NEMO Blog
← Назад к статьям

Как ТСПУ ловит VLESS в 2026 и почему XHTTP — следующий шаг

·
#технологии#VLESS#XHTTP#DPI#TSPU#блокировки

Введение: VLESS Reality больше не панацея

Два года назад VLESS с Reality считался «серебряной пулей» для обхода российских блокировок. Протокол имитировал обычный TLS-трафик, маскируясь под популярные сервисы вроде iCloud, Apple Pay или Steam. Серверы на Hetzner с SNI icloud.com работали месяцами без проблем.

Но с января 2026 года ситуация кардинально изменилась. VLESS+Reality серверы начали массово «падать» — блокироваться ТСПУ (Терминированные Системы Пропускной Способности) в течение дней или даже часов после развёртывания. Что произошло? Как DPI научился обнаруживать VLESS и почему XHTTP становится следующей ступенью эволюции?

В этой статье мы разберём технические методы детекции, используемые ТСПУ, и сравним различные протоколы обхода блокировок.

Как DPI ловит VLESS: четыре ключевых метода

1. JA3-хэш: цифровая подпись TLS-клиента

JA3 — это метод отпечатков TLS-рукопожатий, который создаёт уникальный хэш на основе версии TLS, поддерживаемых шифров, расширений и групп эллиптических кривых. Каждый клиент (Chrome, Firefox, curl, Go-приложение) имеет свой уникальный JA3-хэш.

Проблема VLESS в том, что большинство клиентов реализованы на Go. JA3-хэш Go-клиента хорошо известен и давно внесён в базы детекции DPI. Когда ТСПУ видит поток с этим JA3-хэшом, он с высокой вероятностью классифицирует его как «подозрительный».

Xray-core пытается обойти это через параметр fingerprint: chrome, который заставляет клиент имитировать JA3-хэш браузера Chrome. Но паттерн имитации не всегда совпадает с реальным поведением Chrome — и DPI это замечает.

2. TLS-профайлинг: несоответствия в поведении

Даже если JA3-хэш совпадает, DPI анализирует поведение TLS-сессии на предмет несоответствий:

  • Временные паттерны: Настоящий Chrome устанавливает TLS-соединение определённым образом с характерными задержками между этапами рукопожатия. VLESS-клиенты часто выполняют эти этапы слишком быстро или слишком медленно.
  • Порядок расширений: Chrome всегда отправляет TLS-расширения в одинаковом порядке. Нестандартные TLS-стеки часто меняют этот порядок — и такие аномалии автоматически попадают в базу детекции.
  • Размер пакетов: VLESS-трафик имеет характерные размеры пакетов, отличающиеся от обычного веб-трафика.

3. Активное зондирование: DPI не просто смотрит — он спрашивает

Самый продвинутый метод — активное зондирование. DPI не анализирует только пассивный трафик, он инициирует собственные соединения к подозрительным IP-адресам.

Алгоритм активного зондирования:

  1. DPI обнаруживает подозрительный поток (по JA3-хэшу или TLS-паттернам)
  2. DPI инициирует собственное TLS-соединение к IP-адресу сервера
  3. DPI получает TLS-сертификат сервера
  4. DPI сравнивает SNI из запроса с сертификатом и ASN (Autonomous System Number) хостинг-провайдера
  5. Если SNI указывает на icloud.com, но сертификат выдан неизвестным центром сертификации, а ASN принадлежит Hetzner — это 100% детекция VLESS+Reality

Настоящий iCloud никогда не будет хоститься на Hetzner с самоподписанным сертификатом. DPI мгновенно блокирует такие соединения.

4. Анализ трафик-профиля: нагрузка выдает маскировку

Ещё один метод — анализ характера трафика. Серверы с высокой нагрузкой падают быстрее, потому что их трафик-профиль слишком аномален для заявленного SNI.

Например, сервер с SNI icloud.com но с постоянным потоком зашифрованных данных 24/7 от тысяч уникальных IP-адресов — это не iCloud. DPI строит модели «нормального» трафика для каждого SNI и отклоняет аномалии.

Почему XHTTP — следующая ступень эволюции

XHTTP (XHTTP/2 или XHTTP/3) — это новый транспортный протокол для Xray-core, который решает многие проблемы VLESS:

Маскировка под реальный HTTP/2 трафик

В отличие от VLESS, который использует свой формат поверх TLS, XHTTP полностью имитирует поведение HTTP/2 браузера:

  • Настоящие HTTP/2 frames (HEADERS, DATA, SETTINGS, PING)
  • Корректная реализация HPACK-компрессии заголовков
  • Потоки и мультиплексирование как в настоящем браузере
  • Грейсфул-закрытие соединений (GOAWAY frames)

Динамический JA3 и TLS-поведение

XHTTP-клиент не просто «подделывает» JA3-хэш — он полностью имитирует поведение реального браузера Chrome на всех этапах TLS-сессии. Паттерны задержек, порядок расширений, поведение при ошибках — всё совпадает с оригиналом.

Сопротивление активному зондированию

XHTTP-сервер может отвечать на активное зондирование как обычный веб-сервер:

  • Если запрос не содержит правильных заголовков XHTTP — сервер возвращает обычную HTML-страницу
  • Сертификат выдаётся легальным центром сертификации (Let's Encrypt)
  • ASN и хостинг выглядят как обычный веб-сайт

Активное зондирование видит обычный веб-сайт и пропускает его.

Сравнение протоколов: что выбрать в 2026?

ПротоколСкоростьСтабильностьСложность настройкиОбнаружение DPI
WireGuard⚡⚡⚡⚡⚡⚡⚡⚡⚡⚡ПростаяЛегко (прото-детекция)
OpenVPN⚡⚡⚡⚡⚡⚡⚡СредняяЛегко (уникальный хэндшейк)
Shadowsocks⚡⚡⚡⚡⚡⚡⚡ПростаяСредне (прото-анализ)
VLESS+Reality⚡⚡⚡⚡⚡⚡СложнаяСредне (JA3, зондирование)
AmneziaWG⚡⚡⚡⚡⚡⚡⚡⚡⚡СредняяСложно (обфускация)
XHTTP⚡⚡⚡⚡⚡⚡⚡⚡СложнаяОчень сложно

WireGuard vs OpenVPN vs Shadowsocks

WireGuard: Самый быстрый и простой протокол, но имеет уникальный паттерн рукопожатия, который легко обнаруживается DPI. Не рекомендуется для обхода блокировок без обфускации (как в AmneziaWG).

OpenVPN: Надёжный, но медленный и легко детектируемый. Требует дополнительных мер обфускации (obfsproxy, scramble).

Shadowsocks: Быстрый и простой, но не имитирует TLS. DPI может обнаружить его по характерному паттерну зашифрованного потока.

VLESS+Reality vs XHTTP

VLESS+Reality: Отлично работало в 2024–2025, но в 2026 систематически блокируется ТСПУ. Подходит для небольших серверов с низкой нагрузкой, если правильно настроен fingerprint и выбран хостинг.

XHTTP: Новый стандарт для 2026. Полностью имитирует HTTP/2 трафик браузера, устойчив к активному зондированию. Требует более сложной настройки сервера и клиента.

AmneziaWG — скрытый чемпион

AmneziaWG — это обфусцированная версия WireGuard, которая добавляет случайные задержки, меняет размеры пакетов и имитирует «шум» обычного трафика. Пользователи отмечают высокую стабильность даже в условиях агрессивного блокирования.

Практические советы по настройке

Выбор хостинга

Избегайте популярных VPS-провайдеров:

  • Hetzner, DigitalOcean, Linode — их ASN-блоки хорошо известны DPI
  • ТСПУ имеет «чёрные списки» ASN-провайдеров, часто используемых для VLESS/Xray
  • Серверы на этих хостингах падают быстрее из-за высокой нагрузки

Выбирайте менее очевидные варианты:

  • Меньшие региональные провайдеры
  • Dedicated-серверы вместо VPS
  • Хостинги в странах с меньшим вниманием со стороны Роскомнадзора

Выбор SNI

Не используйте популярные SNI:

  • icloud.com, www.apple.com — эти SNI давно в базе DPI
  • ТСПУ активно зондирует все соединения с этими SNI

Используйте «серые» SNI:

  • Менее популярные домены
  • SNI реальных сайтов с низким трафиком
  • SNI, которые используются легальными сервисами в вашей стране

Настройка fingerprint

Для Xray-core:

{
  "fingerprint": "chrome",
  "tlsSettings": {
    "serverName": "example.com",
    "allowInsecure": false
  }
}

Используйте fingerprint: chrome или firefox — это лучше, чем отключение fingerprint полностью.

Для XHTTP:

{
  "protocol": "xhttp",
  "settings": {
    "path": "/xhttp",
    "host": ["example.com"],
    "headers": {
      "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
    }
  }
}

Ограничение нагрузки

Не перегружайте сервер:

  • Ограничьте количество одновременных подключений
  • Используйте rate limiting на уровне Xray или Nginx
  • Распределяйте нагрузку между несколькими серверами

Серверы с высокой нагрузкой падают быстрее — DPI видит аномальный трафик-профиль.

Что будет дальше — прогноз на 2026–2027

Эскалация «гонки вооружений»

К концу 2026 года ожидается ужесточение блокировок:

  • ТСПУ будет использовать машинное обучение для анализа паттернов трафика
  • Активное зондирование станет более агрессивным и частым
  • ASN-анализ будет более точным — DPI будет строить профили «подозрительных» автономных систем

Эволюция протоколов обхода

XHTTP/3: Следующий шаг — имитация HTTP/3 (QUIC), который ещё сложнее детектировать из-за шифрования на транспортном уровне.

Динамическая обфускация: Протоколы будут случайным образом менять поведение внутри сессии — это сделает анализ паттернов бессмысленным.

Маскировка под CDN: Серверы будут использовать реальные CDN (Cloudflare, Akamai) для маскировки трафика.

Правовые изменения

Согласно изданию Kyiv Independent, ФСБ может начать мониторинг IT-компаний на VPN-трафик. Компании с VPN рискуют потерять реестровые льготы и налоговые послабления. Это приведёт к:

  • Уходу VPN-сервисов в «серую зону»
  • Использованию децентрализованных протоколов (как AmneziaWG)
  • Росту интереса к самостоятельному развёртыванию серверов

Кроме того, Facebook/United24 сообщает, что продвижение VPN теперь запрещено в России законом. Это ограничит распространение информации о протоколах обхода блокировок.

Заключение

VLESS+Reality был отличным решением в своё время, но 2026 год показал, что никакая статическая имитация не гарантирует долгосрочной стабильности. DPI становится умнее, активное зондирование — агрессивнее, а базы JA3-хэшей — полнее.

XHTTP — это следующий эволюционный шаг. Полная имитация HTTP/2 трафика, динамическое поведение и сопротивление активному зондированию делают его наиболее перспективным протоколом для 2026–2027 годов.

Но даже XHTTP не будет «серебряной пулей» навсегда. Гонка вооружений между блокировщиками и обходчиками продолжится. Ключ к успеху — использовать комбинацию протоколов, регулярно менять конфигурации и следить за развитием технологий.

NEMO VPN использует актуальные протоколы

Мы постоянно обновляем нашу инфраструктуру, чтобы обеспечивать стабильное соединение в условиях ужесточения блокировок. NEMO VPN поддерживает XHTTP, AmneziaWG и другие современные протоколы обхода.

Узнать больше о NEMO VPN →