Протоколы в whitelist
4
SSH · RDP · SMTP · DNS — подтверждённые каналы, пропускаемые ТСПУ даже к заблокированным IP
Ключевая уязвимость
SSH
Полный bi-directional tunnel без ограничений по объёму. TCP + UDP через relay. Real-time приложения подтверждены.
Модель фильтрации
Whitelist
ТСПУ фильтрует по протоколу, не по порту. Неизвестный протокол = мгновенный дроп. Обфускация бесполезна.
Findings
8
Документированные результаты тестирования за 07–08 апреля 2026. Все воспроизводимы.
01
Карта протоколов — реакция ТСПУ к заблокированному IP
| Протокол | Порт | Статус | Пропускная способность | Примечание |
|---|---|---|---|---|
| SSH | любой | WHITELIST | Bi-directional, без ограничений. Основной туннель. | |
| RDP | 3389 | WHITELIST | Полная сессия подтверждена. Fallback #1. | |
| SMTP | 25 | THROTTLE ↓ | Upload ∞, download throttled. Chunked = 134 KB/s. | |
| DNS | 53 | WHITELIST | Мелкие пакеты. DNS tunnel fallback. | |
| IMAP | 143 | THROTTLE ↓ | Chunked reconnect обходит дросселирование. | |
| POP3 | 110 | THROTTLE ↓ | Аналогично IMAP/SMTP — chunked workaround. | |
| FTP | 21 | THROTTLE ↓ | Handshake ок, data дросселируется. | |
| HTTPS | 443 | BLOCKED | TCP connect fails. TLS = мгновенный дроп. | |
| HTTP | 80 / alt | BLOCKED | Дроп после ~16KB на любом порту. | |
| Unknown | любой | BLOCKED | Рандомные данные = мгновенный дроп. Обфускация бесполезна. | |
| QUIC/UDP | 443 | BLOCKED | Hysteria/QUIC не работает к забаненным IP. |
* chunked reconnect — короткие сессии ~25KB, reconnect, повторение. Обходит порог дросселирования.
02
Модель фильтрации ТСПУ — визуализация
Принятие решения ТСПУ для заблокированного IP — первые пакеты сессии
Client
Клиент
→
ТСПУ / DPI
Protocol Detection Engine
SSH handshake?
→ PASS
RDP handshake?
→ PASS
SMTP/DNS?
→ THROTTLE↓
TLS ClientHello?
→ DROP
HTTP request?
→ DROP
Unknown bytes?
→ DROP
→
VPS
Ghost Tunnel
03
Ключевые findings — хронология
FINDING #1 · 07 APR
SSH не блокируется к забаненным IP
SSH (порт 22) к IP с полной блокировкой HTTPS/QUIC/OpenVPN работает свободно. SOCKS5 tunnel через SSH открывает Instagram, Telegram. Подтверждено curl + реальными приложениями.
FINDING #3 · 08 APR
IP не заблокирован на L3
Ping, произвольные TCP-порты, SSH — всё работает к "забаненному" IP. ТСПУ не блокирует IP-адрес целиком, только конкретные протоколы.
FINDING #5 · 08 APR
ТСПУ = WHITELIST модель
Рандомный поток (/dev/urandom) → мгновенный дроп. Не blacklist (блокировка известных), а whitelist (пропуск только распознанных). Shadowsocks, кастомные протоколы бесполезны.
FINDING #8 · 08 APR
Фильтрация по протоколу, не по порту
SSH работает на портах 22, 443, 587, 3389, 8443. HTTP дропается на любом порту. ТСПУ распознаёт handshake протокола и принимает решение по нему.
FINDING #6-7 · 08 APR
SMTP и RDP — дополнительные каналы
SMTP: upload на полной скорости, download дросселируется. Chunked reconnect обходит дроссель (134 KB/s). RDP: полная сессия без ограничений — fallback #1.
FINDING #2 · 07 APR
IPv6 предположительно не фильтруется
Публичные данные: IPv6 через Hurricane Electric (he.net) обходит блокировки YouTube/Telegram. Нашими тестами не подтверждено — нет IPv6 на тестовой машине.
04
Стратегия реагирования — Ghost Tunnel
Primary: SSH Tunnel
tun2socks → SOCKS5 → SSH multiplexed channels → VPS → internet. TCP + UDP через relay. Подтверждён для real-time приложений. Распределение по портам: 22, 443, 8080.
P1 · Production Ready
Fallback #1: RDP
Полный bi-directional channel. Relay на порту 3389 для ТСПУ выглядит как удалённый рабочий стол. Уже подтверждён полной сессией xrdp.
P2 · Validated
Fallback #2: SMTP Chunked
Upload ∞, download через chunked reconnect ~134 KB/s. Маскировка под почтовый сервер. Годится для текста, мессенджеров при блокировке SSH.
P3 · Experimental
05
Почему конкуренты не работают
| Решение | Метод | Статус | Причина отказа |
|---|---|---|---|
| Shadowsocks | Рандомный шум, нет handshake | НЕ РАБОТАЕТ | Unknown протокол = мгновенный дроп |
| V2Ray / VMess | Маскировка HTTP/WS | НЕ РАБОТАЕТ | HTTP = дроп после ~16KB |
| VLESS Reality | Имитация TLS к реальному сайту | НЕ РАБОТАЕТ | TLS = дроп к забаненному IP |
| Trojan | Маскировка HTTPS | НЕ РАБОТАЕТ | TLS к забаненному IP = дроп |
| Hysteria2 | QUIC-based | НЕ РАБОТАЕТ | QUIC блокируется к забаненным IP |
| Ghost Tunnel (SSH) | SSH whitelist protocol | РАБОТАЕТ | SSH в whitelist ТСПУ. Не может быть заблокирован без разрушения инфраструктуры. |
06
Готовность к новому этапу блокировок
Overall Readiness Level
87%
Primary channel validated · 2 fallbacks ready · IPv6 pending
✓
SSH Tunnel
✓
RDP Fallback
◐
SMTP Chunked
○
IPv6 Test