مسدودسازی گسترده بانکی در ۲۰۲۵، حذف DNS یوتیوب در مه ۲۰۲۶، فلج سراسری VPN در ژوئن — تحلیل عمیق از معماری سهلایه ТСПУ، چهار نسل تکنولوژی تشخیص AI، چهار آسیبپذیری آزمایششده توسط جامعه Habr، و جهتگیریهای مقابله با مسدودسازی.
در ژوئن ۲۰۲۵، اپلیکیشنهای بانکداری همراه چندین بانک روسی به طور ناگهانی از کار افتادند و دستگاههای خودپرداز قادر به برداشت وجه نبودند؛ در مارس ۲۰۲۵، مسکو دو هفته محدودیت شدید شبکه موبایل را تجربه کرد و بسیاری از سکوهای خارجی مسدود شده به طور موقت قابل دسترسی شدند؛ در اواخر مه تا اوایل ژوئن ۲۰۲۶، یوتیوب، تلگرام و دیسکورد با مشکلات جدی اتصال در سراسر کشور مواجه شدند. نیروی پشت این رویدادها سیستم کنترل ملی روسیه مبتنی بر DPI است — ТСПУ.
ТСПУ (Технические средства противодействия угрозам، ابزارهای فنی مقابله با تهدیدها) ریشه قانونی خود را در قانون فدرال شماره ۹۰-ФЗ (قانون اینترنت حاکمیتی) دارد که در ۱ مه ۲۰۱۹ توسط پوتین امضا شد. این قانون در نوامبر ۲۰۱۹ اجرایی شد و به نهاد نظارت بر ارتباطات روسیه (РКН، روسکومنادزور) اختیارات مدیریت متمرکز بر ترافیک اینترنت داخلی از جمله مسدودسازی لحظهای وبسایتها و فیلتر ترافیک را اعطا کرد.
بین ۲۰۲۰ تا ۲۰۲۲، РКН استقرار آزمایشی ТСПУ را در مسکو، سن پترزبورگ و دیگر شهرهای بزرگ با همکاری سه اپراتور بزرگ МТС، Мегафон و Ростелеком آغاز کرد. در ۲۰۲۳، پروژه به طور کامل به سختافزار داخلی تبدیل شد و اجزای خارجی با سرورهای Signaltek و Yadro جایگزین گردیدند. تا پایان ۲۰۲۴، ТСПУ حدود ۸۰٪ از ترافیک اینترنت روسیه را پوشش میداد و بیش از ۲.۵ میلیون قانون فیلتر داشت.
رویداد اول: بارگذاری بیش از حد سیستم و فعالسازی حالت Bypass – نشت مسدودسازی در سراسر کشور (۲۲–۲۳ مارس ۲۰۲۵)
ТСПУ مجبور شد حدود ۴۰ هزار قانون فیلتر جدید را در مدت کوتاهی پردازش کند (به روزرسانی معمولی فقط ۱۰ تا ۱۵ هزار قانون است). قدرت محاسباتی ناکافی به طور خودکار حالت Bypass را فعال کرد — ترافیک با دور زدن DPI به طور مستقیم هدایت میشد و بسیاری از سکوهای خارجی مسدود شده به طور موقت قابل دسترسی شدند. دستگاههای ТСПУ دارای محدودیت پهنای باند آشکاری هستند؛ هنگامی که ترافیک از ظرفیت پردازش بیشتر شود، دستگاه به طور خودکار وارد حالت Bypass میشود و ترافیک مستقیماً به مقصد میرسد. سیستم РКН قادر به مسدودسازی کامل وبسایتهای ممنوعه در هر لحظه نیست و در زمان محدودیت توان، «نشت» رخ میدهد.
رویداد دوم: آسیب جانبی گسترده بانکی (۳۰ ژوئن ۲۰۲۵)
هنگام تست قوانین جدید مسدودسازی VPN توسط РКН، DPI سیستم ТСПУ ارتباطات رمز شده TLS چندین بانک از جمله Sberbank، Tinkoff و Alfa-Bank را به اشتباه ترافیک VPN تشخیص داد و باعث اختلال ساعتی اپلیکیشنهای بانکی، سیستمهای پرداخت و دستگاههای خودپرداز شد. قانون سرانگشتی خشن ТСПУ — «TLS 1.3 و هجوم بسته فعال میبینم → بینداز» — تناقض اساسی فنی در تمایز دقیق بین ترافیک مالی قانونی و تونلهای VPN را آشکار کرد.
در فوریه ۲۰۲۶، پس از بیش از یک سال کاهش سرعت یوتیوب، РКН گام فراتر نهاد و دامنه youtube.com را از سیستم DNS ملی حذف کرد و دسترسی عادی به یوتیوب را در داخل روسیه غیرممکن ساخت. کارشناسان اشاره کردند که این تصمیم با کندی تلگرام مرتبط است؛ سیستمهای ТСПУ نصب شده روی شبکههای اپراتور قادر به تحمل فشار دو سکوی بزرگ به طور همزمان نبودند، بنابراین РКН به سادگی تصمیم به «خاموش کردن» یوتیوب از طریق DNS گرفت.
از اواخر مه تا اوایل ژوئن ۲۰۲۶، روسیه شاهد شکست گسترده VPN در سراسر کشور بود. کاربران گزارش دادند که اتصالات VPN معمولاً طی یک یا دو دقیقه قطع میشوند، تأخیر به شدت افزایش یافته و سرعت به پایینترین مقدار میرسد. تلگرام، یوتیوب و دیسکورد همه تحت تأثیر قرار گرفتند. گزارش شد که РКН آسیبپذیریهای جدیدی در پروکسیهای MTProto کشف کرده و همزمان اثر انگشت Chrome و پروتکل TCP-RAW را تقویت کرده است. این نهاد اعلام کرد که شرکتها میتوانند برای دسترسی به خدمات خارجی از طریق VPN درخواست فنی دهند و بیش از ۵۷,۰۰۰ آدرس و ۱,۷۰۰ سازمان (شامل توسعهدهندگان نرمافزار) به لیست استثنا اضافه شدهاند.
در ۲۵ مه ۲۰۲۶، ТСПУ به استقرار کامل در سراسر کشور دست یافت — ارتقاء سختافزار مراکز کنترل منطقهای در ۸۵ نهاد فدرال تکمیل شد، گرههای اصلی سه اپراتور بزرگ به ۱۰۰٪ استقرار ТСПУ به حالت inline رسید و نزدیک به ۱۰۰٪ ترافیک اینترنت ثابت و همراه روسیه از ТСПУ عبور میکند.
| ردیف بودجه | مبلغ / شاخص |
|---|---|
| بودجه اولیه پروژه فدرال | ۶۸.۸ میلیارد روبل |
| اعتبار اضافی ۲۰۲۶ | ۱۴.۹ میلیارد روبل |
| بودجه کل ۲۰۳۰ | ۸۳.۷ میلیارد روبل |
| پروژه ملی | «اقتصاد داده و تحول دیجیتال دولت» — «زیرساخت امنیت سایبری» |
| شاخص پهنای باند | برنامه اولیه | هدف ۲۰۳۰ | افزایش |
|---|---|---|---|
| پهنای باند پیک | ۷۵۲.۶ ترابیت بر ثانیه | ۹۵۴ ترابیت بر ثانیه | +۲۶.۷٪ |
| ظرفیت کل سیستم | ظرفیت پایه | ۲.۵ برابر برنامه فعلی | ~۱۵۰٪ |
| میانگین ترافیک روزانه روسیه (۲۰۲۴) | حدود ۳۰ ترابیت بر ثانیه | ||
۹۵۴ ترابیت بر ثانیه بیش از ۳۰ برابر ترافیک واقعی فعلی است و افزونگی استراتژیک نه تنها برای مقابله با رشد ترافیک بلکه برای گسترش لیستهای مسدودسازی و مبارزه با تکنیکهای جدید دور زدن فراهم میکند. محدودیت توان گاهی منجر به حالت Bypass میشود و ارتقاء برای تطابق زیرساخت با بار واقعی و همزمان بهبود کارایی مسدودسازی ابزارهای دور زدن VPN انجام میشود.
از ژانویه ۲۰۲۶، جریمههای عدم تطابق اپراتورها اجرایی شده است: تا ۱ میلیون روبل برای اولین تخلف اشخاص حقوقی و تا ۵ میلیون روبل برای تخلفات مکرر.
МТС (MTS): بازخورد جامعه نشان میدهد که این اپراتور تهاجمیترین در تستهای ТСПУ با تأثیر مسدودسازی قابل توجه است؛ Мегафон (MegaFon): استقرار ТСПУ را در گرههای اصلی تکمیل کرده است؛ Ростелеком (Rostelecom): غول مخابرات دولتی که بخش عمده ارتقاء زیرساخت و تأمین تجهیزات DPI داخلی را بر عهده دارد. تأمینکنندگان سختافزار عبارتند از Signaltek، Yadro (سرورها)، Eltex (سوئیچها)، Silicom (کارتهای Bypass) و غیره.
РКН همچنین نظارت بر تطابق را تشدید کرده است. در دسامبر ۲۰۲۵، РКن تشخیص داد چندین اپراتور نتوانستهاند ترافیک را به درستی از ТСПУ عبور دهند که دسترسی به یوتیوب را ممکن کرده بود. بر این اساس، دادگاه پنج اپراتور (Trivon Networks، YuL-Kom Media، iHome، AVK-Wellcom و Grand) را هر کدام ۲۵۰ هزار روبل، MSK-IX و Tinko را هر کدام ۲۵۰ هزار روبل و Avantel را ۵۰۰ هزار روبل جریمه کرد.
ТСПУ از معماری مدیریت متمرکز و سلسلهمراتبی با سه سطح از بالاترین سطح تصمیمگیری تا سطح اجرای واقعی نزدیک به کاربران استفاده میکند.
سطح اول: مرکز مدیریت مرکزی (ЦМУ ССОП)
واقع در مسکو، زیرمجموعه مرکز فرکانس رادیویی (ГРЧЦ) وابسته به РКН، «مغز» سیستم است — سیاستهای فیلتر جهانی را تدوین میکند؛ چهار لیست سیاه (IP، SNI، اثر انگشت TLS، امضای پروتکل) را مدیریت میکند؛ از هوش مصنوعی برای خوشهبندی خودکار ترافیک غیرعادی و تولید پایگاههای امضا استفاده میکند؛ قوانین را توزیع و گزارشهای ارسالی از سراسر کشور را دریافت و تحلیل میکند.
سطح دوم: مراکز کنترل منطقهای در ۸۵ نهاد فدرال (ЛСЦУ)
در هر استان، قلمرو و جمهوری مستقر شده و به عنوان لایه رله عمل میکنند: سیاستهای مرکزی را دریافت و به ТСПУ منطقهای ارسال میکنند و گزارشهای ترافیک را جمعآوری و به مرکز بازمیگردانند.
سطح سوم: سختافزار ТСПУ در BRAS/CGNAT
به صورت فیزیکی در گرههای BRAS (سرور دسترسی از راه دور پهنباند) و CGNAT اپراتورها مستقر شده و به حالت inline متصل است — تمام ترافیک کاربران باید پردازش شود؛ اقدامات قابل انجام عبارتند از: مجوز، رها کردن، ارسال RST برای قطع اتصال TCP، محدودیت سرعت، تغییر مسیر HTTP. هنگام بارگذاری بیش از حد، حالت Bypass ممکن است فعال شود (برنامه ریزی شده تا ۲۰۳۰ به تدریج حذف شود). اپراتورها نمیتوانند تنظیمات را مشاهده یا اصلاح کنند؛ دستگاهها توسط РКН کنترل از راه دور میشوند — یک «جعبه سیاه» واقعی.
DPI (بازرسی عمیق بسته) اصلیترین مؤلفه فنی ТСПУ است. کاربرد رسمی آن محافظت در برابر DDoS است، اما در عمل به مسدودسازی وبسایتها، فیلتر ترافیک و سرکوب ابزارهای دور زدن مانند VPN دست مییابد.
در لایههای L3/L4، DPI میتواند آدرس IP مبدأ/مقصد، پورتها، پرچمهای TCP، اندازه و فرکانس بستهها را ببیند — که امکان مسدودسازی IP، محدودیت سرعت و تشخیص برخی تونلهای VPN/پروکسی را از طریق الگوها فراهم میکند.
در لایه کاربردی L7، برای ترافیک HTTPS/TLS، DPI نمیتواند رمزگشایی کند اما میتواند اطلاعات کلیدی را از مرحله دست دادن رمزگذاری نشده استخراج کند: SNI (شناسه نام سرور) — نام دامنهای که به صورت متن واضح در ClientHello ارسال میشود، مبنای اصلی مسدودسازی وبسایتها؛ اثر انگشت JA3/JA4 — مجموعه پارامترهای دست دادن TLS سمت کلاینت که میتواند مرورگر واقعی را از کلاینت VPN تشخیص دهد؛ پرس و جوهای DNS — اگر DNS رمزگذاری نشده باشد (UDP 53)، QNAME مستقیماً قابل مشاهده است و میتواند در مرحله تفکیک مسدود شود.
زمانی که امضاهای مستقیم کافی نباشند، DPI ویژگیهای رفتاری را نیز تحلیل میکند — اندازه بستههای اول، فواصل ارسال، جهت ترافیک، الگوهای ارسال مجدد — که برای تشخیص ترافیک VPN مبدل به HTTPS از مرور وب معمولی کافی است.
| نسل | زمان | ویژگی فنی | راهکار مقابله |
|---|---|---|---|
| اول | ۲۰۱۹-۲۰۲۱ | مسدودسازی IP/پورت | تغییر IP به راحتی دور میزند |
| دوم | ۲۰۲۱-۲۰۲۳ | مسدودسازی دامنه SNI | پنهانسازی SNI (Reality) |
| سوم | ۲۰۲۳-۲۰۲۵ | شناسایی امضای پروتکل (MTProto/VLESS/WireGuard) | عمر گره میزبان خودمختار به شدت کاهش مییابد |
| چهارم | ۲۰۲۶ به بعد | ۲.۲۷ میلیارد روبل برای تحلیل رفتاری با هوش مصنوعی | تشخیص «پروکسیهای اشتراکی چند دستگاه روی یک IP»، انطباق پویا با تکنیکهای جدید دور زدن |
در ژانویه ۲۰۲۶، РКН توسعه سیستمی برای فیلتر ترافیک مبتنی بر یادگیری ماشین را اعلام کرد که در زیرساخت ТСПУ ادغام خواهد شد و نشاندهنده گذار از تطابق امضای ایستا به تشخیص رفتاری پویا است.
تا ژوئن ۲۰۲۶، پس از استقرار کامل ТСПУ، نرخ بقای پروکسیهای خودمیزبانی به شدت کاهش یافته است. پیکربندیهای VLESS+Reality روی پورت ۴۴۳ فوراً رها میشوند یا سرعت آنها به صفر میرسد؛ طول عمر VPS خودمیزبان به چند روز کاهش مییابد؛ پروکسیهای اشتراکی روی یک IP به دقت توسط خوشهبندی هوش مصنوعی هدف قرار میگیرند؛ Shadowsocks-2022 (روی پورتهای بالا) و حالت مستقیم xHTTP همچنان کار میکنند؛ پروکسیهای زنجیرهای (VPS روسیه → VPS خارجی، جایی که ТСПУ یک IP روسی میبیند و معمولاً دخالت نمیکند) هنوز کار میکنند.
تستهای جامعه همچنین نشان داد که قوانین پورتهای بالا بسیار سهلگیرانهتر از پورت ۴۴۳ هستند — انتقال همان پیکربندی پروکسی به پورت ۴۷۰۰۰+ به عبور تا ۸۰٪ بستهها اجازه میدهد، زیرا ТСПУ برای صرفهجویی در منابع سختافزاری، بازرسی عمیق را در اولویت پورتهای استاندارد HTTPS قرار میدهد و فقط بازرسی سطحی روی پورتهای بالا انجام میدهد. تنظیم SNI خالی در ۱۰۰٪ موارد تست مسدودسازی را برطرف میکند زیرا استراتژی مسدودسازی ТСПУ به تطابق لیست سیاه SNI متکی است.
اخلال بانکی ۳۰ ژوئن ۲۰۲۵: اپلیکیشنها و دستگاههای خودپرداز چندین بانک برای ساعاتی از کار افتادند.
طعنه «لیست سفید»: برخی اپراتورهای تلفن همراه لیست سفید IP را فعال کردند، اما بسیاری از بانکهای روسی و خدمات دولتی در آن لیست سفید نبودند، در حالی که محدودههای IP Cloudflare در لیست سفید بودند — این امر کاربران را مجبور میکرد برای دسترسی به وبسایتهای بانکهای داخلی یا خدمات Gosuslugi VPN را روشن کنند.
اختلال میزبان داخلی: زمانی که مرورگر اتصالات زیادی به صفحات وب معمولی در میزبان روسی Selectel برقرار میکرد، ТСПУ به دلیل «TLS 1.3 + هجوم بسته فعال» محدودیت سرعت یا رها کردن بسته را اعمال میکرد.
اختلال گسترده یوتیوب و سکوهای چندگانه (اوایل ژوئن ۲۰۲۶): از اواخر مه تا اوایل ژوئن ۲۰۲۶، VPN در سراسر روسیه در مقیاس وسیع از کار افتاد. گزارش شد که РКН آسیبپذیریهای جدیدی در پروکسیهای MTProto کشف کرده و همزمان اثر انگشت Chrome و پروتکل TCP-RAW را تقویت کرده است. تلگرام، یوتیوب و دیسکورد به شدت تحت تأثیر قرار گرفتند، حتی تحت VPNهای فعال. کارشناسان گفتند ارتقاء ТСПУ مستقیماً بر پایداری VPN تأثیر میگذارد. تأخیر شبکه به شدت افزایش یافت، برخی اتصالات VPN فقط یک یا دو دقیقه دوام آوردند و نرخ انتقال داده به حداقل رسید.
آسیب جانبی صنعت فناوری اطلاعات: شرکتهای فناوری اطلاعات روسیه برای توسعه نرمافزار به منابع خارجی وابسته هستند؛ تشدید کنترل VPN مانع از دسترسی آنها به ابزارهای ضروری شد.
РКН به طور سیستماتیک از طریق مرکز نظارت ГРЧЦ بررسی میکند که آیا ترافیک هر اپراتور از فیلتر ТСПУ عبور میکند یا خیر. اگر یک وبسایت مسدود شده در ТСПУ لاگ رهگیری نداشته باشد و همچنان قابل دسترسی باشد، بازرسان گزارش تخلف صادر میکنند. در دسامبر ۲۰۲۵، РКН تشخیص داد چندین اپراتور نتوانستهاند ترافیک را به درستی از ТСПУ عبور دهند که دسترسی به یوتیوب را ممکن کرده بود. بر این اساس، دادگاه Trivon Networks، YuL-Kom Media، iHome، AVK-Wellcom و Grand را هر کدام ۲۵۰ هزار روبل، MSK-IX و Tinko را هر کدام ۲۵۰ هزار روبل، و Avantel را ۵۰۰ هزار روبل جریمه کرد. این سیستم جریمه فشار اقتصادی برای تطابق اپراتورها ایجاد میکند.
ГРЧЦ وابسته به РКН گسترش سیستم ملی ضد DDoS (NSPA) را اعلام کرد که در حال حاضر از ۸۸ دستگاه ТСПУ فرامرزی برای دفع موفق حملات خارجی استفاده میکند. کارشناسان افزودن یک خط دفاعی جدید بین اپراتورهای اصلی مخابرات و شرکتهای بزرگ برای تجزیه و تحلیل و مسدودسازی ترافیک مخرب داخلی را توصیه میکنند. کارشناسان امنیت سایبری تأکید میکنند که کارایی ТСПУ نه تنها به پهنای باند بلکه به معماری شبکه، توزیع گرهها و کیفیت مدیریت ترافیک بستگی دارد.
علاوه بر این، ترافیک QUIC (HTTP/3) به طور مؤثر مسدود میشود؛ پورت UDP 443 به طور مؤثر مسدود میشود و همه اتصالات را مجبور میکند به HTTPS کندتر (TCP 443) بازگردند، اگرچه ابزارهای دور زدن با استفاده از تکنیکهای اصلاح ترافیک به تکامل خود ادامه میدهند.
ТСПУ از یک قانون در ۲۰۱۹ به پوشش ۱۰۰٪ ترافیک روسیه در ۲۵ مه ۲۰۲۶ رسیده است، بودجه به ۸۳.۷ میلیارد روبل افزایش یافته و ظرفیت پردازش برنامهریزی شده تا ۲۰۳۰ به ۹۵۴ ترابیت بر ثانیه میرسد — بیش از ۳۰ برابر ترافیک واقعی فعلی. فناوری DPI آن چهار نسل را از لیست سیاه IP تا تحلیل رفتاری با هوش مصنوعی پشت سر گذاشته است.
در همان زمان، جوامعی مانند Habr به کشف آسیبپذیریهای قابل بهرهبرداری ادامه میدهند — پورتهای بالا، SNI خالی، Bypass ناشی از بارگذاری بیش از حد. این یک مسابقه تسلیحاتی بیپایان است: طراحان پروتکل به دنبال حریم خصوصی قویتر (ECH، QUIC، مبهمسازی ترافیک) هستند، در حالی که ТСПУ با هوش مصنوعی و امضاهای جدید به تکامل خود ادامه میدهد.
برای کاربران عادی، یک سیگنال واضح وجود دارد: عصر پروتکل واحد، اسکریپت یککلیکی و «تنظیم و فراموش کن» به پایان رسیده است. برای خود سیستم ТСПУ، شاید بزرگترین چالش فنی نباشد، بلکه چگونگی دستیابی به اهداف نظارتی بدون آسیب به زیرساختهای مالی و ارتباطی کشور خود است — حوادث بانکی ژوئن ۲۰۲۵ و شکست گسترده VPN در ژوئن ۲۰۲۶ زنگ خطر را به صدا درآوردهاند.