Что провайдер реально видит без VPN (и что с этим делает)

Твой интернет-провайдер сидит между тобой и всем остальным в интернете. Каждый пакет, который твой ноут шлёт, проходит через их сеть. Они видят всё это — но с HTTPS, теперь покрывающим большую часть веба, «видят всё» — это нюанснее, чем раньше. Вот точная версия.

Что провайдер может видеть в 2026

Каждый DNS-запрос, который ты делаешь

Когда ты вводишь example.com в браузер, твой компьютер сначала спрашивает DNS-сервер «какой IP у example.com?». Без VPN или DNS-over-HTTPS этот вопрос идёт в открытом виде до DNS-резолвера твоего провайдера. Провайдер видит:

Домен, который ты ищешь
Точное время поиска
Частоту, с которой ты его ищешь
Искал ли ты его раньше

Провайдеры обычно сохраняют логи DNS-запросов. Срок хранения варьируется по юрисдикции и по провайдеру, но логирование по умолчанию — правило, не исключение. В России TSPU-инфраструктура (закон о суверенном Рунете) обязывает крупных провайдеров вроде Ростелекома, МТС и Билайна предоставлять Роскомнадзору доступ к трафику.

Каждый домен, который ты посещаешь, даже по HTTPS

HTTPS шифрует контент, но не место назначения. TLS-handshake включает поле Server Name Indication (SNI) — открытый заголовок, который говорит «я хочу подключиться к www.example.com», чтобы сервер знал, какой сертификат отдать. SNI необходим — несколько сайтов делят IP-адреса на shared hosting, и серверу нужно знать, какой ты хочешь.

Этот SNI виден всем, кто наблюдает за проводом, включая твоего провайдера. Даже с полным HTTPS провайдер знает, какие именно сайты ты посещаешь — он только не знает, что ты на них делаешь.

Некоторые браузеры поддерживают Encrypted SNI (ESNI) и Encrypted Client Hello (ECH), но поддержка неравномерная, и провайдерская фильтрация ловит много edge-кейсов. На практике SNI виден провайдеру сегодня.

Метаданные подключения

Провайдер видит:

Source и destination IP. Они знают твой IP (они его выдали) и destination IP для каждого подключения.
Протокол и порт. Используешь ли ты HTTP, HTTPS, SSH, RDP, BitTorrent, VPN. Они обычно могут идентифицировать протокол по pattern'ам пакетов, даже если меняешь порт.
Тайминг. Когда подключения происходят, как долго длятся, как часто повторяются.
Объём данных. Сколько ты отправил и получил в каждом направлении.

Вместе этого хватает, чтобы построить детальную картину. Провайдеры знают, когда ты стримишь видео, когда ты на видеозвонке, когда качаешь большие файлы, и примерно какие сервисы используешь.

Что реально приватно без VPN

Внутри HTTPS-сессии провайдер не видит:

Полный URL-путь (только домен)
Контент страницы
Отправки форм
Cookies
API-запросы внутри страницы

Так что они знают, что ты заходил на банковский сайт, но не на какую страницу. Знают, что ты использовал чат, но не с кем говорил и о чём. Это нижняя планка того, что HTTPS даёт.

Что провайдеры реально делают с этими данными

Продают рекламодателям

В США broadband privacy-правила FCC были отменены в 2017-м. Провайдеры могут продавать твою историю браузинга рекламодателям без явного согласия, и несколько это делают. Verizon, AT&T и Comcast — у всех были программы targeted-advertising, использующие ISP-уровень браузинг-данных. Данные «анонимизируются» перед продажей, но анонимизация browsing-данных в исследованиях обращается раз за разом.

В Великобритании провайдеры обязаны хранить connection records 12 месяцев по Investigatory Powers Act и предоставлять government agencies по запросу. Хранение обязательно; доступ не рекламируется, но хорошо задокументирован в transparency-отчётах.

В России Роскомнадзор и ФСБ имеют доступ к provider-логам через TSPU и СОРМ — система, обязывающая провайдеров хранить контент и метаданные на длительные сроки. По «закону Яровой» провайдеры обязаны хранить metadata до 3 лет и контент до 6 месяцев.

В ЕС GDPR даёт более сильные защиты, но провайдеры всё ещё хранят operational-логи и отвечают на запросы law enforcement по национальному законодательству, варьирующемуся по странам.

Троттлят определённый трафик

Провайдеры приоритизируют какой-то трафик над другим. Самые частые цели:

BitTorrent и другой P2P
Видео-стриминг в часы пик, особенно на тарифах нижнего уровня
Иногда игровой трафик на consumer-планах
Что угодно, что они распознают как конкурирующий сервис (например, провайдер, владеющий видео-сервисом, может троттлить Netflix)

Это технически нарушение net neutrality там, где net neutrality применима, и технически легально там, где нет. В США троттлинг легален, если раскрыт; многие провайдеры раскрывают мелким шрифтом и предполагают, что ты не прочитаешь.

Соответствуют государственным запросам

Запросы law enforcement к провайдерам — рутина. Five Eyes страны (США, UK, Канада, Австралия, Новая Зеландия) делятся разведданными, включая communications metadata. Объём запросов — сотни тысяч в год на крупного провайдера. Большинство обрабатывается без оспаривания.

Subpoena, search warrant или NSL (в США) позволяет law enforcement получить твои subscriber-записи, IP assignment history, connection logs и DNS query logs у провайдера. Им не нужно ломать твой компьютер; они могут спросить провайдера.

Инжектят рекламу (реже сейчас, но всё равно)

До-HTTPS-везде эры некоторые провайдеры инжектили рекламу в HTTP-ответы. AT&T и несколько мелких провайдеров были пойманы на этом в начале 2010-х. Практика реже сейчас, потому что большинство страниц HTTPS, но она всё ещё происходит на cleartext-краях (DNS-ответы редиректят на «search assist» страницы, например).

Как VPN меняет картину

VPN шифрует всё между твоим устройством и VPN-сервером. Провайдер видит:

Зашифрованный туннель к одному IP (VPN-серверу)
Протокол и порт туннеля
Сколько данных ты отправил
Как долго туннель был поднят

Они не видят:

Какие сайты ты посещал
DNS-запросы (происходят внутри туннеля, резолвятся VPN'овским DNS)
Контент любого трафика
Назначения, до которых ты дошёл после VPN-сервера

Они знают, что ты используешь VPN. Знают, сколько полосы потребил твой VPN. Не знают, что ты с ним делал.

Это убирает surveillance и traffic-shaping concerns на уровне провайдера. Перемещает доверие с провайдера на VPN-провайдера — поэтому политика логирования VPN-провайдера важна. VPN, который логирует всё — это просто другой провайдер с другой юрисдикцией.

Fexyn не логирует историю браузинга, DNS-запросы или контент трафика. Это точное обязательство, с мелким шрифтом.

VLESS Reality идёт на шаг дальше

Стандартный VPN говорит твоему провайдеру «ты используешь VPN» паттерном протокола. Пакеты WireGuard выглядят как WireGuard. Пакеты OpenVPN выглядят как OpenVPN. Провайдер знает, что ты туннелируешь, даже если не знает, что именно.

VLESS Reality (Fexyn Stealth) — другой. Он устанавливает настоящее TLS 1.3 соединение к настоящему публичному сайту вроде microsoft.com. Для провайдера трафик выглядит как HTTPS-сессия к microsoft.com. Тот же SNI, реальный сертификат от реального CA, правдоподобный bandwidth-профиль.

В странах, где «использование VPN» само по себе — флаг, это имеет значение. Провайдер не может сказать, что ты туннелируешь, без false-positive блокировки трафика к легитимным публичным сайтам. В России TSPU-инфраструктура регулярно троттлит обычные VPN-протоколы — но Stealth обычно проходит, потому что блокировать microsoft.com или cloudflare.com слишком дорого.

Как работает VLESS Reality · Почему это важно под DPI

Side-channel через DNS-утечки

VPN, который не полностью туннелирует DNS, оставляет открытый side channel. Даже с поднятым туннелем DNS-запросы могут утекать к провайдеру через OS-level shortcuts (Smart Multi-Homed Name Resolution на Windows, IPv6 fallback paths, IPv4-mapped queries). Тогда провайдер видит домены через DNS, даже если туннель прячет всё остальное.

Тестируй DNS-утечки независимо от того, какой VPN используешь. Если утечки появляются — почини.

Fexyn форсирует весь DNS через туннель через NRPT-правила на уровне ОС плюс per-protocol DNS-конфигурацию. Сочетание убирает обычные пути утечек.

Связанное чтение

Попробуй Fexyn бесплатно 7 дней. Провайдер продолжит видеть, что ты онлайн — перестанет видеть, что ты делаешь.