обфусцированные протоколы оставляют статистические отпечатки — размеры пакетов, интервалы, энтропия данных
DPI от Rohde & Schwarz (R&S PACE 2) — один из лидеров. Умеет определять Tor даже через obfs4-мосты. Не 100% точности, но достаточно для флагирования
VPN — что спасает а что нет
VPN шифрует трафик между тобой и VPN-сервером. Провайдер видит:
- Что ты подключён к VPN-серверу (IP)
- Объём переданных данных
- Время подключения
Провайдер НЕ видит:
- Какие сайты ты посещаешь
- Что ты качаешь
- DNS-запросы (если VPN не течёт)
Но. VPN переносит доверие, а не убирает его. Вместо провайдера твой трафик видит VPN-провайдер. Если он ведёт логи — разница нулевая. Особенно если сервер в юрисдикции где по запросу выдают данные
Второй момент — утечки. WebRTC может выдать реальный IP. DNS-запросы могут пойти мимо VPN (DNS leak). IPv6 может обойти туннель. Kill switch отваливается — трафик пошёл напрямую. Каждая из этих утечек видна провайдеру
Третий — ТСПУ определяет сам факт использования VPN. Даже если не знает что внутри — факт записан. В текущих реалиях это может быть достаточно
Tor — лучше но не идеально
Tor шифрует в три слоя. Провайдер видит только подключение к входной ноде. Не знает куда ты идёшь дальше и что делаешь
Проблемы:
- Сам факт подключения к Tor видим. Guard-ноды публичные, их IP известны
- Мосты (bridges) помогают, но DPI уровня ТСПУ обнаруживает обфусцированный Tor-трафик
- Скорость страдает — три ноды через разные страны
- Exit-нода видит трафик если он не HTTPS
obfs4-мосты затрудняют определение, но не делают его невозможным. Snowflake и WebTunnel — новее и пока обнаруживаются хуже, но и тут вопрос времени
DNS — тихая утечка
Стандартный DNS работает по UDP порт 53 без шифрования. Каждый запрос — открытым текстом. Даже если сайт на HTTPS, провайдер видит что ты его запрашивал через DNS
Решения:
- DNS-over-HTTPS (DoH) — DNS-запросы идут через HTTPS, неотличимы от обычного веб-трафика. Поддерживается Firefox, Chrome, Brave
- DNS-over-TLS (DoT) — шифрованный DNS на порту 853. Работает, но провайдер видит что ты используешь DoT (отдельный порт)
DoH предпочтительнее — он маскируется под обычный HTTPS-трафик. Но если используешь VPN — DNS и так идёт через туннель (если нет утечки)
Что реально защищает
От провайдера:
- HTTPS — скрывает содержимое, но не метаданные
- VPN — скрывает всё кроме факта подключения к VPN
- Tor — скрывает всё кроме факта подключения к Tor
- DoH — скрывает DNS-запросы
От СОРМ/ТСПУ:
- Обфусцированные протоколы (VLESS + XTLS-Reality, Cloak) — затрудняют определение, но не гарантируют
- Tor через мосты — аналогично
- Свой сервер за границей с кастомной обфускацией — лучший вариант, но требует знаний
Что НЕ защищает:
- Режим инкогнито — провайдер видит всё как обычно
- Прокси без шифрования — SOCKS5/HTTP прокси не шифруют трафик по умолчанию
- Бесплатные VPN — половина ведёт логи, четверть продаёт трафик
Общий принцип — провайдер всегда видит ФАКТ подключения к чему-то. Полная невидимость невозможна. Цель — сделать так чтобы факт подключения нельзя было связать с конкретным действием
Вопросы по теме кидайте в ветку, разберём
