Что такое устойчивость к цензуре

Устойчивость к цензуре — свойство инструмента или протокола, делающее его трудно блокируемым враждебной сетью. Обычный VPN может быть устойчив к цензуре в одной разрешительной сети и бесполезен в другой враждебной — устойчивость зависит от того, как инструмент падает, когда сеть активно пытается его сломать.

Ключевое: устойчивость к цензуре — не про неотличимость для случайного наблюдателя. Это про неотличимость от трафика, который цензор не хочет блокировать.

Что цензоры на самом деле делают

Государственная сетевая цензура сошлась на маленьком наборе техник:

1. DNS-poisoning. Возвращать неправильные ответы для заблокированных хостов. Дешевле всего. Побеждается DNS-over-HTTPS или своим резолвером.
2. IP-блокировка. Дропать пакеты к известным IP VPN-серверов. Просто, если VPN не ротирует адреса.
3. DPI по отпечатку протокола. Распознавать WireGuard, OpenVPN и т.д. по форме пакета, троттлить или дропать. Иран, Россия (через TSPU), Китай, Турция — все так делают.
4. DPI по отпечатку handshake. Распознавать даже обфусцированные VPN по структуре TLS-handshake. Отличает фейковый TLS от настоящего браузерного.
5. Активное зондирование. Отправлять unsolicited трафик к подозреваемым VPN-серверам; если они отвечают как VPN — блокировать. Известно, что Китай это делает.
6. Whitelist'инг. Сильнейшее. Блокировать всё, кроме одобренного списка known-safe назначений. Сложно развернуть в масштабе, но возможно для конкретных сетей.

Протокол "устойчив к цензуре" в той степени, в которой переживает все из них.

Что работает

Не так много по отдельности. Важна комбинация:

• Настоящие TLS-handshake'и к настоящим публичным сайтам (VLESS Reality). Побеждает DPI по отпечатку handshake, потому что handshake настоящий. Побеждает активное зондирование, потому что зондирование показывает обычный HTTPS-сервер с настоящим сертификатом. Переживает whitelist-режимы, если handshake-хост в whitelist'е.
• Per-user IP rotation. VPN-провайдеры, ротирующие exit IP быстрее, чем цензоры могут их blacklist'ить.
• Несколько протоколов. Когда один получает отпечаток, fallback на другой, пока команда чинит сломанный. Fexyn ротирует через Bolt, Stealth и Secure именно по этой причине.

Что не работает, несмотря на маркетинг

• "Stealth mode" / "обфускационные" обёртки, подделывающие TLS-handshake. Получают отпечаток через месяцы после массового деплоя.
• Domain fronting через CDN. Работало недолго. Major CDN (Google, AWS, Azure) закрыли это в 2018-2020, потому что использовалось и легитимными circumvention-инструментами, и злоупотреблениями.
• Кастомные UDP-протоколы, заявляющие "необнаружимость". Они необнаружимы, пока кто-то не сделает отпечаток. Потом блокируются.

Где это важно

На уровне страны: Иран, Китай, Россия (TSPU интенсифицируется), Туркменистан, Беларусь. Сети, где стандартные протоколы VPN просто не работают, где нужна обфускация трафика, переживающая профессиональный DPI.

На уровне сети: корпоративные сети с агрессивной фильтрацией, школьные и университетские сети, отели с DPI для "fair use".

В России TSPU теперь блокирует более 469 VPN-сервисов и регулярно расширяет блокировки. Бюджет 2,27 млрд рублей, выделенный Роскомнадзору на AI-фильтрацию трафика, означает, что система продолжает развиваться.

Что Fexyn поставляет для этого

Fexyn Stealth — это уровень устойчивости к цензуре. VLESS Reality, настоящие TLS-handshake'и к настоящим публичным сайтам, неотличимые от обычного HTTPS для цензора.

Это не магия. Есть 24-часовые окна во время крупных событий цензуры, когда всё формируется жёстче, и даже Stealth работает медленнее. Есть сети, где активное зондирование в комбинации с whitelist'ингом блокирует всё. Мы честны об этом в руководстве по VPN для Турции и обходе цензуры в 2026.

Для журналистов, активистов и пользователей в репрессивных режимах — это протокол, который имеет значение. Попробуй Fexyn бесплатно 7 дней и проверь на своей конкретной сети — пробный период ничего не стоит и говорит правду.