Массовая ошибочная блокировка банков в 2025, удаление DNS YouTube в мае 2026, общенациональный паралич VPN в июне — глубокий анализ трёхуровневой архитектуры ТСПУ, четырёх поколений технологий распознавания ИИ, четырёх протестированных сообществом Habr уязвимостей, направления противодействия блокировкам.
В июне 2025 года мобильные приложения нескольких российских банков внезапно перестали работать, банкоматы не выдавали наличные; в марте 2025 года Москва две недели испытывала серьёзные ограничения мобильной сети, многие заблокированные зарубежные платформы временно стали доступны; с конца мая по начало июня 2026 года YouTube, Telegram и Discord столкнулись с серьёзными проблемами подключения по всей стране. Сила, стоящая за этими событиями, — это российская национальная система контроля трафика на основе DPI — ТСПУ.
ТСПУ (Технические средства противодействия угрозам) юридически базируется на Федеральном законе № 90-ФЗ (о суверенном интернете), подписанном Путиным 1 мая 2019 года. Закон вступил в силу в ноябре 2019 года, предоставив Роскомнадзору (РКН) централизованный контроль над интернет-трафиком внутри России, включая блокировку сайтов в реальном времени и фильтрацию трафика.
С 2020 по 2022 год РКН начал пилотное развёртывание ТСПУ в Москве, Санкт-Петербурге и других крупных городах при содействии трёх крупнейших операторов МТС, Мегафон и Ростелеком. В 2023 году проект полностью перешёл на отечественное оборудование, заменив иностранные компоненты серверами Signaltek и Yadro. К концу 2024 года ТСПУ охватывал около 80% российского интернет-трафика, имея более 2,5 миллионов правил фильтрации.
Событие 1: Перегрузка системы, вызвавшая режим Bypass – утечка блокировок по всей стране (22–23 марта 2025)
ТСПУ пришлось обрабатывать около 40 000 новых правил фильтрации за короткое время (обычное обновление — всего 10–15 тыс. правил). Недостаток вычислительных мощностей автоматически активировал режим Bypass — трафик обходил DPI и шёл напрямую, многие заблокированные зарубежные платформы временно стали доступны. Устройства ТСПУ имеют явные ограничения пропускной способности; когда трафик превышает возможности обработки, устройство автоматически переходит в режим обхода, и трафик достигает пункта назначения без проверки. Система РКН не всегда способна полностью блокировать запрещённые сайты; при ограничении мощности возникают «утечки».
Событие 2: Массовый «дружественный огонь» по банкам (30 июня 2025)
При тестировании РКН новых правил блокировки VPN, DPI системы ТСПУ ошибочно принял зашифрованный TLS-трафик Сбербанка, Тинькофф, Альфа-Банка и других за VPN-трафик, что привело к сбою банковских приложений, платёжных систем и банкоматов на несколько часов. Используемая ТСПУ эвристика была слишком грубой — «Вижу TLS 1.3 и активный пакетный обстрел → отбрасывай», — обнажив фундаментальное техническое противоречие в невозможности точно отличить легитимный финансовый трафик от VPN-туннелей.
В феврале 2026 года, после более чем года ограничения скорости YouTube, РКН пошла дальше и удалила домен youtube.com из национальной DNS-системы, сделав YouTube недоступным через обычные способы внутри России. Эксперты отметили, что это решение связано с замедлением работы Telegram; установленные на сетях операторов системы ТСПУ не могли одновременно выдерживать нагрузку двух крупных платформ, поэтому РКН решила просто «выключить» YouTube через DNS.
С конца мая по начало июня 2026 года в России произошёл массовый сбой VPN. Пользователи сообщали, что VPN-соединения разрываются в течение одной-двух минут, задержка резко возрастает, скорость падает до минимальных значений. Пострадали Telegram, YouTube и Discord. Сообщалось, что РКН обнаружила новые уязвимости в прокси MTProto, а также усилила снятие отпечатков Chrome и блокировку протокола TCP-RAW. Ведомство заявило, что компании могут подать заявку на доступ к зарубежным сервисам через VPN в технических целях, и более 57 000 адресов и 1 700 организаций (включая разработчиков программного обеспечения) были добавлены в списки исключений.
25 мая 2026 года ТСПУ достиг полного развёртывания по всей стране — завершено обновление оборудования региональных центров управления в 85 субъектах федерации, 100% опорных узлов трёх крупнейших операторов получили последовательное (inline) подключение ТСПУ, и почти 100% фиксированного и мобильного интернет-трафика России теперь проходит через ТСПУ.
| Статья бюджета | Сумма / Показатель |
|---|---|
| Первоначальный бюджет федерального проекта | 68,8 млрд руб. |
| Дополнительное выделение 2026 | 14,9 млрд руб. |
| Общий бюджет на 2030 | 83,7 млрд руб. |
| Национальный проект | «Экономика данных и цифровая трансформация государства» — «Инфраструктура кибербезопасности» |
| Показатель пропускной способности | Первоначальный план | Цель на 2030 | Увеличение |
|---|---|---|---|
| Пиковая пропускная способность | 752,6 Тбит/с | 954 Тбит/с | +26,7% |
| Общая мощность системы | Базовая мощность | 2,5 от текущего плана | ~150% |
| Среднесуточный трафик в России (2024) | около 30 Тбит/с | ||
954 Тбит/с — это более чем в 30 раз больше текущего фактического трафика, что обеспечивает стратегический резерв не только для роста трафика, но и для расширения списков блокировки и противодействия новым методам обхода. Ограничения мощности иногда приводят к режиму Bypass; модернизация направлена на приведение инфраструктуры в соответствие с фактической нагрузкой и одновременное повышение эффективности блокировки средств обхода VPN.
С января 2026 года вступили в силу штрафы за несоблюдение требований операторами: до 1 млн рублей для юридических лиц за первичное нарушение и до 5 млн рублей за повторное.
МТС: по отзывам сообщества, наиболее агрессивный в тестировании ТСПУ с заметным эффектом блокировки; Мегафон: завершил развёртывание ТСПУ на опорных узлах; Ростелеком: государственный телеком-гигант, выполняющий большую часть модернизации инфраструктуры и поставок отечественного оборудования DPI. Поставщики оборудования: Signaltek, Yadro (серверы), Eltex (коммутаторы), Silicom (карты Bypass) и другие.
РКН также усилила контроль за соблюдением требований. В декабре 2025 года РКН обнаружила, что несколько операторов не смогли правильно маршрутизировать трафик через ТСПУ, что делало YouTube доступным. Суд соответственно оштрафовал пять операторов (Trivon Networks, YuL-Kom Media, iHome, AVK-Wellcom и Grand) на 250 000 рублей каждого, MSK-IX и Tinko — на 250 000 рублей каждого, а Avantel — на 500 000 рублей.
ТСПУ использует централизованную иерархическую архитектуру с тремя уровнями — от высшего уровня принятия решений до уровня реального исполнения, ближайшего к пользователям.
Уровень 1: Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП)
Расположен в Москве, подчинён Главному радиочастотному центру (ГРЧЦ) при РКН. Это «мозг» системы — разрабатывает глобальные политики фильтрации; управляет четырьмя чёрными списками (IP, SNI, отпечатки TLS, сигнатуры протоколов); с помощью ИИ автоматически кластеризует аномальный трафик и генерирует базы сигнатур; распространяет правила и принимает/анализирует логи со всей страны.
Уровень 2: Региональные центры управления в 85 субъектах федерации (ЛСЦУ)
Размещены в каждой области, крае, республике. Действуют как ретрансляторы — получают центральные политики, пересылают их региональным ТСПУ, собирают логи трафика и отправляют обратно в центр.
Уровень 3: Аппаратное обеспечение ТСПУ на узлах BRAS/CGNAT
Физически устанавливается на узлах BRAS (широкополосный удалённый доступ) и CGNAT операторов, работает в режиме последовательного подключения (inline) — весь пользовательский трафик должен проходить обработку. Может выполнять следующие действия: разрешить, отбросить, отправить TCP RST для разрыва соединения, ограничить скорость, перенаправить по HTTP. При перегрузке может активироваться режим Bypass (планируется постепенное отключение к 2030 году). Операторы не могут просматривать или изменять конфигурации; устройства удалённо управляются РКН — это настоящий «чёрный ящик».
DPI (Deep Packet Inspection, глубокий анализ пакетов) — ключевой технологический компонент ТСПУ. Официально используется для защиты от DDoS, но на практике обеспечивает блокировку сайтов, фильтрацию трафика и подавление средств обхода, таких как VPN.
На уровнях L3/L4 DPI может видеть IP-адреса источника/назначения, порты, TCP-флаги, размеры пакетов и их частоту — что позволяет блокировать IP, ограничивать скорость и обнаруживать некоторые VPN/туннели по паттернам.
На прикладном уровне L7 для HTTPS/TLS-трафика DPI не может его расшифровать, но может извлечь ключевую информацию из открытого этапа handshake: SNI (Server Name Indication) — доменное имя, передаваемое открытым текстом в ClientHello, основная информация для блокировки сайтов; отпечатки JA3/JA4 — наборы параметров handshake TLS, позволяющие отличить реальный браузер от VPN-клиента; DNS-запросы — если DNS не зашифрован (UDP 53), QNAME виден напрямую, что позволяет блокировать на этапе разрешения.
Когда прямых сигнатур недостаточно, DPI анализирует поведенческие характеристики — размеры первых пакетов, интервалы отправки, направление трафика, паттерны повторной передачи — этого достаточно, чтобы отличить замаскированный под HTTPS VPN-трафик от обычного веб-сёрфинга.
| Поколение | Период | Технологическая особенность | Способ противодействия |
|---|---|---|---|
| 1-е | 2019-2021 | Блокировка IP/портов | Смена IP легко обходит |
| 2-е | 2021-2023 | Блокировка доменов по SNI | Маскировка SNI (Reality) |
| 3-е | 2023-2025 | Распознавание сигнатур протоколов (MTProto/VLESS/WireGuard) | Резкое сокращение срока жизни самостоятельно размещённых узлов |
| 4-е | с 2026 | 2,27 млрд рублей на поведенческий анализ на основе ИИ | Обнаружение «общих прокси нескольких устройств на одном IP», динамическая адаптация к новым методам обхода |
В январе 2026 года РКН объявила о разработке системы фильтрации трафика на основе машинного обучения, которая будет интегрирована в инфраструктуру ТСПУ, что знаменует переход от статического сопоставления сигнатур к динамическому поведенческому распознаванию.
По состоянию на июнь 2026 года, после полного развёртывания ТСПУ, показатели выживаемости самостоятельно размещённых прокси резко упали. Конфигурации VLESS+Reality на порту 443 мгновенно отбрасываются или их скорость падает до нуля; время жизни самостоятельно размещённых VPS сократилось до нескольких дней; общие прокси на одном IP точно выявляются кластеризацией ИИ; Shadowsocks-2022 (на высоких портах) и прямой режим xHTTP всё ещё работают; цепочечные прокси (российский VPS → зарубежный VPS, где ТСПУ видит российский IP и обычно не вмешивается) всё ещё работают.
Тесты сообщества также показали, что правила для высоких портов гораздо более мягкие, чем для порта 443 — перенос той же конфигурации прокси на порт 47000+ позволяет проходить до 80% пакетов, поскольку ТСПУ экономит аппаратные ресурсы, проводя глубокую проверку только стандартных HTTPS-портов, а высокие порты проверяет поверхностно. Установка пустого SNI снимает блокировку в 100% тестов, потому что стратегия блокировки ТСПУ основана на сопоставлении с чёрными списками SNI.
Сбой банков 30 июня 2025: приложения и банкоматы нескольких банков не работали несколько часов.
Ирония «белого списка»: некоторые мобильные операторы включили IP-белые списки, но многие российские банки и государственные услуги не попали в эти белые списки, в то время как диапазоны IP Cloudflare были включены — что вынуждало пользователей включать VPN только для доступа к сайтам российских банков или порталу Госуслуги.
Ограничение скорости локального хостинга: когда браузер делал много соединений с обычными веб-страницами на российском хостинге Selectel, ТСПУ из-за «TLS 1.3 + активный пакетный обстрел» ограничивал скорость или отбрасывал пакеты.
Массовый сбой YouTube и нескольких платформ (начало июня 2026): с конца мая по начало июня 2026 года VPN массово выходили из строя по всей России. Сообщалось, что РКН обнаружила новые уязвимости в прокси MTProto и одновременно усилила снятие отпечатков Chrome и блокировку протокола TCP-RAW. Telegram, YouTube и Discord сильно пострадали даже под работающими VPN. Эксперты заявили, что модернизация ТСПУ напрямую влияет на стабильность VPN. Задержки в сети резко возросли, некоторые VPN-соединения держались всего одну-две минуты, скорость передачи данных упала до минимума.
Косвенный ущерб для ИТ-отрасли: российские ИТ-компании зависят от зарубежных ресурсов для разработки программного обеспечения; ужесточение контроля VPN помешало им получать доступ к необходимым инструментам.
РКН через центр мониторинга ГРЧЦ систематически проверяет, проходит ли трафик каждого оператора через фильтрацию ТСПУ. Если заблокированный сайт не имеет журнала перехвата ТСПУ и по-прежнему доступен, инспекторы составляют отчёт о нарушении. В декабре 2025 года РКН обнаружила несколько операторов, которые не смогли правильно маршрутизировать трафик через ТСПУ, что делало YouTube доступным. Суд соответственно оштрафовал Trivon Networks, YuL-Kom Media, iHome, AVK-Wellcom и Grand на 250 000 рублей каждого, MSK-IX и Tinko — на 250 000 рублей каждого, а Avantel — на 500 000 рублей. Эта система штрафов создаёт экономическое давление на операторов для соблюдения требований.
ГРЧЦ при РКН объявил о расширении национальной системы анти-DDoS (NSPA), которая в настоящее время использует 88 трансграничных устройств ТСПУ для успешного отражения внешних атак. Эксперты рекомендуют добавить новый рубеж обороны между магистральными операторами связи и крупными предприятиями для анализа и блокировки внутреннего вредоносного трафика. Эксперты по кибербезопасности подчёркивают, что эффективность ТСПУ зависит не только от пропускной способности, но и от архитектуры сети, распределения узлов и качества управления трафиком.
Кроме того, трафик QUIC (HTTP/3) эффективно блокируется; порт UDP 443 эффективно блокируется, вынуждая все соединения возвращаться к более медленному HTTPS (TCP 443), хотя инструменты обхода продолжают эволюционировать, используя методы модификации трафика.
ТСПУ прошёл путь от закона 2019 года до покрытия 100% российского трафика к 25 мая 2026 года, бюджет увеличен до 83,7 млрд рублей, а запланированная мощность обработки к 2030 году достигнет 954 Тбит/с — более чем в 30 раз превышая текущий фактический трафик. Технология DPI прошла через четыре поколения — от IP-чёрных списков до поведенческого анализа на основе ИИ.
В то же время сообщества вроде Habr продолжают находить эксплуатационные уязвимости — высокие порты, пустой SNI, Bypass при перегрузке. Это бесконечная гонка вооружений: разработчики протоколов стремятся к большей конфиденциальности (ECH, QUIC, обфускация трафика), а ТСПУ продолжает эволюционировать с помощью ИИ и новых сигнатур.
Для обычных пользователей сигнал ясен: эпоха одного протокола, скрипта «одним кликом» и установки «забудь и наслаждайся» закончилась. Для самой системы ТСПУ, возможно, самая большая проблема не техническая, а как достичь целей регулирования, не нанося вреда собственной финансовой и коммуникационной инфраструктуре страны — инциденты с банками в июне 2025 года и массовый сбой VPN в июне 2026 года уже прозвучали как тревожный сигнал.