2025'te büyük banka kazaları, Mayıs 2026'da YouTube DNS kaldırılması, Haziran'da ülke çapında VPN felci — TSPU'nun üç katmanlı mimarisinin, dört nesil yapay zeka algılama teknolojisinin, Habr topluluğu tarafından test edilen dört güvenlik açığının derinlemesine analizi ve engelleme karşıtı evrim yönleri.
Haziran 2025'te birçok Rus bankasının mobil bankacılık uygulamaları aniden çöktü, ATM'ler para çekmeye izin vermedi; Mart 2025'te Moskova iki hafta boyunca ciddi mobil ağ kısıtlamaları yaşadı, engellenen birçok yabancı platform kısa süreliğine erişilebilir hale geldi; Mayıs sonu ve Haziran başı 2026'da YouTube, Telegram ve Discord ülke çapında ciddi bağlantı sorunları yaşadı. Bu olayların arkasındaki güç, Rusya'nın ulusal DPI kontrol sistemi — TSPU'dur.
TSPU (Технические средства противодействия угрозам, Tehditlerle Mücadele Teknik Araçları) yasal olarak 90-ФЗ sayılı Federal Yasa (Egemen İnternet Yasası)'ya dayanır. Yasa, 1 Mayıs 2019'da Putin tarafından imzalandı ve aynı yılın Kasım ayında yürürlüğe girerek Rusya iletişim düzenleyicisine (RKN, Roskomnadzor) ülke içi internet trafiği üzerinde merkezi kontrol yetkisi verdi; buna gerçek zamanlı web sitesi engelleme ve trafik filtreleme de dahildir.
2020-2022 arasında RKN, üç büyük operatör MTS, MegaFon ve Rostelekom'un yardımıyla Moskova, St. Petersburg ve diğer büyük şehirlerde TSPU pilot dağıtımlarına başladı. 2023'te proje tamamen yerli donanıma geçti, yabancı bileşenler Signaltek ve Yadro sunucularıyla değiştirildi. 2024 sonunda TSPU, Rusya internet trafiğinin yaklaşık %80'ini kapsıyordu ve 2,5 milyondan fazla filtreleme kuralına sahipti.
Olay 1: Sistem aşırı yüklenmesi nedeniyle Bypass modu tetiklendi – ülke çapında engelleme sızıntısı (22–23 Mart 2025)
TSPU kısa sürede yaklaşık 40.000 yeni filtreleme kuralını işlemek zorunda kaldı (normal güncelleme sadece 10–15.000 kural). Yetersiz işlem gücü otomatik olarak Bypass modunu etkinleştirdi — trafik DPI'yı atlayarak doğrudan iletildi ve birçok engellenmiş yabancı platform kısa süreliğine erişilebilir hale geldi. TSPU cihazlarının belirgin bant genişliği sınırlamaları vardır; trafik işleme kapasitesini aştığında cihaz otomatik olarak atlama moduna girer ve trafik doğrudan hedefine ulaşır. RKN'nin sistemi yasaklı siteleri her an tamamen engelleyemez; güç sınırlamaları olduğunda "sızıntılar" meydana gelir.
Olay 2: Büyük ölçekli "dost ateşi" banka kazası (30 Haziran 2025)
RKN yeni VPN engelleme kurallarını test ederken, TSPU'nun DPI'ı Sberbank, Tinkoff, Alfa-Bank ve diğer bankaların TLS şifreli iletişimlerini yanlışlıkla VPN trafiği olarak algıladı ve banka uygulamalarının, ödeme sistemlerinin ve ATM'lerin saatlerce kesintiye uğramasına neden oldu. TSPU'nun kullandığı kaba buluşsal kural — "TLS 1.3 ve aktif paket vuruşu görüyorum → DÜŞÜR" — yasal finansal trafik ile VPN tünelleri arasında doğru ayrım yapmanın temel teknik zorluğunu ortaya çıkardı.
Şubat 2026'da, YouTube'u bir yıldan fazla süredir hız sınırlandırmasının ardından RKN bir adım daha ileri giderek youtube.com alan adını ulusal DNS sisteminden kaldırdı ve YouTube'a Rusya içinde normal yollarla erişimi imkansız hale getirdi. Uzmanlar, bu kararın Telegram'ın yavaşlamasıyla ilgili olduğunu belirtti; operatör ağlarına kurulan TSPU sistemleri iki büyük platformun baskısını aynı anda kaldıramadı, bu nedenle RKN YouTube'u DNS üzerinden basitçe "kapatmayı" seçti.
Mayıs sonu ile Haziran 2026 başı arasında, Rusya genelinde büyük ölçekli bir VPN arızası meydana geldi. Kullanıcılar VPN bağlantılarının genellikle bir-iki dakika içinde koptuğunu, gecikmenin önemli ölçüde arttığını ve hızın minimum seviyelere düştüğünü bildirdi. Telegram, YouTube ve Discord etkilendi. RKN'nin MTProxy'lerde yeni güvenlik açıkları keşfettiği ve aynı zamanda Chrome parmak izi ve TCP-RAW protokol engellemesini güçlendirdiği bildirildi. Kurum, şirketlerin teknik olarak yabancı hizmetlere VPN üzerinden erişim başvurusu yapabileceğini ve 57.000'den fazla adres ile 1.700 kuruluşun (yazılım geliştiriciler dahil) istisna listelerine eklendiğini belirtti.
25 Mayıs 2026'da TSPU ülke çapında tam dağıtıma ulaştı — 85 federal bölgede bölgesel kontrol merkezlerinin donanım güncellemesi tamamlandı, üç büyük operatörün omurga düğümlerinde %100 TSPU ardışık (inline) dağıtımı gerçekleştirildi ve Rusya'nın sabit ve mobil internet trafiğinin neredeyse %100'ü artık TSPU üzerinden geçiyor.
| Bütçe Kalemi | Tutar / Gösterge |
|---|---|
| Orijinal federal proje bütçesi | 68,8 milyar RUB |
| 2026 ek tahsisat | 14,9 milyar RUB |
| 2030 toplam bütçe | 83,7 milyar RUB |
| Bağlı olduğu ulusal proje | “Veri Ekonomisi ve Devletin Dijital Dönüşümü” — “Siber Güvenlik Altyapısı” |
| Bant Genişliği Göstergesi | Orijinal Plan | 2030 Hedefi | Artış |
|---|---|---|---|
| Tepe işlem bant genişliği | 752,6 Tbit/s | 954 Tbit/s | +%26,7 |
| Toplam sistem kapasitesi | Temel kapasite | Mevcut planın 2,5 katı | ~%150 |
| 2024 Rusya günlük ortalama trafiği | yaklaşık 30 Tbit/s | ||
954 Tbit/s, mevcut fiili trafiğin 30 katından fazladır ve sadece trafik büyümesiyle başa çıkmak için değil, aynı zamanda engelleme listelerini genişletmek ve yeni atlatma teknikleriyle mücadele etmek için stratejik bir fazlalık sağlar. Güç sınırlamaları bazen Bypass moduna yol açar; yükseltme, altyapıyı fiili yük ile eşleştirirken aynı zamanda VPN atlatma araçlarının engellenme verimliliğini artırmayı amaçlamaktadır.
Ocak 2026'dan itibaren, operatör uyumsuzluk cezaları yürürlüğe girmiştir: ilk ihlalde tüzel kişiler için 1 milyon RUB'a kadar, tekrarlanan ihlallerde 5 milyon RUB'a kadar.
MTS: topluluk geri bildirimlerine göre TSPU testlerinde en agresif olanıdır ve engelleme etkisi en belirgindir; MegaFon: omurga düğümlerinde TSPU dağıtımını tamamlamıştır; Rostelekom: devlet telekom devi, altyapı iyileştirmelerinin çoğunu ve yerli DPI ekipman tedarikini üstlenir. Donanım tedarikçileri arasında Signaltek, Yadro (sunucular), Eltex (anahtarlar), Silicom (bypass NIC'leri) vb. bulunur.
RKN ayrıca uyumluluk denetimini güçlendirdi. Aralık 2025'te RKN, birkaç operatörün trafiği TSPU üzerinden doğru şekilde yönlendiremediğini ve bunun YouTube'a erişilebilir kılındığını tespit etti. Mahkeme buna istinaden Trivon Networks, YuL-Kom Media, iHome, AVK-Wellcom ve Grand adlı beş operatörü 250.000 RUB, MSK-IX ve Tinko'yu 250.000 RUB ve Avantel'i 500.000 RUB para cezasına çarptırdı.
TSPU, merkezi yönetim ve katmanlı bir mimari benimser; en yüksek karar alma katmanından kullanıcıya en yakın fiili yürütme katmanına kadar üç seviyeden oluşur.
Seviye 1: Merkezi Yönetim Merkezi (TsMU SSOP)
Moskova'da bulunur, RKN'ye bağlı Radyo Frekans Merkezi'ne (GRChTs) bağlıdır. Sistemin "beynidir" — küresel filtreleme politikalarını oluşturur; dört kara listeyi (IP, SNI, TLS parmak izi, protokol imzası) yönetir; yapay zeka ile anormal trafiği otomatik olarak kümeler ve imza veritabanları oluşturur; kuralları dağıtır ve ülke genelinden gelen günlükleri alıp analiz eder.
Seviye 2: 85 Federal Bölge Bölgesel Kontrol Merkezi (LTsU)
Her eyalet, bölge ve cumhuriyette konuşlandırılır. Merkezi politikaları alan, bunları bölgesel TSPU'ya ileten ve trafik günlüklerini toplayıp merkeze geri gönderen röle katmanı olarak çalışır.
Seviye 3: BRAS/CGNAT Tarafındaki TSPU Donanımı
Operatörlerin BRAS (Geniş Bant Uzaktan Erişim Sunucusu) ve CGNAT düğümlerine fiziksel olarak konuşlandırılır, ardışık (inline) modda çalışır — tüm kullanıcı trafiği işlenmelidir; izin verme, düşürme, TCP bağlantısını sonlandırmak için TCP RST gönderme, hız sınırlama, HTTP yönlendirme gibi işlemleri gerçekleştirebilir. Aşırı yüklendiğinde Bypass modu tetiklenebilir (2030'a kadar kademeli olarak kaldırılması planlanmaktadır). Operatörler yapılandırmaları görüntüleyemez veya değiştiremez; cihazlar RKN tarafından uzaktan kontrol edilir — gerçek bir "kara kutu".
DPI (Derin Paket İnceleme), TSPU'nun en temel teknoloji bileşenidir. Resmi kullanımı DDoS korumasıdır, ancak pratikte web sitesi engelleme, trafik filtreleme ve VPN gibi atlatma araçlarının baskılanmasını sağlar.
L3/L4 katmanlarında DPI, kaynak/hedef IP'leri ve portları, TCP bayraklarını, paket boyutlarını ve sıklıklarını görebilir — bu sayede IP engelleme, hız sınırlama ve belirli VPN/tünelleri desenler yoluyla tespit etme mümkün olur.
L7 uygulama katmanında, HTTPS/TLS trafiği için DPI şifreyi çözemez ancak düz metin el sıkışma aşamasından temel bilgileri çıkarabilir: SNI (Sunucu Adı Bildirimi) — ClientHello'da düz metin olarak iletilen alan adı, web sitesi engellemenin ana dayanağı; JA3/JA4 parmak izleri — TLS istemci el sıkışma parametre setleri, gerçek tarayıcıları VPN istemcilerinden ayırt edebilir; DNS sorguları — DNS şifrelenmemişse (UDP 53), QNAME doğrudan görünür ve çözümleme aşamasında engellenebilir.
Doğrudan imzalar yetersiz kaldığında DPI, davranışsal özellikleri de analiz eder — ilk paket boyutları, gönderme aralıkları, trafik yönü, yeniden iletme desenleri — bu, HTTPS kılığına girmiş VPN trafiğini normal web gezintisinden ayırt etmek için yeterlidir.
| Nesil | Zaman | Teknik Özellik | Karşı Koyma Yöntemi |
|---|---|---|---|
| 1. Nesil | 2019-2021 | IP/port engelleme | IP değiştirmek kolayca atlatır |
| 2. Nesil | 2021-2023 | SNI alan adı engelleme | SNI gizleme (Reality) |
| 3. Nesil | 2023-2025 | Protokol imzası tanıma (MTProto/VLESS/WireGuard) | Kendi kendine barındırılan düğümlerin ömrü hızla düşer |
| 4. Nesil | 2026'dan itibaren | YZ davranışsal analizi için 2,27 milyar RUB | "Aynı IP'de çoklu cihaz paylaşımlı proxy" tespiti, yeni atlatma tekniklerine dinamik uyum |
Ocak 2026'da RKN, TSPU altyapısına entegre edilecek makine öğrenimi tabanlı bir trafik filtreleme sistemi geliştirdiğini duyurdu; bu, statik imza eşleştirmeden dinamik davranışsal tanımaya geçişi işaret etmektedir.
Haziran 2026 itibarıyla, TSPU'nun tam dağıtımından sonra kendi kendine barındırılan proxy'lerin hayatta kalma oranları hızla düşmüştür. 443 portundaki VLESS+Reality yapılandırmaları anında düşürülür veya hızları sıfıra iner; kendi kendine barındırılan VPS'lerin ömrü birkaç güne kısalır; aynı IP'deki paylaşımlı proxy'ler YZ kümeleme tarafından hassas bir şekilde hedeflenir; Shadowsocks-2022 (yüksek portlarda) ve xHTTP doğrudan modu hala çalışır; zincirleme proxy'ler (Rusya VPS → yurtdışı VPS, TSPU bir Rus IP'si görür ve genellikle müdahale etmez) hala çalışır.
Topluluk testleri ayrıca yüksek port kurallarının 443 portundan çok daha hoşgörülü olduğunu gösterdi — aynı proxy yapılandırmasını 47000+ gibi bir porta taşımak, paketlerin %80'e varan oranda geçmesine izin verir, çünkü TSPU donanım kaynaklarından tasarruf etmek için standart HTTPS portlarının derinlemesine incelenmesine öncelik verir, yüksek portları ise yalnızca yüzeysel olarak kontrol eder. Boş SNI ayarı, test vakalarının %100'ünde engellemeyi kaldırır çünkü TSPU'nun engelleme stratejisi SNI kara listesi eşleştirmesine dayanır.
30 Haziran 2025 banka kesintisi: birden çok bankanın uygulamaları ve ATM'leri saatlerce çalışmadı.
"Beyaz liste" ironisi: bazı mobil operatörler IP beyaz listelerini etkinleştirdi, ancak birçok Rus bankası ve devlet hizmeti bu beyaz listelerde yer almazken Cloudflare IP aralıkları beyaz listedeydi — bu, kullanıcıların yerel banka web sitelerine veya Gosuslugi'ye erişmek için VPN açmak zorunda kalmasına neden oldu.
Yerel barındırma sağlayıcısının hız sınırlandırılması: tarayıcı, Rus barındırma sağlayıcısı Selectel'deki sıradan web sayfalarına çok sayıda bağlantı yaptığında, TSPU "TLS 1.3 + aktif paket vuruşu" nedeniyle hız sınırlamasını veya paket düşürmeyi tetikledi.
YouTube ve çoklu platformların geniş çaplı çöküşü (Haziran 2026 başı): Mayıs sonu ve Haziran 2026 başında, Rusya genelinde VPN'ler büyük ölçekte çalışmaz hale geldi. RKN'nin MTProxy'lerde yeni güvenlik açıkları keşfettiği ve aynı zamanda Chrome parmak izi ile TCP-RAW protokol engellemesini güçlendirdiği bildirildi. Telegram, YouTube ve Discord, çalışan VPN'ler altında bile ciddi şekilde etkilendi. Uzmanlar, TSPU yükseltmelerinin VPN kararlılığını doğrudan etkilediğini söyledi. Ağ gecikmesi keskin bir şekilde arttı, bazı VPN bağlantıları sadece bir-iki dakika sürdü ve veri aktarım hızları minimuma düştü.
BT sektörüne kenar hasar: Rus BT şirketleri yazılım geliştirme için denizaşırı kaynaklara bağımlıdır; VPN denetiminin sıkılaştırılması, gerekli araçlara erişmelerini engelledi.
RKN, GRChTs izleme merkezi aracılığıyla her operatörün trafiğinin TSPU filtrelemesinden geçip geçmediğini sistematik olarak kontrol eder. Engellenmiş bir web sitesinin TSPU engelleme günlüğü yoksa ve hala erişilebilir durumdaysa, müfettişler ihlal raporu düzenler. Aralık 2025'te RKN, birkaç operatörün trafiği TSPU üzerinden doğru şekilde yönlendiremediğini ve bunun YouTube'a erişilebilir kılındığını tespit etti. Mahkeme buna istinaden Trivon Networks, YuL-Kom Media, iHome, AVK-Wellcom ve Grand'i 250.000 RUB, MSK-IX ve Tinko'yu 250.000 RUB ve Avantel'i 500.000 RUB para cezasına çarptırdı. Bu ceza sistemi, operatörleri uyumluluğa zorlamak için ekonomik baskı oluşturur.
RKN'ye bağlı GRChTs, şu anda dış saldırıları başarıyla püskürtmek için 88 sınır ötesi TSPU cihazı kullanan Ulusal Anti-DDoS Sisteminin (NSPA) genişletileceğini duyurdu. Uzmanlar, omurga iletişim operatörleri ile büyük işletmeler arasında iç kötü amaçlı trafiği analiz etmek ve engellemek için yeni bir savunma hattı eklenmesini önermektedir. Siber güvenlik uzmanları, TSPU verimliliğinin yalnızca bant genişliğine değil, aynı zamanda ağ mimarisine, düğüm dağılımına ve trafik yönetimi kalitesine de bağlı olduğunu vurgulamaktadır.
Ayrıca, QUIC (HTTP/3) trafiği etkili bir şekilde engellenir; UDP 443 portu etkili bir şekilde engellenir, tüm bağlantıları daha yavaş HTTPS'ye (TCP 443) dönmeye zorlar, ancak atlatma araçları trafik değiştirme tekniklerini kullanarak gelişmeye devam etmektedir.
TSPU, 2019'daki bir yasadan 25 Mayıs 2026 itibarıyla Rusya trafiğinin %100'ünü kapsamaya, bütçesi 83,7 milyar rubleye çıkmaya ve işleme kapasitesi 2030'a kadar 954 Tbit/s'e ulaşmayı planlamaktadır — bu, mevcut fiili trafiğin 30 katından fazladır. DPI teknolojisi, IP kara listelerinden YZ davranış analizine kadar dört nesil boyunca evrim geçirmiştir.
Aynı zamanda Habr gibi topluluklar kullanılabilir güvenlik açıklarını keşfetmeye devam etmektedir — yüksek portlar, boş SNI, aşırı yüklenme Bypass'ı. Bu sonsuz bir silahlanma yarışıdır: protokol tasarımcıları daha güçlü gizlilik (ECH, QUIC, trafik obfuskasyonu) peşinde koşarken, TSPU yapay zeka ve yeni imzalarla evrimleşmeye devam etmektedir.
Sıradan kullanıcılar için net bir sinyal vardır: tek bir protokol, tek tıklamalı betik ve "ayarla ve unut" dönemi sona ermiştir. TSPU sisteminin kendisi için belki de en büyük zorluk teknik değil, düzenleyici hedeflere ülkenin kendi finansal ve iletişim altyapısına zarar vermeden nasıl ulaşılacağıdır — Haziran 2025'teki banka olayları ve Haziran 2026'daki büyük ölçekli VPN arızası çoktan alarm zillerini çalmıştır.