2025 yilda keng ko‘lamli bank kazalari, 2026 yil may oyida YouTube DNS o‘chirilishi, iyun oyida butun mamlakat bo‘ylab VPN falokati — TSPU ning uch darajali arxitekturasi, to‘rt avlod sun’iy intellekt aniqlash texnologiyasi, Habr jamoasi tomonidan sinovdan o‘tgan to‘rtta zaiflik va bloklashga qarshi evolyutsiya yo‘nalishlari.
2025 yil iyun oyida Rossiyaning bir qancha banklarining mobil ilovalari to‘satdan ishdan chiqdi, bankomatlar pul chiqarmadi; 2025 yil mart oyida Moskvada ikki hafta davomida jiddiy mobil tarmoq cheklovlari kuzatildi, ko‘plab bloklangan xorijiy platformalar qisqa muddatga kirish imkoniyatiga ega bo‘ldi; 2026 yil may oyining oxiri va iyun oyining boshida YouTube, Telegram va Discord butun mamlakat bo‘ylab jiddiy ulanish muammolariga duch keldi. Ushbu voqealar ortidagi kuch — Rossiyaning milliy DPI nazorat tizimi — TSPU.
TSPU (Технические средства противодействия угрозам, Tahdidlarga qarshi texnik vositalar) 2019 yil 1 mayda Putin tomonidan imzolangan 90-ФЗ-son Federal qonun (Suveren Internet qonuni) ga asoslanadi. Qonun o‘sha yilning noyabrida kuchga kirib, Rossiya aloqa nazoratchisiga (RKN, Roskomnadzor) mamlakat ichidagi internet trafigi ustidan markazlashtirilgan nazorat, jumladan real vaqtda veb-saytlarni bloklash va trafik filtrlash vakolatini berdi.
2020-2022 yillarda RKN MTS, MegaFon va Rostelekom kabi uch yirik operator yordamida Moskva, Sankt-Peterburg va boshqa yirik shaharlarda TSPU pilot joylashtirishni boshladi. 2023 yilda loyiha butunlay mahalliy uskunaga o‘tdi, xorijiy komponentlar Signaltek va Yadro serverlariga almashtirildi. 2024 yil oxiriga kelib TSPU Rossiya internet trafigining taxminan 80% ni qamrab oldi va 2,5 milliondan ortiq filtrlash qoidalariga ega edi.
Voqea 1: Tizimning haddan tashqari yuklanishi Bypass rejimini ishga tushirdi – butun mamlakat bo‘ylab bloklash sizdirilishi (2025 yil 22–23 mart)
TSPU qisqa vaqt ichida taxminan 40 000 yangi filtrlash qoidalarini qayta ishlashga majbur bo‘ldi (oddiy yangilanish atigi 10-15 000 qoida). Yetarli hisoblash quvvati bo‘lmagani uchun avtomatik ravishda Bypass rejimi yoqildi – trafik DPI ni chetlab o‘tib to‘g‘ridan-to‘g‘ri yo‘naltirildi va ko‘plab bloklangan xorijiy platformalar qisqa vaqtga kirish imkoniyatiga ega bo‘ldi. TSPU qurilmalari aniq tarmoqli kengligi cheklovlariga ega; trafik qayta ishlash quvvatidan oshib ketganda qurilma avtomatik ravishda aylanib o‘tish rejimiga o‘tadi va trafik to‘g‘ridan-to‘g‘ri manziliga yetib boradi. RKN tizimi taqiqlangan saytlarni har doim ham to‘liq bloklay olmaydi; quvvat cheklovlari bo‘lganda "oqish" sodir bo‘ladi.
Voqea 2: Keng miqyosdagi "do‘stona o‘t" bank noto‘g‘ri blokirovkasi (2025 yil 30 iyun)
RKN yangi VPN bloklash qoidalarini sinovdan o‘tkazayotganda, TSPU DPI tizimi Sberbank, Tinkoff, Alfa-Bank va boshqa banklarning TLS shifrlangan aloqalarini noto‘g‘ri VPN trafigi deb talqin qildi va bank ilovalari, to‘lov tizimlari hamda bankomatlarning soatlab ishlamay qolishiga sabab bo‘ldi. TSPU ning qo‘pol evristik qoidasi — “TLS 1.3 va faol paket urishini ko‘raman → TASHLA” — qonuniy moliyaviy trafik bilan VPN tunnellari o‘rtasida aniq farqlashning asosiy texnik qarama-qarshiligini ochib berdi.
2026 yil fevralida, YouTube ni bir yildan ortiq vaqt davomida tezlikni cheklagandan so‘ng, RKN yana bir qadam oldinga o‘tib, youtube.com domenini milliy DNS tizimidan olib tashladi va YouTube ga Rossiya ichida oddiy usullar bilan kirishni imkonsiz qildi. Mutaxassislar bu qaror Telegram ning sekinlashuvi bilan bog‘liqligini ta’kidladilar; operator tarmoqlariga o‘rnatilgan TSPU tizimlari bir vaqtning o‘zida ikkita yirik platformaning bosimiga bardosh bera olmadi, shuning uchun RKN YouTube ni DNS orqali oddiygina "o‘chirish" ni tanladi.
2026 yil may oyining oxiri va iyun oyining boshida Rossiya bo‘ylab keng miqyosli VPN ishdan chiqishi yuz berdi. Foydalanuvchilar VPN ulanishlari odatda bir-ikki daqiqa ichida uzilib qolishi, kechikish sezilarli darajada oshishi va tezlik minimal qiymatlarga tushib ketishi haqida xabar berishdi. Telegram, YouTube va Discord ta’sirlandi. RKN MTProto proksilarda yangi zaifliklarni topgani va shu bilan birga Chrome barmoq izi hamda TCP-RAW protokoli blokirovkasini kuchaytirgani xabar qilindi. Idora kompaniyalar xorijiy xizmatlarga VPN orqali texnik maqsadlarda kirish uchun ariza topshirishlari mumkinligini va 57 000 dan ortiq manzil hamda 1 700 tashkilot (dasturiy ta’minot ishlab chiqaruvchilarni o‘z ichiga olgan) istisno ro‘yxatlariga qo‘shilganligini ma’lum qildi.
2026 yil 25 may da TSPU butun mamlakat bo‘ylab to‘liq joylashtirilishga erishdi — 85 federal subyektda mintaqaviy boshqaruv markazlarining apparat yangilanishi yakunlandi, uchta yirik operatorning magistral tugunlarida 100% TSPU ketma-ket (inline) joylashtirilishi amalga oshirildi va Rossiyaning qattiq va mobil internet trafigining deyarli 100% endi TSPU orqali o‘tadi.
| Byudjet moddasi | Miqdor / Ko‘rsatkich |
|---|---|
| Federal loyihaning dastlabki byudjeti | 68,8 mlrd rubl |
| 2026 qo‘shimcha ajratma | 14,9 mlrd rubl |
| 2030 umumiy byudjeti | 83,7 mlrd rubl |
| Tegishli milliy loyiha | “Ma’lumotlar iqtisodiyoti va davlatning raqamli transformatsiyasi” — “Kiberxavfsizlik infratuzilmasi” |
| Tarmoqli kengligi ko‘rsatkichi | Dastlabki reja | 2030 maqsadi | O‘sish |
|---|---|---|---|
| Eng yuqori ishlov berish tarmoqli kengligi | 752,6 Tbit/s | 954 Tbit/s | +26,7% |
| Umumiy tizim sig‘imi | Asosiy sig‘im | Joriy rejaning 2,5 barobari | ~150% |
| 2024 Rossiya oʻrtacha kunlik trafigi | taxminan 30 Tbit/s | ||
954 Tbit/s joriy haqiqiy trafikdan 30 baravar ko‘pdir va bu nafaqat trafik o‘sishiga bardosh berish, balki bloklash ro‘yxatlarini kengaytirish va yangi chetlab o‘tish texnikalariga qarshi kurashish uchun strategik zaxirani ta’minlaydi. Quvvat cheklovlari ba’zan Bypass rejimiga olib keladi; yangilanish infratuzilmani haqiqiy yuk bilan moslashtirish va shu bilan birga VPN chetlab o‘tish vositalarini bloklash samaradorligini oshirishga qaratilgan.
2026 yil yanvaridan boshlab operatorlar uchun rioya qilmaslik jarimalari kuchga kirdi: yuridik shaxslar uchun birinchi qoidabuzarlikda 1 million rublgacha, takroriy qoidabuzarliklarda 5 million rublgacha.
MTS: hamjamiyat ma’lumotlariga ko‘ra, TSPU sinovlarida eng tajovuzkor va eng sezilarli bloklash ta’siriga ega; MegaFon: magistral tugunlarda TSPU joylashtirishni yakunlagan; Rostelekom: davlat telekom giganti, infratuzilma yaxshilanishlarining katta qismini va mahalliy DPI uskunalarini yetkazib berishni o‘z zimmasiga olgan. Uskuna yetkazib beruvchilarga Signaltek, Yadro (serverlar), Eltex (kalitlar), Silicom (bypass NIC lar) va boshqalar kiradi.
RKN shuningdek, rioya qilish nazoratini kuchaytirdi. 2025 yil dekabrda RKN bir nechta operatorlar trafikni TSPU orqali to‘g‘ri yo‘naltira olmaganini va bu YouTube ga kirish imkonini berganini aniqladi. Sud shunga asosan Trivon Networks, YuL-Kom Media, iHome, AVK-Wellcom va Grand nomli besh operatorni har biri 250 000 rubl, MSK-IX va Tinko ni har biri 250 000 rubl va Avantel ni 500 000 rubl jarimaga tortdi.
TSPU markazlashtirilgan boshqaruv va qatlamli arxitekturani qo‘llaydi, eng yuqori qaror qabul qilish qatlamidan foydalanuvchiga eng yaqin bo‘lgan haqiqiy ijro qatlamigacha uch darajadan iborat.
1-daraja: Markaziy boshqaruv markazi (TsMU SSOP)
Moskvada joylashgan, RKN ga qarashli Radiochastotalar markaziga (GRChTs) bo‘ysunadi. Tizimning "miyasi" — global filtrlash siyosatlarini ishlab chiqadi; to‘rtta qora ro‘yxatni (IP, SNI, TLS barmoq izi, protokol imzosi) boshqaradi; sun’iy intellekt yordamida anormal trafikni avtomatik ravishda klasterlaydi va imzolar bazalarini yaratadi; qoidalarni tarqatadi va butun mamlakat bo‘ylab loglarni qabul qilib tahlil qiladi.
2-daraja: 85 federal subyekt mintaqaviy boshqaruv markazlari (LTsU)
Har bir viloyat, o‘lka va respublikada joylashtirilgan. Markaziy siyosatlarni qabul qiluvchi, ularni mintaqaviy TSPU ga yuboruvchi va trafik loglarini to‘plab markazga qaytaruvchi rele qatlami vazifasini bajaradi.
3-daraja: BRAS/CGNAT tomonidagi TSPU apparati
Operatorlarning BRAS (Keng polosali masofaviy kirish serveri) va CGNAT tugunlariga jismoniy joylashtirilgan, ketma-ket (inline) rejimda ishlaydi — barcha foydalanuvchi trafigi qayta ishlanishi kerak; ruxsat berish, tashlash, TCP ulanishini tugatish uchun TCP RST yuborish, tezlikni cheklash, HTTP yo‘naltirish kabi amallarni bajarishi mumkin. Haddan tashqari yuklanganda Bypass rejimi faollashishi mumkin (2030 gacha bosqichma-bosqich bekor qilinishi rejalashtirilgan). Operatorlar konfiguratsiyalarni ko‘ra olmaydi yoki o‘zgartira olmaydi; qurilmalar RKN tomonidan masofadan boshqariladi — bu haqiqiy "qora quti".
DPI (Chuqur paket tekshiruvi) TSPU ning eng asosiy texnologik komponentidir. Rasmiy foydalanishi DDoS himoyasi, ammo amalda veb-saytlarni bloklash, trafik filtrlash va VPN kabi chetlab o‘tish vositalarini bostirishni amalga oshiradi.
L3/L4 qatlamlarida DPI manba/qabul qiluvchi IP va portlarni, TCP bayroqlarini, paket o‘lchamlari va chastotalarini ko‘ra oladi — bu IP bloklash, tezlikni cheklash va ba’zi VPN/tunnellarni naqshlar orqali aniqlash imkonini beradi.
L7 ilova qatlamida HTTPS/TLS trafigi uchun DPI shifrni ocha olmaydi, lekin ochiq matnli qo‘l siqish bosqichidan asosiy ma’lumotlarni olishi mumkin: SNI (Server nomi ko‘rsatkichi) — ClientHello da ochiq matnda uzatiladigan domen nomi, veb-saytlarni bloklashning asosiy mezoni; JA3/JA4 barmoq izlari — TLS mijoz qo‘l siqish parametr to‘plamlari, haqiqiy brauzerlarni VPN mijozlaridan ajrata oladi; DNS so‘rovlari — DNS shifrlanmagan bo‘lsa (UDP 53), QNAME to‘g‘ridan-to‘g‘ri ko‘rinadi va nomni aniqlash bosqichida bloklanishi mumkin.
To‘g‘ridan-to‘g‘ri imzolar yetarli bo‘lmaganda, DPI xulq-atvor xususiyatlarini ham tahlil qiladi — birinchi paketlarning o‘lchamlari, jo‘natish oraliqlari, trafik yo‘nalishi, qayta uzatish naqshlari — bu HTTPS ni qiyofasiga kirgan VPN trafigini oddiy veb-syorfingdan ajratish uchun etarli.
| Avlod | Vaqt | Texnik xususiyat | Qarshi turish usuli |
|---|---|---|---|
| 1-avlod | 2019-2021 | IP/port blokirovkasi | IP ni o‘zgartirish osonlik bilan chetlab o‘tadi |
| 2-avlod | 2021-2023 | SNI domen blokirovkasi | SNI yashirish (Reality) |
| 3-avlod | 2023-2025 | Protokol imzolarini aniqlash (MTProto/VLESS/WireGuard) | O‘z-o‘zidan joylashtirilgan tugunlarning umri keskin qisqaradi |
| 4-avlod | 2026 dan | Sun’iy intellekt xulq-atvor tahlili uchun 2,27 mlrd rubl | "Bir IP da ko‘p qurilmali umumiy proksi" ni aniqlaydi, yangi chetlab o‘tish texnikalariga dinamik moslashadi |
2026 yil yanvarida RKN TSPU infratuzilmasiga integratsiya qilinadigan mashina o‘rganishga asoslangan trafik filtrlash tizimini ishlab chiqishni e’lon qildi, bu statik imzo moslashuvidan dinamik xulq-atvorni tan olishga o‘tishni anglatadi.
2026 yil iyun holatiga ko‘ra, TSPU to‘liq joylashtirilgandan so‘ng o‘z-o‘zidan joylashtirilgan proksilarning omon qolish darajasi keskin pasaydi. 443-portdagi VLESS+Reality konfiguratsiyalari darhol tashlanadi yoki tezligi nolga tushadi; o‘z-o‘zidan joylashtirilgan VPS larning umri bir necha kunga qisqaradi; bir xil IP dagi umumiy proksilar sun’iy intellekt klasterlash tomonidan aniq nishonga olinadi; Shadowsocks-2022 (yuqori portlarda) va xHTTP to‘g‘ridan-to‘g‘ri rejimi hali ham ishlaydi; zanjirli proksilar (Rossiya VPS → chet el VPS, TSPU Rossiya IP sini ko‘radi va odatda aralashmaydi) hali ham ishlaydi.
Hamjamiyat sinovlari shuni ko‘rsatdiki, yuqori port qoidalari 443-portga nisbatan ancha yumshoq — bir xil proksi konfiguratsiyasini 47000+ kabi portga ko‘chirish paketlarning 80% gacha o‘tishiga imkon beradi, chunki TSPU apparat resurslarini tejash uchun standart HTTPS portlarini chuqur tekshirishga ustunlik beradi, yuqori portlarni esa faqat yuzaki tekshiradi. Bo‘sh SNI sozlamasi test holatlarining 100% da blokirovkani olib tashlaydi, chunki TSPU ning bloklash strategiyasi SNI qora ro‘yxati moslashuviga asoslangan.
2025 yil 30 iyun bank uzilishi: bir nechta banklarning ilovalari va bankomatlari soatlab ishlamadi.
"Oq ro‘yxat" kinoyasi: ba’zi mobil operatorlar IP oq ro‘yxatlarini yoqdi, ammo ko‘plab Rossiya banklari va davlat xizmatlari bu oq ro‘yxatlarga kiritilmadi, aksincha Cloudflare IP diapazonlari oq ro‘yxatga kiritilgan edi — bu foydalanuvchilarni mahalliy bank veb-saytlariga yoki Gosuslugi ga kirish uchun VPN ni yoqishga majbur qildi.
Mahalliy hosting provayderining tezligini cheklash: brauzer Rossiya hosting provayderi Selectel dagi oddiy veb-sahifalarga ko‘plab ulanishlar amalga oshirganda, TSPU "TLS 1.3 va faol paket urishi" tufayli tezlik cheklovini yoki paketlarni tashlashni tetikladi.
YouTube va ko‘p platformalarning keng qamrovli falokati (2026 yil iyun boshi): 2026 yil may oxiri va iyun boshi oralig‘ida butun Rossiya bo‘ylab VPN lar keng miqyosda ishdan chiqdi. RKN MTProto proksilarda yangi zaifliklarni topgani va bir vaqtning o‘zida Chrome barmoq izi va TCP-RAW protokol blokirovkasini kuchaytirgani xabar qilindi. Telegram, YouTube va Discord, hatto ishlayotgan VPN lar ostida ham qattiq ta’sirlandi. Mutaxassislar TSPU yangilanishlari VPN barqarorligiga bevosita ta’sir qilishini aytishdi. Tarmoq kechikishi keskin oshdi, ba’zi VPN ulanishlari atigi bir-ikki daqiqa davom etdi va ma’lumot uzatish tezligi minimal darajalarga tushdi.
IT sektoriga to‘satdan zarar: Rossiya IT kompaniyalari dasturiy ta’minotni ishlab chiqish uchun xorijiy resurslarga bog‘liq; VPN nazoratining kuchaytirilishi ularga zarur vositalarga kirishni imkonsiz qildi.
RKN GRChTs monitoring markazi orqali har bir operator trafigi TSPU filtrlashidan o‘tayotganligini muntazam tekshirib turadi. Agar bloklangan veb-sayt TSPU da ushlash jurnaliga ega bo‘lmasa va hali ham kirish mumkin bo‘lsa, inspektorlar qoidabuzarlik hisobotini tuzadilar. 2025 yil dekabrda RKN bir nechta operatorlar trafikni TSPU orqali to‘g‘ri yo‘naltira olmaganini va bu YouTube ga kirish imkonini berganini aniqladi. Sud shunga asosan Trivon Networks, YuL-Kom Media, iHome, AVK-Wellcom va Grand ni har biri 250 000 rubl, MSK-IX va Tinko ni har biri 250 000 rubl va Avantel ni 500 000 rubl jarimaga tortdi. Ushbu jarima tizimi operatorlarni rioya qilishga majbur qilish uchun iqtisodiy bosim yaratadi.
RKN ga qarashli GRChTs hozirda tashqi hujumlarni muvaffaqiyatli qaytarish uchun 88 ta transchegaraviy TSPU qurilmasidan foydalanayotgan Milliy anti-DDoS tizimini (NSPA) kengaytirish rejasini e’lon qildi. Mutaxassislar magistral aloqa operatorlari va yirik korxonalar o‘rtasida ichki zararli trafikni tahlil qilish va bloklash uchun yangi mudofaa chizig‘i qo‘shishni tavsiya qilmoqda. Kiberxavfsizlik mutaxassislari TSPU samaradorligi nafaqat tarmoqli kengligiga, balki tarmoq arxitekturasiga, tugunlarning taqsimlanishiga va trafikni boshqarish sifatiga ham bog‘liqligini ta’kidlamoqda.
Bundan tashqari, QUIC (HTTP/3) trafigi samarali ravishda bloklanadi; UDP 443 porti samarali bloklanadi, barcha ulanishlarni sekinroq HTTPS (TCP 443) ga qaytishga majbur qiladi, ammo chetlab o‘tish vositalari trafikni o‘zgartirish texnikalaridan foydalangan holda rivojlanishda davom etmoqda.
TSPU 2019 yildagi qonundan 2026 yil 25 may holatiga ko‘ra Rossiya trafigining 100% ini qamrab olishgacha, byudjeti 83,7 milliard rubl gacha oshdi va qayta ishlash quvvati 2030 yilga kelib 954 Tbit/s ga yetishi rejalashtirilgan — bu joriy haqiqiy trafikdan 30 barobar ko‘p. Uning DPI texnologiyasi IP qora ro‘yxatlardan sun’iy intellekt xulq-atvor tahliliga qadar to‘rt avlodni bosib o‘tdi.
Shu bilan birga, Habr kabi hamjamiyatlar foydalanish mumkin bo‘lgan zaifliklarni — yuqori portlar, bo‘sh SNI, haddan tashqari yuklanish Bypass i — kashf etishda davom etmoqda. Bu cheksiz qurollanish poygasi: protokol dizaynerlari kuchliroq maxfiylik (ECH, QUIC, trafikni obfuskatsiyalash) izlamoqda, TSPU esa sun’iy intellekt va yangi imzolar bilan rivojlanishda davom etmoqda.
Oddiy foydalanuvchilar uchun aniq signal: bitta protokol, bir marta bosiladigan skript va "sozla va unut" davri tugadi. TSPU tizimining o‘zi uchun, ehtimol, eng katta muammo texnik emas, balki o‘z mamlakatining moliyaviy va aloqa infratuzilmasiga zarar etkazmasdan tartibga solish maqsadlariga qanday erishishdir — 2025 yil iyundagi bank voqealari va 2026 yil iyunidagi keng miqyosli VPN ishdan chiqishi allaqachon signal qo‘ng‘iroqlarini chalgan.