Что такое DPI (deep packet inspection)

Deep packet inspection — DPI — это когда сетевое оборудование не просто маршрутизирует пакет, а читает его. Свитч или фаервол вскрывает payload, смотрит на байты внутри и пытается определить, какое приложение или протокол их сгенерировал. После чего действует на основе того, что нашёл: троттлинг, блокировка, логирование, пропуск.

DPI — это слой, на котором провайдеры троттлят BitTorrent. Это слой, на котором корпоративные фаерволы реализуют "никакого Netflix в рабочее время". И это слой, на котором государственные цензоры блокируют VPN, когда пользователь думал, что туннелирует обход ограничений.

Как DPI определяет трафик

У каждого протокола есть отпечаток. У DPI-софта есть библиотека таких отпечатков, и он сопоставляет с ней пакеты.

Несколько примеров:

• WireGuard — UDP, характерный handshake с типами сообщений 1-4, фиксированные длины сообщений в известных диапазонах.
• OpenVPN — TLS-handshake с характерным таймингом плюс специфичный паттерн контрольного канала.
• IPSec/IKEv2 — UDP/500 и UDP/4500 с очень узнаваемой структурой handshake.
• Стандартные "обфускационные" обёртки — TLS-handshake структурно отличается от настоящего браузерного (тайминг, распределение padding, порядок расширений).

Каждый отпечаток маленький и дешёвый в проверке. Один DPI-бокс может фингерпринтить миллионы потоков в секунду на обычном железе.

Почему DPI трудно победить

Завернуть VPN-трафик во что-то, похожее на HTTPS — очевидный ход, и именно это делают большинство "обфускационных" режимов. Проблема: у TLS-handshake есть свои отпечатки. Порядок расширений, выбор cipher suites, поведение padding — всё это формирует паттерн, который DPI может сопоставить.

В Иране, России, Турции — везде блокировали конкретные паттерны TLS-handshake, ассоциированные с потребительской VPN-обфускацией. Гонка вооружений идёт постоянно: новый отпечаток, добавленный в железо DPI, блокирует поколение обфусцированных VPN до их обновления.

В России TSPU (технические средства противодействия угрозам) разворачивается всё агрессивнее, и Роскомнадзор регулярно обновляет блокировки протоколов VPN. К началу 2026 года заблокировано более 469 VPN-сервисов.

Как VLESS Reality обходит DPI

VLESS Reality структурно отличается. Вместо генерации TLS-handshake, который выглядит как настоящий, она делает реальный TLS 1.3 handshake к реальному публичному сайту. Сертификат — это настоящий сертификат, который сайт реально отдаёт. SNI — настоящий SNI. Тайминг handshake — то, что выдаёт настоящий TLS 1.3.

DPI видит соединение к microsoft.com с настоящим сертификатом microsoft.com, неотличимое от любого другого браузера, открывающего microsoft.com. Чтобы заблокировать, цензору пришлось бы заблокировать microsoft.com — что слишком дорого, потому что от него зависит слишком много других вещей.

Подробнее в Deep packet inspection, объяснение.

Что это значит для пользователей

Если твоя сеть фильтруется через DPI (Россия под TSPU, Турция под BTK, Китай под GFW, Иран), стандартные протоколы VPN часто не работают. Соединения обрываются, throughput падает до уровня dial-up, или handshake получает reset.

Fexyn поставляет VLESS Reality как Fexyn Stealth именно для таких сетей. Попробуй бесплатно 7 дней и проверь, проходит ли он через твоё конкретное соединение.