Как DPI вычисляет MTProto-прокси: технический разбор детекции протоколов по сигнатурам

Вот важная новость с фронта ИИ: nlaik 1 минуту назад Как DPI вычисляет MTProto-прокси: технический разбор детекции протоколов по сигнатурам Средний 9 мин 0 Информационная безопасность * Сетевые технологии * Аналитика Fake-TLS перестал спасать — разбираю, что технически означает «анализ сигнатур протокола», почему статистика трафика выдаёт прокси и где предел этой гонкиВ конце мая 2026 рунет накрыло волной сообщений о массовых отказах MTProto-прокси. Сервисы, через которые пользователи обходили замедление Telegram, перестали работать почти у всех операторов одновременно. «Код Дурова» зафиксировал, по их формулировке, беспрецедентное количество жалоб.

Технические каналы запестрели заголовками в духе «РКН прокачал блокировки, обойти невозможно». Я хочу разобрать это не как новость, а с инженерной стороны: что технически стоит за фразой «DPI научился анализировать сигнатуры протокола», почему механизм Fake-TLS, который работал годами, внезапно перестал спасать, и какие фундаментальные свойства трафика выдают прокси, даже когда полезная нагрузка зашифрована. Это разбор теории обнаружения протоколов — области на стыке сетевого анализа, статистики и DPI.

Технические детали

Это не инструкция по обходу блокировок: конкретных рецептов «как сделать так, чтобы у вас работало» здесь не будет, для этого есть профильные ресурсы. Цель — понять, как технически устроена детекция, потому что это интересная инженерная задача сама по себе, и понимание механики полезно любому, кто работает с сетями. Краткая вводная: что такое MTProto и Fake-TLSЧтобы разговор был предметным, нужна база.

MTProto — собственный транспортный протокол Telegram. Он создавался не только для шифрования, но и для работы в условиях фильтрации трафика. Внутри Telegram есть встроенный механизм прокси — MTProxy, который работает прямо в клиенте, без дополнительного софта.

Ключевая фишка MTProxy последних лет — Fake-TLS (он же FakeTLS, padded TLS). Идея в том, чтобы замаскировать соединение под обычный HTTPS. Когда вы открываете любой сайт по HTTPS, между клиентом и сервером происходит TLS handshake — обмен сообщениями ClientHello, ServerHello, обмен ключами.

Отраслевые последствия

Fake-TLS оборачивает MTProto-трафик так, чтобы начало соединения выглядело как легитимный TLS 1. 3 handshake к какому-нибудь нормальному домену. Для DPI, который смотрит только на начало соединения, это выглядело как обычный визит на сайт.

Поэтому годами Fake-TLS MTProxy спокойно проходил через фильтры — система не могла отличить его от рядового веб-серфинга, не ломая попутно весь HTTPS. До определённого момента. Этап 1: детекция по TLS handshake (что было раньше)Первый уровень детекции, который применялся в начале 2026 года — анализ самого TLS handshake.

И тут есть тонкость, которую важно понять. Fake-TLS имитирует TLS, но имитирует не идеально.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.