Интернет часто представляют как сеть без границ, но в реальности магистральные каналы, точки обмена трафиком и корневые маршрутизаторы подчиняются законам конкретных стран. Когда государство решает ограничить доступ к ресурсам, оно использует то, что инженеры называют «контроль плоскости данных»: наблюдение и вмешательство в прохождение пакетов на пограничных узлах и у операторов связи.
Наиболее известные примеры — Китай и Иран. Первый десятилетиями развивал многоуровневую систему «Великого фаервола», второй строил национальную сеть с опорой на внутренние сервисы и централизованное управление. Разобраться в том, как это устроено технически, можно без сложной математики: достаточно понимать, где в пути пакета стоят «посты», что они умеют видеть и какие решения принимают.
Архитектура контроля
Общая схема маршрутизации
Маршрут любого запроса в Сеть похож на поездку через череду перекрёстков. Домашний роутер передаёт пакет провайдеру, дальше — в региональный и магистральный сегменты, затем на зарубежные линии и к дата-центру сервиса.
Национальная цензура добавляет «кордоны» на границе страны и внутри операторских сетей: зеркальные порты для анализа, активные устройства для фильтрации, серверы подмены ответов и системы, выдающие команды блокировки.
Ключевые технические компоненты
Ключевые инженерные элементы здесь — маршрутизаторы уровня ядра, DPI-комплексы (глубокий анализ пакетов), прокси-шлюзы, инжекторы TCP-сегментов и управляющая платформа, которая рассылает правила по тысячам устройств.
В результате пакеты можно остановить по адресам, по именам доменов, по содержимому заголовков шифрованного соединения и даже по статистическому «почерку» протокола.
Основные механизмы фильтрации
Адресная фильтрация
Самые понятные механизмы начинаются с адресной фильтрации. Если список запрещённых сервисов невелик, достаточно заблокировать их IP-адреса на пограничных маршрутизаторах или в BGP-анонсах.
На практике этого никогда не хватает: крупные платформы распределяют трафик через CDNs, перемещая IP-пулы, и одна адресная блокировка легко заденет сотни чужих сайтов на общем облаке.
DNS-подмена
Поэтому поверх IP-фильтров запускают контроль по доменному имени. Когда браузер пытается узнать IP через DNS, специальные узлы вместо честного ответа отправляют поддельный — так работает внедрение фальшивых DNS-сообщений на лету.
Запрос даже не доходит до реального резолвера, потому что инжектор быстрее и ближе к пользователю.
SNI-фильтрация
Чуть сложнее выглядит фильтрация по SNI — полю Server Name Indication в рукопожатии TLS, где клиент открытым текстом называет домен. Устройство DPI заглядывает в первое сообщение шифрованного сеанса, сопоставляет имя с чёрным списком и разрывает соединение до того, как начнётся шифрование полезных данных.
TCP-инъекции
Исторически в Китае добавлялась ещё одна техника — инъекция служебных TCP-сегментов. Если DPI распознаёт «неугодный» запрос, в сторону клиента или сервера отправляется поддельный пакет с флагом RST (сброс соединения) и правдоподобным номером последовательности. Оба конца думают, что собеседник сам закрыл канал.
Параллельно используются активные проверки: когда система видит подозрительный IP или обнаруживает сигнатуру анонимайзера, она сама устанавливает к нему соединение с разных адресов и пытается воспроизвести протокол; при подтверждении — адрес попадает в список блокировок. Этот «активный пробинг» помогает ловить мосты и нестандартные прокси, которые внешне похожи на обычный веб-сайт.
Национальные модели
Иранская модель
Иран опирается на иную организационную модель. Здесь значительная часть трафика проходит через национальные точки обмена и централизованные шлюзы, а набор «разрешённых» внутренних сервисов создаёт стимул оставаться в пределах локальной экосистемы.
Во время кризисов применяется «селективное отключение»: международный трафик режется по категориям, иногда по расписанию, иногда — по наборам приложений. Сами механики схожи: фильтры по IP и доменам, инъекции DNS-ответов, DPI-правила для популярных протоколов обхода. Отличие — более частая ставка на «позитивные списки» и ограничение наружу при полном сохранении доступа к государственным и коммерческим платформам внутри страны.
Глубокий анализ пакетов (DPI)
Принципы работы
Глубокий анализ пакетов остаётся сердцем обеих систем. Современный DPI выстраивает не только сигнатурные правила (совпадение с известной последовательностью байтов), но и поведенческие: анализ размеров первых пакетов, временных интервалов, направлений и доли пакетов по сторонам.
Такой статистический профиль часто достаточно устойчив, чтобы без расшифровки отличать, например, обычный HTTPS от туннеля определённого VPN.
Протокольные профили
В Китае и Иране применяются профили для OpenVPN, IPSec, L2TP, PPTP и новых реализаций на базе TLS. При появлении незнакомого почерка он помечается как «подозрительный», и к нему добавляют активный пробинг: устройство само инициирует диалог, пытается спровоцировать уникальные ответы и затем с высокой долей уверенности классифицирует протокол.
Современные технологии и противодействие
TLS 1.3 и ECH
Браузерные технологии тоже учитываются. Переход к TLS 1.3 и включение шифрования большей части рукопожатия осложнили чтение метаданных, но оставили видимым SNI.
Попытки скрыть имя сервера через ECH — шифрование клиентских настроек, включая SNI, — сталкиваются с практическими проблемами: нужна координация между браузером и CDN, обновление стеков, совместимость со старым оборудованием. В среде жёсткой цензуры ECH часто блокируют «на опережение»: если фаервол видит признаки включённого ECH или обнаруживает нестандартную комбинацию расширений TLS, соединение обрывается.
QUIC/HTTP-3
Там же внимательно относятся к QUIC/HTTP-3: трафик на UDP-порт 443 сначала классифицируют, а при всплесках — режут или принудительно заставляют падать на HTTP/2 по TCP, где фильтрация привычнее.
Специфические области контроля
DNS и шифрование
DNS остаётся отдельным полем борьбы. Когда пользователи переходят на шифрованные режимы — DoT (DNS-over-TLS) и DoH (DNS-over-HTTPS), — классическая подмена ответов перестаёт работать.
В ответ применяют более грубые меры: блокируют известные публичные резолверы по IP, фильтруют по SNI домены операторов DoH, занижают скорость или полностью рвут соединения с любыми узлами, где замечена «DNS-активность в HTTPS». Некоторые операторы перехватывают саму функцию резолвера у абонента — например, принудительно перенаправляют порт 53 на свои серверы и не пропускают альтернативные варианты, если те не соответствуют списку разрешённых.
Это опять же приводит к побочным эффектам: от «пропадания» легальных ресурсов до задержек при открытии сайтов.
Мессенджеры и VoIP
Коммуникационные приложения подвергаются целевому анализу. Механизмы мессенджеров и VoIP используют собственные шифрованные протоколы, поэтому контролю поддаются не содержимое, а маркеры: блоки инициализации, длины первых сообщений, частота keep-alive, наборы портов, поведение при ретрансляции.
Как только система находит устойчивые признаки, она вводит точечные правила. Нередко добавляется динамическое «душение» пропускной способности: поток не останавливают, но ограничивают до скоростей, при которых звонки распадаются, а видеопоток становится бесполезным. Такой подход менее заметен для внешнего мониторинга, но эффективно снижает пользу приложения.
Инфраструктурные методы
BGP-манипуляции
Инфраструктурная часть держится на управлении маршрутами. Если нужно быстро изолировать зарубежные сегменты, провайдеры могут изменить BGP-политику: перестать анонсировать часть префиксов или разорвать пэры с определёнными аплинками.
Иногда встречаются селективные «чёрные дыры» для целевых подсетей — трафик уходит в null-интерфейс без объяснений на уровне приложений. Отдельные случаи включают манипуляции с MTU, что ломает протоколы, чувствительные к фрагментации, и выборочную фильтрацию ICMP, из-за чего прекращает работать корректная настройка путей и PMTU-Discovery. Всё это сложно отследить конечному пользователю, но хорошо видно по задержкам и аномалиям в трассировках.
Эволюция технологий
Гонка вооружений
Системы контроля не существуют в вакууме: разработчики средств обхода меняют маскировку, а фаерволы подстраивают классификаторы. На стороне клиентов появляются протоколы, которые «притворяются» обычным веб-сайтом на TLS, подбирают JA3/JA3S-отпечатки под популярные браузеры, имитируют структуру HTTP-заголовков, добавляют наполнение трафика фоновыми запросами, чтобы сгладить статистику.
В ответ усиливается модель «не доверяй редкому»: всё, что отклоняется от норм, попадает под замедление или блокировку, даже если прямых сигнатур нет. Так формируется гонка на уровне метаданных: не содержимое, а форма и ритм обмена становятся объектом противоборства.
Побочные эффекты
Отдельного внимания заслуживают побочные эффекты. Адресная блокировка по CDN затрагивает добросовестные сайты, потому что тысячи доменов делят один IP-пул. Фильтрация по SNI ломает сценарии с многодоменными сертификатами и микросервисами на общем хостинге.
Инъекции DNS-ответов вводят кэш-яд в резолверах промежуточных провайдеров, и потом долго всплывают ложные записи. Принудительное «замедление» разрушает пользовательский опыт даже там, где формально ничего не запрещено: сайт открывается, но медленно, и аудитория отказывается от услуги сама. Исследователи называют это «мягким отказом в обслуживании»: юридически блокировки нет, фактически — доступа тоже.
Управление и мониторинг
Телеметрия
Чтобы системы оставались управляемыми, им нужна телеметрия. На магистралях стоят зеркальные порты и сенсоры, которые собирают статистику по протоколам, доменам, автономным системам, приложениям. Эти данные сравнивают с целевыми показателями: доля международного трафика, время отклика разрешённых сервисов, объёмы UDP по портам 443/500/4500, число «нестандартных» TLS-отпечатков.
Если что-то уходит за рамки, правила ужесточают; если наступает период смягчения, списки обновляют и снимают избыточные запреты. Управление автоматизируют через централизованные контроллеры — по сути, SDN-подход на уровне операторских сетей, где политики пишутся один раз и рассылаются на тысячи устройств разных производителей.
Юридическая интеграция
Юридическая часть дополняет техническую. Законы требуют от операторов хранить журналы соединений, предоставлять интерфейсы для «законного перехвата» и выполнять распоряжения регулятора в короткие сроки.
Это влияет на архитектуру: журнальные системы становятся частью производственного контура, а у DPI появляются режимы «только наблюдать» и «немедленно вмешиваться». В критические периоды включают «белые списки» — наружу разрешают лишь банковские и государственные ресурсы, а всё остальное режут на корне. Технически это выражается в коротких, но частых апдейтах правил и в превентивных запретах на новые или редкие протоколы, даже если у них есть легитимные сценарии.
Сравнительный анализ
Китай и Иран похожи в наборе инструментов, но различаются по масштабу и целям. В первом случае за десятилетия сформировалась экосистема устройств, «знающих» национальные платформы и тонко настроенных под местные приложения.
Во втором — акцент на удержании пользователей в пределах национальной инфраструктуры и на быстрых управляемых переключениях режимов доступа. В обоих случаях ставка на DPI, на анализ метаданных шифрованного трафика, на активный пробинг и на блокировку «по симптомам», когда точных сигнатур нет, но вероятность высока.
Это задаёт общий вектор: чем больше шифрования на уровне приложений, тем внимательнее цензура изучает то, что ещё видно — адреса, имена, отпечатки, форму диалога и скорость обмена.
Принципы работы
Важно понимать, что разговор о таких системах — это не «чёрный ящик» со сверхспособностями. Всё сводится к нескольким понятным операциям: запретить маршрут, подменить ответ, прервать соединение, не дать установить новый канал, обрезать скорость.
Новизна в том, как тонко увязывают эти операции с контекстом: откуда идёт трафик, к чему, когда, насколько он похож на «обычный». И ещё в том, как быстро правила расходятся по сети: минуты и секунды, а не дни. Поэтому спор о границах доступа к информации неминуемо становится спором о допустимых метриках и алгоритмах — где заканчивается разумная защита инфраструктуры и начинается чрезмерное вмешательство в частную жизнь и свободу выражения.
Заключение
Национальные фаерволы — это не мифическая стена, а конструктор из известных сетевых механизмов, подчинённых единому плану. Китай и Иран показывают две стратегии: тотальную глубину контроля и управляемую изоляцию с опорой на внутренние сервисы.
Технически это работает через адресные и именные блокировки, подмену DNS, анализ рукопожатий TLS, фильтрацию QUIC, поведенческие профили и активные проверки, плюс управление маршрутами на уровне BGP.
Чем доступнее становятся шифрование и международные облака, тем сильнее давление смещается к метаданным и статистике, а значит — к риску побочных потерь и «мягких отказов», когда формально ничего не запрещено, но пользоваться невозможно.
Понимание этих принципов полезно всем: инженерам — чтобы строить устойчивые сервисы, пользователям — чтобы объяснить себе неожиданные сбои, политикам — чтобы видеть цену решений, выраженную не лозунгами, а задержками, сбросами и кэш-ядом в реальном трафике.
