Fexyn
Fexyn
All posts

ما يعمل فعلاً في روسيا في 2026: نظرة فنية على TSPU

Fexyn Team··7 min read

ما يعمل في روسيا في 2026؟ إذا كان لديك صديق روسي أو تعمل مع زملاء روس، رأيت هذا يحدث على الأرجح: VPN كانوا يستخدمونه لسنوات يتوقف فجأة عن الاتصال. يبدلون لآخر. يعمل لأسبوع. ثم يتوقف أيضاً.

هذا ليس صدفة وليس عشوائياً. إنه TSPU (الوسائل التقنية لمواجهة التهديدات) يفعل بالضبط ما نُشر لفعله، يصبح أفضل في ذلك شهراً بشهر، وRoskomnadzor ينشر أهدافاً صريحة بشكل متزايد حول كم بعيداً يعتزمون أخذها.

ها ما يفعله TSPU فعلاً، ما حجبه بنجاح، ما ما زال يعمل في مايو 2026، وأين يتجه المسار.

ما هو TSPU وكيف يرى حركتك

TSPU عتاد وبرنامج تصفية مُنشَر في كل ISP روسي مرخص منذ 2021، مفروض بقانون الإنترنت السيادي 2019. يجلس inline في بوابة ISP. كل حزمة تغادر شبكة روسية أو تصل لواحدة تمر عبر TSPU أولاً.

وظيفياً، TSPU نظام فحص حزم عميق. يفعل عدة أشياء:

مطابقة الأنماط. TSPU يحتفظ بمكتبة بصمات بروتوكول. حزمة handshake الأولى لـ WireGuard دائماً 148 بايت بهيكل محدد: حقل نوع 1 بايت، ثلاثة بايتات صفر محجوزة، مؤشر مرسل 4 بايت، ومفتاح عام عابر 32 بايت غير مشفر. TSPU يطابق هذا في الوقت الفعلي. دقة الاكتشاف قريبة من 100%.

تحليل الإنتروبيا. الحركة المشفرة لها إنتروبيا عالية — البايتات تبدو عشوائية، لا هيكل قابل للتعرف. حركة HTTPS العادية لها إنتروبيا مختلطة: TLS handshake مهيكل بسلاسل شهادات قابلة للتنبؤ، ثم بيانات تطبيق مشفرة بأحجام سجل مميزة. اتصال Shadowsocks إنتروبيا عالية من الحزمة الأولى. TSPU يشير للتيارات التي ملف إنتروبياها لا يطابق أي بروتوكول شرعي معروف.

التحقيق النشط. عندما يرى TSPU اتصالاً مشبوهاً، يستطيع إرسال اتصاله الخاص لنفس IP الوجهة والمنفذ خلال ثوانٍ. إذا اختلفت الاستجابة من ذلك الخادم عما ستعيده خدمة شرعية، IP يُضاف لقائمة الحجب.

التحليل الإحصائي. TSPU يتعقب السلوك المجمع لكل IP، لكل ASN، لكل منطقة. إذا فتح IP سكني روسي واحد فجأة 50 اتصال TLS طويل العمر لمزود VPS لا يستضيف خدمات شائعة روسية شرعية، ذلك النمط نفسه يصبح إشارة اكتشاف.

هذه ليست قدرات نظرية. إنها تعمل، اليوم، ضد كل اتصال من كل شبكة سكنية ومحمولة روسية.

ما حجبه TSPU

عبر Q1 2026، البروتوكولات التي يبصمها TSPU بنجاح ويحجبها في كل ISP روسي رئيسي:

WireGuard. منذ 2023. حزمة بدء handshake 148 بايت صلبة جداً للتغير؛ بعض متغيرات "WireGuard مشوش" موجودة (NordLynx من NordVPN، تكوين Mullvad القياسي) لكن TSPU يكتشف كلها. الاتصال من ISP روسي يفشل خلال 1-3 ثوانٍ.

OpenVPN (TCP وUDP). منذ 2022، بدقة متزايدة. TLS handshake لـ OpenVPN له توقيت مميز وقناة التحكم تستخدم تنسيق تأطير قابل للتعرف. حتى أغلفة OpenVPN-XOR وobfs4 يُكتشفان.

IKEv2 / IPsec / L2TP. يُكتشَف بهيكل حزمة ESP أو IKEv2 handshake. محجوب.

VLESS العادي بدون Vision. هذا تطور أواخر 2025. TSPU رُقّي لبصمة تيارات VLESS عامة. بعض المزودين الذين يشحنون Reality لكن بدون تدفق Vision (xtls-rprx-vision) متأثرون أيضاً الآن، لأن Vision هو ما يلغي نمط TLS-في-TLS الذي تطابق ضده هذه البصمة.

Shadowsocks. بما في ذلك متغيرات AEAD. تحليل الإنتروبيا يصطاد التيارات عالية الإنتروبيا؛ التحقيق النشط يصطاد غياب TLS handshake حقيقي.

SOCKS5. يُكتشَف بهيكل handshake.

obfs4 وmeek. نقل Tor القابل للتوصيل. يُكتشَف بأنماط إنتروبيا وتوقيت.

معظم أوضاع "stealth" أو "obfuscated" من العلامات التجارية الكبرى. Lightway من ExpressVPN، NordLynx من NordVPN مع تشويش، Camouflage من Surfshark، Stealth القياسي من ProtonVPN — تُطابق نمطياً بدرجات مختلفة.

هذا لماذا مستخدمو VPN الروس يستمرون بدوران المزودين. كل بروتوكول رئيسي للعلامات الكبرى قابل للاكتشاف.

ما ما زال يعمل في مايو 2026

البروتوكولات التي تجري handshake بموثوقية من الشبكات السكنية والمحمولة الروسية:

VLESS Reality مع تدفق Vision. هذه التركيبة المحملة. Reality يجري TLS 1.3 handshake حقيقي لمضيف عام حقيقي (microsoft.com، cloudflare.com، apple.com) ويعيد توجيه شهادة ذلك المضيف الفعلية. تدفق Vision يلغي إشارة اكتشاف TLS-في-TLS. معاً، الحركة لا يمكن تمييزها إحصائياً عن متصفح عادي يتصل بذلك المضيف.

وفقاً لـ ورقة USENIX Security وقياس خوادمنا، نجاح handshake لـ Reality+Vision في روسيا في مايو 2026 حوالي 95%. الـ 5% المتبقية تأتي من حجب سمعة IP على نطاقات VPS محددة، لا اكتشاف بروتوكول. إذا كان IP الذي يستخدمه مزود VPN الخاص بك له نمط سمعة (مستخدمون سكنيون يتصلون بـ VPS يخدم أيضاً موقع HTTPS مستقر)، TSPU أحياناً يشير له. الحل: تدوير نطاقات IP، تفضيل المزودين الذين يحافظون على مساحة IP "نظيفة".

كتبنا دليل البروتوكول الطويل عن Reality إذا أردت التفصيل المعماري.

NaiveProxy. يستخدم stack شبكة Chrome الفعلي لإجراء اتصالات HTTP/2 لـ backend حقيقي. الحركة مطابقة بايت-لـ-بايت لحركة Chrome لأنها فعلاً كذلك. أقل نشراً من Reality لكنه يعمل.

Hysteria 2. بروتوكول مستند لـ QUIC بإخفاء قوي وعبء منخفض على الشبكات ذات الفقدان. بعض ISPs الروس يخنقون Hysteria أكثر عدوانية من غيرهم؛ معدل النجاح يتفاوت لكنه عموماً فوق 70%.

ShadowTLS. يجري TLS handshake حقيقي لمضيف عام، مشابه في الروح لـ Reality. أقل نضجاً من Reality لكنه يعمل على TSPU.

النمط واضح. أي شيء يجري TLS 1.3 handshake حقيقي لمضيف عام حقيقي يصمد ضد TSPU. أي شيء لا يفعل — حتى مع تشويش إبداعي — في النهاية يُبصَم.

التبديل التلقائي لـ Fexyn

لا نتوقع من المستخدمين معرفة أي من هذا.

Fexyn Bolt هو تنفيذنا لـ WireGuard. Fexyn Stealth هو تنفيذنا لـ VLESS Reality+Vision. عميل Fexyn يحاول Bolt أولاً لأنه أسرع. إذا حجبت الشبكة أو خنقت Bolt، العميل يبدّل لـ Stealth تلقائياً. لا يحتاج المستخدم لتكوين أي شيء.

في روسيا، نوصي بتثبيت Stealth كافتراضي في إعدادات التطبيق بدلاً من انتظار الاكتشاف التلقائي. هذا يتخطى خطوة محاولة Bolt الفاشلة ويتصل أسرع على الشبكات حيث نعرف بالفعل أن Bolt لا يعمل.

ماذا الأرجح أن Roskomnadzor يجرب تالياً

ميزانية Roskomnadzor 2026 تتضمن تقريباً 20 مليار روبل سنوياً للبنية الدائمة لرقابة VPN. الهدف المنشور حجب 92% من تطبيقات VPN بحلول 2030. المسار تصعيد. بعض الخطوات التالية متوقعة:

تسجيل سمعة IP أكثر عدوانية. TSPU يفعل بعض هذا بالفعل، حاجباً نطاقات IP التي تظهر أنماطاً تطابق نشر VPN. توسيع هذا رخيص ويتجنب مشكلة اكتشاف البروتوكول كلياً. الدفاع من جانب المزود: الحفاظ على نطاقات IP "نظيفة"، تدوير IPs، مثالياً استخدام مساحة IP سكنية أو لأعمال بدلاً من نطاقات VPS معروفة.

قائمة بيضاء لمضيفي التمويه. TSPU يمكن أن يحافظ على قائمة مضيفي تمويه معتمدين (Microsoft، Cloudflare، Apple) وإما حجب الحركة لهم كلياً (مكلف سياسياً — الأعمال الروسية تعتمد على هذه الخدمات) أو فحص أعمق لجلسات TLS لمضيفي تمويه مُشار لهم. مسار الفحص الأعمق يتطلب كسر جلسة TLS، الذي سيتطلب حركة حقن CA حكومية على الطراز الإيراني جربتها روسيا في شكل محدود لكن ليس على نطاق.

التحليل الإحصائي للتوقيت. Reality+Vision لا يمكن تمييزه إحصائياً عن جلسة تصفح Microsoft حقيقية على مستوى الحزمة، لكن مستخدم واحد يولّد اتصالات Microsoft مستدامة لساعات كل يوم بمعدل نقل عالٍ نمط سلوكي لا يطابق سلوك مستخدم Microsoft نموذجي. هذا النوع من التحليل يتطلب حوسبة كبيرة وينتج كثيراً من إيجابيات كاذبة، لذا لم يُنشر بعد.

حجب لكل تطبيق داخل النفق. TSPU يستطيع بالفعل اكتشاف أنماط حركة WhatsApp، Signal، Telegram معروفة حتى عند نفقها عبر VPN — لأن الحركة الداخلية ما زال لها توقيع توقيت وحجم حزمة. حتى الآن هذا يستخدم انتقائياً ضد أهداف بارزة فقط.

الميزة المعمارية لـ Reality أن الخداع هيكلي. لا يوجد handshake مزيف، لا شهادة مزيفة، لا هدف مزيف. الخداع قطعة صغيرة من مادة تشفيرية مخفية داخل TLS handshake حقيقي بخلاف ذلك. لاكتشافه، TSPU يحتاج لكسر TLS نفسه أو الحفاظ على نموذج سلوكي لكل مستخدم شرعي لكل مضيف تمويه. لا أحد رخيص.

ماذا يعني هذا لك

إذا عشت في روسيا أو تسافر هناك، الإجابة العملية بسيطة. استخدم VPN يشحن VLESS Reality مع تدفق Vision. ثبته كبروتوكولك الافتراضي. استخدم العملات المشفرة للفوترة لأن بنية الدفع بالبطاقة معطلة للمستخدمين الروس على الخدمات الغربية. ثبت VPN قبل أن تحتاج لتنزيله داخل روسيا، لأن مواقع مزودي VPN تحجب في أي وقت.

إذا كنت تشغل خدمة VPN لمستخدمين روس — وكثير من المستضيفين ذاتياً يفعلون — اتبع متعقب قضايا XTLS Reality، حافظ على Reality+Vision (لا Reality عادي)، استخدم مضيفي تمويه عاليي الحركة دواراً، وفضل مساحة IP "نظيفة".

إذا كنت تقرأ هذا لأن VPN كنت تستخدمه توقف عن العمل في روسيا — هذا النظام يعمل كما صُمم. الإصلاح بروتوكول مختلف، لا خادم مختلف. معظم العلامات الكبرى (NordVPN، ExpressVPN، Surfshark، ProtonVPN، Mullvad) حالياً لا تشحن VLESS Reality أصلاً. المجموعة الفرعية الأصغر التي تشحنه (Astrill، Fexyn، عدة حزم استضافة ذاتية) هي مجموعة العمل في 2026.

جرّب Fexyn مجاناً 7 أيام. Stealth (VLESS Reality مع Vision flow) مضمن في كل خطة. فوترة بالعملات المشفرة فقط لروسيا ($2.99/شهر، Tier 4). دليل البروتوكول يشرح لماذا Reality مع Vision يستمر بالعمل عندما يفشل كل شيء آخر.

ما يعمل فعلاً في روسيا في 2026: نظرة فنية على TSPU | Fexyn VPN