Когда сайт открывается у одного провайдера и молчит у другого, проблема не всегда сидит в браузере, DNS или домашнем роутере. В российской сети между абонентом и внешним интернетом работает отдельный слой фильтрации, ТСПУ. Через такие комплексы операторы пропускают трафик, а регулятор получает техническую возможность блокировать, сбрасывать или замедлять отдельные соединения.
Простое объяснение звучит так: ТСПУ, или технические средства противодействия угрозам, представляют собой оборудование фильтрации трафика в сетях операторов связи. Комплексы анализируют соединения, сверяют поток данных с правилами Роскомнадзора и применяют выбранное действие. Пользователь может увидеть ошибку доступа, зависший сайт, оборванное соединение или резкое падение скорости.
Правовую основу для установки ТСПУ дала реформа, которую обычно называют законом о суверенном интернете. Поправки обязали операторов связи обеспечивать установку технических средств противодействия угрозам в своих сетях. Действующий профильный приказ Роскомнадзора № 25 от 19 февраля 2024 года описывает технические условия установки ТСПУ и требования к сетям связи при использовании таких комплексов.
Материал объясняет архитектуру ТСПУ и методы фильтрации трафика в ознакомительных целях. Текст не является инструкцией по обходу ограничений, вмешательству в работу сетей связи или нарушению законодательства РФ.
Где стоит ТСПУ и кто управляет фильтрацией
ТСПУ размещают внутри инфраструктуры провайдеров: на узлах фиксированного доступа, мобильных сетей, трансграничных каналов и точках обмена трафиком. Оператор предоставляет площадку, питание, подключение к своим линиям и техническое взаимодействие. Логика фильтрации приходит не из обычной панели управления провайдера, а из централизованного контура Роскомнадзора через Центр мониторинга и управления сетью связи общего пользования, сокращённо ЦМУ ССОП.
Старая модель блокировок выглядела проще. Провайдер получал выгрузку из реестра запрещённых ресурсов и сам решал, как закрывать доступ: через IP-адреса, DNS, HTTP-заглушки или собственные DPI-системы. Из-за разных настроек пользователи видели разную картину. У одного оператора сайт не открывался, у второго работал частично, у третьего вместе с нужным адресом ломался соседний сервис на том же облачном хостинге.
ТСПУ меняет центр тяжести. Оборудование физически стоит у операторов, но правила применяются через единый управляющий контур. Исследователи ACM IMC 2022 описывали такую модель как распределённую систему сетевого вмешательства: комплексы находятся в разных сетях, а координация идёт централизованно. Статья TSPU: Russia’s Decentralized Censorship System отдельно разбирает, как встроенное в сети провайдеров оборудование влияет на пользовательский трафик внутри страны.
В 2023 году глава Роскомнадзора Андрей Липов заявил, что узлы мобильной связи, широкополосного доступа и трансграничной связи в России закрыты ТСПУ на 100%. Такую формулировку стоит воспринимать как официальную оценку регулятора: публичной карты установки комплексов нет, а независимая проверка полноты покрытия невозможна без доступа к инфраструктуре операторов.
Как ТСПУ анализирует трафик и чем DPI отличается от обычной блокировки
Обычная блокировка по IP напоминает охранника у двери: адрес есть в списке, проход закрыт. Метод быстрый, но грубый. На одном IP-адресе часто живут десятки сайтов, API, CDN-узлы, игровые серверы и служебные домены. Одно неудачное правило может задеть не только целевой ресурс, но и соседние сервисы, которые просто оказались рядом в облачной инфраструктуре.
DPI, или глубокий анализ пакетов, работает тоньше. Система смотрит на признаки сетевого потока: IP-адрес, порт, доменное имя там, где домен виден, параметры TLS-рукопожатия, размер пакетов, частоту обмена, характер установления соединения и поведение протокола. Содержимое HTTPS-страницы, пароль или текст сообщения при нормальном шифровании остаются закрытыми, но технических метаданных часто хватает, чтобы распознать сервис или тип приложения.
ТСПУ не нужен текст страницы, чтобы повлиять на подключение к сайту. Достаточно определить, что соединение похоже на поток к нужному домену, протоколу или платформе. Например, без ECH в TLS часто виден SNI, то есть имя сервера, к которому подключается клиент. При использовании QUIC и HTTP/3 часть веб-трафика уходит поверх UDP, а привычные признаки соединения меняются. Поэтому фильтрация постоянно догоняет изменения в браузерах, приложениях и сетевых протоколах.
| Метод | Что проверяет система | Почему возникают ошибки |
|---|---|---|
| IP-блокировка | Адрес сервера назначения | Один IP может обслуживать много сайтов, CDN и облачных сервисов |
| DNS-фильтрация | Запрос доменного имени | Результат зависит от резолвера, настроек сети и способа обращения к DNS |
| HTTP-фильтрация | Открытые заголовки и URL в незашифрованном трафике | HTTPS закрыл большую часть полезной для фильтра информации |
| DPI | Признаки протокола, TLS-рукопожатие, SNI, поведение потока | Правила требуют точной настройки и дают побочные срабатывания |
| Замедление | Потоки, похожие на нужный сервис или тип трафика | Пользователь видит нестабильность вместо понятной страницы блокировки |
Самая неприятная часть DPI-фильтрации для пользователя и инженера поддержки заключается в неопределённости симптомов. Блокировка не всегда показывает аккуратную заглушку. Соединение может сбрасываться, TLS-сессия может не установиться, загрузка может висеть без явной ошибки, а приложение способно бесконечно показывать статус подключения. На бытовом уровне такая поломка легко маскируется под плохой Wi-Fi, перегруженный сервер или кривое обновление приложения.
Что происходит с соединением при срабатывании ТСПУ
Обычное соединение проходит через несколько сетевых участков. Устройство отправляет запрос в сеть провайдера, дальше пакеты идут через маршрутизаторы, магистральные каналы, точки обмена трафиком и внешние сети. Если поток проходит через узел с ТСПУ, комплекс сравнивает соединение с правилами фильтрации и быстро применяет решение. Долго держать пакеты в очереди нельзя: задержку сразу заметят видеозвонки, игры, стриминг, банковские приложения и корпоративные сервисы.
- Пользователь открывает сайт, мессенджер, игру или мобильное приложение.
- Трафик попадает в сеть оператора связи.
- Поток проходит через узел, где установлено ТСПУ.
- Комплекс сравнивает соединение с правилами фильтрации.
- Трафик пропускается, блокируется, сбрасывается или замедляется.
При полном отказе пакеты перестают проходить, а браузер после паузы показывает ошибку. При сбросе соединения одна из сторон получает TCP RST, после чего сессия закрывается. При замедлении поток остаётся доступным, но скорость падает настолько, что сервис становится неудобным или почти непригодным. При выборочной фильтрации ломается только отдельный домен, API, протокол или тип соединения, а соседний трафик продолжает работать.
Замедление особенно сложно диагностировать. Запрет заметен сразу: сайт не открывается, причина хотя бы приблизительно понятна. Деградация похожа на перегрузку сети, слабый сигнал, плохой маршрут, проблемы CDN или аварию на стороне сервиса. Инженер видит потери, плавающую задержку, разную картину по регионам и операторам, но не всегда может быстро доказать, где именно сработало внешнее правило.
Почему ТСПУ не делает интернет полностью управляемым
ТСПУ даёт регулятору сильный инструмент контроля, но интернет плохо подчиняется статичным правилам фильтрации. Современный сервис редко живёт на одном сервере и одном домене. Вход на сайт, авторизация, загрузка картинок, видео, push-уведомления, платежи и обновления приложения могут идти через разные домены, CDN и облачные площадки. Блокировка одного элемента цепочки иногда ломает весь сервис, хотя главная страница формально остаётся доступной.
CDN добавляет отдельную головную боль. Один адрес может обслуживать несвязанные сайты, а один сервис может постоянно менять набор адресов. Мобильные операторы и фиксированные провайдеры ведут трафик разными маршрутами, поэтому в Москве, Казани и Владивостоке пользователь получает разный результат. Даже внутри одного города мобильная сеть и домашний интернет могут вести себя по-разному.
Шифрование уменьшает объём видимых данных. HTTPS закрывает содержимое страниц, TLS 1.3 и ECH прячут часть технических признаков, а QUIC меняет привычную для фильтров картину веб-трафика. Для ТСПУ такие технологии не становятся непреодолимой стеной, но правила усложняются, а ложные срабатывания становятся вероятнее. Чем грубее классификация, тем выше шанс задеть звонки, игры, облачные панели, банковские приложения или обновления софта.
Есть и чисто аппаратный предел. Трафик растёт за счёт видео, резервного копирования, обновлений ОС, маркетплейсов, облачных документов и мобильных приложений. Комплекс в линии должен обрабатывать огромный поток без заметной задержки. Если правил много, а пропускная способность отстаёт от нагрузки, фильтр сам превращается в узкое место. Поэтому разговор о ТСПУ всегда упирается не только в политику блокировок, но и в инженерную цену контроля.
Чем ТСПУ отличается от СОРМ и что важно запомнить
ТСПУ часто смешивают с СОРМ, хотя назначение у систем разное. СОРМ связана с оперативно-разыскными мероприятиями и доступом уполномоченных органов к сведениям в рамках предусмотренных законом процедур. ТСПУ отвечает за сетевое управление, фильтрацию и противодействие угрозам устойчивости, безопасности и целостности российского сегмента интернета.
Разница важна для точного разговора о технологиях. ТСПУ не равно чтению переписки. При корректном end-to-end шифровании содержание сообщений остаётся защищённым от сетевого фильтра. Но ТСПУ может влиять на сам факт соединения: пропустить поток, оборвать подключение, ухудшить скорость или применить правило к определённому типу трафика.
Для бизнеса такой разбор имеет практический смысл. Если корпоративный сервис внезапно стал нестабильно работать из России, команда должна проверять не только свои серверы, DNS и CDN, но и различия между операторами, регионами, мобильными и фиксированными сетями. Важны TCP-сбросы, TLS-ошибки, падение скорости на конкретных протоколах, разная работа одного сервиса через разные каналы связи. Хорошая диагностика помогает отделить собственную аварию от внешнего сетевого вмешательства.
ТСПУ не является одним большим выключателем интернета. Система состоит из множества комплексов, установленных в сетях операторов связи. Оборудование применяет правила к реальному трафику, а централизованный контур управления задаёт политику фильтрации. Поэтому доступ к сервису может зависеть от провайдера, региона, протокола, домена, CDN и версии приложения.
Короткие ответы на частые вопросы о ТСПУ
ТСПУ читает переписку? При нормальном end-to-end шифровании содержание сообщений недоступно сетевому фильтру. Но система может видеть технические признаки соединения: адреса, порты, часть метаданных, параметры рукопожатия и поведение потока.
ТСПУ и DPI одно и то же? Нет. DPI является технологией глубокого анализа пакетов, а ТСПУ представляет собой программно-аппаратный комплекс, где DPI может использоваться как один из инструментов фильтрации.
Кто устанавливает ТСПУ? Оборудование размещают в сетях операторов связи по требованиям законодательства и технических условий. Провайдер обеспечивает подключение к своей инфраструктуре, а правила фильтрации приходят из централизованного контура управления.
Почему из-за блокировки могут ломаться другие сайты? Многие сервисы используют общие IP-адреса, CDN, облачные балансировщики и сложные цепочки доменов. Грубое правило может задеть соседний трафик, который технически проходит рядом с целевым сервисом.
Почему у разных провайдеров результат отличается? Маршруты, точки подключения, мобильные ядра, магистральные каналы и локальные настройки сетей отличаются. Поэтому один и тот же сайт может работать у одного оператора и зависать у другого.
Можно ли точно понять, что виновато ТСПУ? Без доступа к инфраструктуре оператора стопроцентный вывод сделать сложно. Но сравнение операторов, регионов, типов подключения, DNS, маршрутов, TLS-ошибок и времени сбоя помогает увидеть признаки сетевой фильтрации.
ТСПУ добавляет в российский интернет отдельный слой сетевого контроля. Поэтому одна и та же проблема может выглядеть по-разному у разных операторов: где-то сервис открывается, где-то висит на подключении, где-то теряет скорость. Для диагностики важны не догадки, а сравнение провайдеров, регионов, типов подключения, DNS, маршрутов и времени сбоя.
