2026'da Rusya'da gerçekten çalışan: TSPU'ya teknik bakış
Rusya'da hangi VPN gerçekten çalışıyor? Rus arkadaşın varsa veya Rus iş arkadaşlarınla çalışıyorsan muhtemelen şunu görmüşsündür: yıllardır kullandıkları bir VPN aniden bağlanmayı durdurur. Diğerine geçerler. Bir hafta çalışır. Sonra o da durur.
Bu tesadüf değil ve rastgele değil. Bu TSPU'nun (Tehditlere Karşı Mücadele Teknik Araçları) tam olarak konuşlandırılmak için yapıldığı şeyi yapması, ay ay daha iyi olması ve Roskomnadzor'un bunu ne kadar ileri götürmek niyetinde olduğu konusunda giderek daha açık hedefler yayımlaması.
İşte TSPU'nun gerçekte ne yaptığı, başarıyla ne blokladığı, Mayıs 2026'da hâlâ ne çalıştığı ve gidişatın nereye gittiği.
TSPU nedir ve trafiğini nasıl görür
TSPU 2019 egemen-internet yasası tarafından zorunlu kılınan, 2021'den beri her lisanslı Rus ISP'sinde dağıtılmış filtreleme donanımı ve yazılımı. ISP gateway'inde inline oturuyor. Rus ağından çıkan veya birine gelen her paket önce TSPU'dan geçer. Donanım ISP tarafından işletilir ama Roskomnadzor aparatının parçası olan Halka Açık İletişim Ağı İzleme ve Kontrol Merkezi (CoSDP) tarafından merkezi olarak yapılandırılır.
İşlevsel olarak TSPU bir deep packet inspection sistemi. Birkaç şey yapar:
Patern eşleştirme. TSPU bir protokol fingerprint kütüphanesi tutar. WireGuard'ın ilk handshake paketi her zaman 148 byte'tır spesifik bir yapıyla: 1-byte tip alanı, üç ayrılmış sıfır byte, 4-byte gönderici dizini ve 32-byte şifrelenmemiş ephemeral public anahtarı. TSPU bunu gerçek zamanlı eşleştirir. Tespit doğruluğu neredeyse %100.
Entropi analizi. Şifreli trafik yüksek entropiye sahip — byte'lar rastgele görünür, tanınabilir yapı yok. Normal HTTPS trafiği karışık entropiye sahip: öngörülebilir sertifika zincirleriyle yapılandırılmış TLS handshake, sonra karakteristik kayıt boyutlarıyla şifreli uygulama verisi. Shadowsocks bağlantısı paket birden yüksek-entropili. TSPU entropi profili herhangi bir bilinen meşru protokole uymayan akışları işaretler.
Aktif probing. TSPU şüpheli bağlantı gördüğünde, saniyeler içinde aynı hedef IP ve port'a kendi bağlantısını gönderebilir. O sunucudan yanıt meşru servisin döneceğinden farklıysa IP blok listesine eklenir.
İstatistiksel analiz. TSPU IP başına, ASN başına, bölge başına toplu davranışı izler. Tek bir Rus residential IP aniden meşru Rus-popüler servisleri barındırmayan bir VPS sağlayıcısına 50 uzun-ömürlü TLS bağlantısı açarsa, o paternin kendisi bir tespit sinyali olur.
Bunlar teorik yetenekler değil. Bugün, her Rus residential ve mobil ağdan gelen her bağlantıya karşı çalışıyor.
TSPU neyi blokladı
2026 Q1 itibariyle TSPU'nun her büyük Rus ISP'sinde başarıyla fingerprint ettiği ve blokladığı protokoller:
WireGuard. 2023'ten beri. 148 byte'lık handshake başlatma paketi değişmek için çok katı; bazı "obfuscated WireGuard" varyantları var (NordVPN'in NordLynx, Mullvad'ın standart yapılandırması) ama TSPU hepsini tespit eder. Rus ISP'den bağlantı 1-3 saniye içinde başarısız olur.
OpenVPN (TCP ve UDP). 2022'den beri artan doğrulukla. OpenVPN'in TLS handshake'inin ayırt edici zamanlaması var ve kontrol kanalı tanınabilir çerçeveleme formatı kullanır. OpenVPN-XOR ve obfs4 sarıcılar bile tespit edilir.
IKEv2 / IPsec / L2TP. ESP paket yapısı veya IKEv2 handshake ile tespit edilir. Bloklu.
Vision olmadan düz VLESS. Bu geç-2025 gelişmesi. TSPU genel VLESS akışlarını fingerprint etmek için yükseltildi. Reality gönderen ama Vision flow (xtls-rprx-vision) olmadan gönderen bazı sağlayıcılar şimdi de etkilendi, çünkü bu fingerprint'in eşleştiği TLS-in-TLS paternini ortadan kaldıran şey Vision. Düz VLESS, temel Reality ile veya olmadan, şimdi bloklu.
Shadowsocks. AEAD varyantları dahil. Entropi analizi yüksek-entropili akışları yakalar; aktif probing gerçek TLS handshake'inin yokluğunu yakalar.
SOCKS5. Handshake yapısıyla tespit edilir.
obfs4 ve meek. Tor pluggable transport'lar. Entropi ve zamanlama paternleriyle tespit edilir.
Büyük VPN markalarından çoğu "stealth" veya "obfuscated" mod. ExpressVPN'in Lightway, NordVPN'in obfuscation ile NordLynx'i, Surfshark'ın Camouflage'ı, ProtonVPN'in standart Stealth'i — değişen derecelerde patern-eşleşmiş. Bazıları hâlâ aralıklı çalışıyor; hiçbiri güvenilir değil.
Rus VPN kullanıcılarının sağlayıcılar arasında dolaşmaya devam etmesinin sebebi bu. Her büyük markanın birincil protokolü tespit edilebilir. Sansür-bypass özelliği olarak satılan "obfuscated" mod, TSPU'nun fingerprint edebileceğinden bir nesil geride.
Mayıs 2026'da hâlâ çalışan
Rus residential ve mobil ağlardan güvenilir şekilde handshake yapan protokoller:
Vision flow ile VLESS Reality. Bu yük taşıyan kombinasyon. Reality gerçek public host'a (microsoft.com, cloudflare.com, apple.com) gerçek TLS 1.3 handshake yapar ve o host'un gerçek sertifikasını iletir. Vision flow TLS-in-TLS tespit sinyalini ortadan kaldırır. Birlikte, trafik o host'a bağlanan normal tarayıcıdan istatistiksel olarak ayırt edilemez.
USENIX Security makalesi ve kendi sunucu telemetrimize göre, Mayıs 2026'da Rusya'da Reality+Vision handshake başarısı %95 civarında. Geri kalan %5 protokol tespitinden değil, spesifik VPS aralıklarındaki IP-itibar bloklamadan geliyor. VPN sağlayıcının kullandığı IP'in itibar paterni varsa (residential kullanıcılar stabil HTTPS sitesi de sunan VPS'e bağlanıyor), TSPU bazen işaretler. Çözüm: IP aralıklarını döndür, "temiz" IP alanı tutan sağlayıcıları tercih et.
Mimari detayını istiyorsan Reality üzerine uzun protokol rehberini yazdık.
NaiveProxy. Chrome'un gerçek ağ yığınını kullanarak gerçek bir backend'e HTTP/2 bağlantıları yapar. Trafik Chrome trafiğiyle byte-aynı çünkü kelimenin tam anlamıyla öyle. Reality'den daha az yaygın olarak dağıtıldı ama çalışıyor.
Hysteria 2. Güçlü maskeleme ve kayıplı ağlarda düşük ek yüklü QUIC-tabanlı protokol. Bazı Rus ISP'leri Hysteria'yı diğerlerinden daha agresif throttle eder; başarı oranı değişir ama genelde %70'in üzerinde.
ShadowTLS. Reality'ye benzer ruhta public host'a gerçek TLS handshake yapar. Reality'den daha az olgun ama TSPU üzerinde çalışıyor.
Patern net. Gerçek bir public host'a gerçek TLS 1.3 handshake yapan her şey TSPU'da hayatta kalır. Yapmayan her şey — yaratıcı obfuscation ile bile — sonunda fingerprint edilir.
Fexyn'in otomatik geçişi
Kullanıcıların bunların hiçbirini bilmesini beklemiyoruz.
Fexyn Bolt WireGuard uygulamamız. Fexyn Stealth VLESS Reality+Vision uygulamamız. Fexyn istemcisi önce Bolt'u dener çünkü daha hızlı. Ağ Bolt'u bloklarsa veya throttle ederse istemci otomatik olarak Stealth'e geçer. Kullanıcının hiçbir şey yapılandırması gerekmez.
Rusya'da otomatik tespiti beklemek yerine uygulama ayarlarında Stealth'i varsayılan olarak pin'lemeyi tavsiye ediyoruz. Bu başarısız-Bolt-deneme adımını atlar ve Bolt'un çalışmadığını zaten bildiğimiz ağlarda daha hızlı bağlanır.
Tam mimari protokol rotasyonu için helper service notlarında belgelenmiş. Kısa versiyon: her protokolün kendi bağlantı durum makinesi var, rotasyon engine Bolt-arızasını kullanıcı uyarısı olmadan Stealth'e yükseltme sinyali olarak ele alır ve TSPU evrildikçe rotasyon mantığının iyileşmesi için protokol başına sunucu-bölge başına başarıyı ölçeriz.
Roskomnadzor'un sırada deneyebilecekleri
2026 Roskomnadzor bütçesi kalıcı VPN-sansür altyapısı için yılda yaklaşık 20 milyar ruble içeriyor. Yayımlanmış hedef 2030'a kadar VPN uygulamalarının %92'sini bloklamak. Gidişat tırmanma. Sonraki adımların bazıları öngörülebilir:
Daha agresif IP-itibar puanlama. TSPU bunun bir kısmını zaten yapıyor, VPN dağıtımlarına uyan paternleri gösteren IP aralıklarını blokluyor. Bunu genişletmek ucuz ve protokol-tespit sorununu tamamen önler. Savunma sağlayıcı tarafı: "temiz" IP aralıkları sürdür, IP'leri döndür, ideal olarak bilinen VPS aralıkları yerine residential veya iş-sınıfı IP alanı kullan.
Kamuflaj-host beyaz listeleme. TSPU onaylanmış kamuflaj host'larının (Microsoft, Cloudflare, Apple) bir listesini tutabilir ve onlara trafiği tamamen bloklayabilir (siyasi olarak pahalı — Rus işletmeleri bu servislere bağımlı) veya işaretlenmiş kamuflaj host'larına TLS oturumlarının daha derin denetimini yapabilir. Daha derin denetim yolu TLS oturumunu kırmayı gerektirir, bu Rusya'nın sınırlı biçimde denediği ama ölçekte denemediği İran-tarzı devlet-CA-enjeksiyonu hareketini gerektirir.
İstatistiksel zamanlama analizi. Reality+Vision paket seviyesinde gerçek Microsoft gezinme oturumundan istatistiksel olarak ayırt edilemez, ama her gün saatlerce yüksek throughput'ta sürekli Microsoft bağlantıları üreten tek kullanıcı tipik Microsoft kullanıcı davranışına uymayan davranışsal bir patern. Bu tür analiz önemli compute gerektirir ve birçok yanlış pozitif üretir, bu yüzden henüz dağıtılmadı.
Tünel içinde uygulama-başına bloklama. TSPU VPN üzerinden tunelendirildiklerinde bile bilinen WhatsApp, Signal ve Telegram trafik paternlerini zaten tespit edebilir — çünkü iç trafik hâlâ zamanlama ve paket-boyutu imzalarına sahip. Şimdiye kadar bu yalnızca yüksek-profilli hedeflere karşı seçici olarak kullanılıyor. Daha geniş dağıtım TSPU'nun compute maliyetini dramatik şekilde artıracak ve henüz operasyonel değil.
Reality'nin mimari avantajı aldatmacanın yapısal olması. Sahte handshake yok, sahte sertifika yok, sahte hedef yok. Aldatmaca aksi takdirde-gerçek bir TLS handshake'inin içine gizlenmiş küçük bir kriptografik materyal parçası. Tespit etmek için TSPU'nun TLS'in kendisini kırması veya her kamuflaj host'unun her meşru kullanıcısının davranışsal modelini sürdürmesi gerekir. İkisi de ucuz değil.
Bunun senin için anlamı
Rusya'da yaşıyorsan veya oraya seyahat ediyorsan pratik cevap basit. Vision flow ile VLESS Reality gönderen VPN kullan. Varsayılan protokol olarak pin'le. Faturalama için kripto kullan çünkü Rus kullanıcılar için Batılı servislerde kart ödeme altyapısı bozuk. VPN'ini ihtiyaç duymadan önce kur, çünkü Rusya içinde indirmen gerekirse VPN sağlayıcı web siteleri her an bloklanır.
Rus kullanıcılar için VPN servisi işletiyorsan — ve birçok self-hoster işletir — XTLS Reality issue tracker'a göz at, Reality+Vision'ı (düz Reality değil) sürdür, dönen yüksek-trafik kamuflaj host'ları kullan ve "temiz" IP alanını tercih et.
Bunu eskiden kullandığın bir VPN Rusya'da çalışmayı durdurduğu için okuyorsan — bu sistemin tasarlandığı gibi işliyor olması. Düzeltme farklı bir sunucu değil, farklı bir protokol. Çoğu büyük marka (NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad) şu anda VLESS Reality göndermiyor. Gönderen daha küçük alt küme (Astrill, Fexyn, birkaç self-host stack'i) 2026'da çalışan set.
Fexyn'i 7 gün ücretsiz dene. Stealth (Vision flow ile VLESS Reality) her planda dahil. Rusya için kripto-yalnızca faturalama (2.99 USD/ay, Tier 4). Rusya ülke sayfasında tam kurulum detayı var. Protokol rehberi Vision ile Reality'nin diğer her şey başarısız olduğunda neden çalışmaya devam ettiğini açıklar.