DPI-фильтрация у российских провайдеров: что происходит с вашим трафиком YouTube тормозит у одного провайдера и летит у другого — это не случайность. За каждым сбоем стоит конкретный технический механизм, который можно измерить. Последние два года любой, кто работает с распределёнными командами или просто следит за корпоративной инфраструктурой, замечает одну странность: один и тот же сервис ведёт себя по-разному в зависимости от провайдера, региона, типа подключения. Discord висит на мобильном, но работает на проводе. YouTube открывается в офисе, но не открывается у сотрудника дома. Поддержка разводит руками — «у нас всё работает». Это не мистика и не случайные сбои. За каждой такой деградацией стоят вполне конкретные технические механизмы — DPI-фильтрация. И, что важно для меня как CIO, их можно идентифицировать. Как именно — разберу на основе материала с Habr, где автор под ником hyperion-cs разложил по полочкам методы фильтрации и инструменты для их детектирования. ▍ Что такое DPI и почему «замедление» — это упрощение Deep Packet Inspection — класс сетевых технологий, при которых трафик анализируется не только по заголовкам IP и портам, но и по содержимому пакета на уровне приложений. Современный DPI способен по особенностям TLS-рукопожатия определить, к какому именно сервису обращается клиент — даже не зная IP назначения. И применить политику: пропустить, замедлить, сбросить. Когда в новостях пишут «провайдер замедлил YouTube» — это журналистское упрощение. Технически провайдер применяет один из нескольких методов, и симптомы у пользователя выглядят похоже («сайт не открывается»), а вот природа проблемы — совершенно разная. Это важно понимать, потому что диагностика и решение в каждом случае свои. ▍ Пять методов фильтрации которые реально используются 1. Блокировка по IP-подсетям (CIDR-вайтлисты). Регулятор передаёт оператору список разрешённых подсетей. Трафик к IP вне этого списка не пропускается. Чаще встречается на мобильных операторах в определённых тарифах — жёсткая форма, без обиняков. 2. TCP 16-20 (rps-разрыв). DPI пропускает первые 16–20 пакетов установленной TLS-сессии, анализирует SNI — имя хоста в заголовке. Если хост в чёрном списке — отправляет RST-пакет обеим сторонам. Соединение разрывается. Клиент видит это как зависание или обрыв. По данным Habr, именно этот метод — основной механизм «замедления» YouTube в 2024–2025 годах. 3. Подмена DNS-ответов. Запрос к DNS перехватывается на уровне провайдера, вместо реального IP возвращается заглушка или 0.0.0.0. Старый метод, легко обходится через DNS-over-HTTPS, но всё ещё применяется как первый рубеж. 4. SNI-блокировка. В TLS-рукопожатии поле Server Name Indication передаётся в открытом виде до установки…

— ВКонтакте Одноклассники Дзен Telegram Habr TenChat LinkedIn