# Jak operátoři sledují mezinárodní provoz: technické aspekty limitů a blokování VPN
Ruští mobilní operátoři se připravují zavést limity na mezinárodní provoz a zpřísnit blokování VPN. Rozkládáme, jak se tyto opatření technicky realizují a jaké důsledky mohou mít pro uživatele a firmy.
Co vidí poskytovatel v zašifrovaném provozu
Současné standardy šifrování TLS 1.3 a HTTPS činí obsah provozu nedostupným pro analýzu operátory. Při použití HTTPS poskytovatel zaznamená pouze IP-adresu serveru, port připojení, objem přenášených dat a délku relace. Rozšíření SNI (Server Name Indication) v TLS-handshake umožňuje určit doménové jméno cílového serveru, ale ne konkrétní obsah. Například operátor uvidí požadavek na youtube.com, ale neví, jaké přesně video uživatel prohlíží. S implementací Encrypted Client Hello (ECH) se ani tato informace nestane dostupnou, což výrazně ztěžuje identifikaci provozu.
VPN-spojení představují zašifrovaný tunel mezi klientem a serverem. Poskytovatel zaznamená IP-adresu VPN-serveru, objem přenášených dat a charakter provozu, ale nemůže dešifrovat obsah. Typická řetěz: uživatel → zašifrovaný tunel → VPN-server → cílový zdroj. Při tom je provoz k známým VPN-poskytovatelům (NordVPN, Mullvad) snadno identifikovatelný podle IP-pula, ale obsah zůstává skrytý.
Zdroje „zahraničního“ provozu v ruském segmentu
Pojem „zahraniční provoz“ v kontextu ruské regulace často neodpovídá skutečné infrastruktuře. Klíčové faktory:
- CDN a cache servery: Do roku 2022 umisťoval Google Global Cache servery u ruských poskytovatelů a distribuoval YouTube a další služby z lokálních datových center. Odchod Google na konci roku 2025 vedl k přesměrování provozu přes Varšavu a Frankfurt, což formálně zvyšuje objem „mezinarodního“ provozu.
- Hybridní infrastruktura: Ruské služby (např. Ozon) mohou využívat AWS v Nizozemsku, zatímco Twitch a Samsung mají uzly v petrohradských datových centrech.
- Dynamická směrování: Volba doručovacího bodu závisí na nastavení DNS, přítomnosti lokální cache a stavech mezinárodních kanálů.
Tyto specifika činí klasifikaci provozu podle geografického kritéria technicky nekorektní. Data MSK-IX potvrzují: odchod velkých CDN zvýšil objem mezinárodního provozu o 30–60 % bez změny uživatelských návyků.
Metody detekce VPN provozu
Regulátoři používají víceúrovňovou soustavu identifikace:
- Základní metody:
- Porovnání IP s registry VPN-poskytovatelů
- Analýza standardních portů (OpenVPN: UDP 1194, WireGuard: UDP 51820)
- Kontrola TLS-otisků (fingerprinting)
- Hloubková analýza paketů (DPI):
- Statická analýza velikosti paketů a intervalů
- Detekce vzorů provozu (rovnoměrný proud u VPN vs. asymetrický u webových prohlížečů)
- Porovnání s referenčními profily protokolů
- Adaptiční technologie:
- Detekce maskování pod HTTPS (port 443)
- Identifikace nových protokolů (VLESS + XTLS)
Nicméně systémy DPI čelí kritickým omezením:
- Vysoká zátěž na zařízení při zpracování desítek tisíc pravidel
- Falešné spouštění na legální provoz (App Store, torrent-klienti)
- Nemožnost 100% přesnosti kvůli evoluci protokolů
Problémy realizace limitů na mezinárodní provoz
CGNAT a vícenásobní uživatelé
Nedostatek IPv4-adres vedl k masivnímu nasazení CGNAT (Carrier-Grade NAT). Jedna veřejná IP může obsluhovat stovky uživatelů přes řetěz: router (192.168.0.0/24) → poskytovatelský NAT (100.64.0.0/10). To znemožňuje přesné rozdělení provozu mezi přihlášky. Při zavedení limitu 15 GB se operátoři ocitnou v dilematu: jak účtovat za „navíc“ gigabajty, když provoz jde z sdílené IP?
Firemní VPN a rizika pro firmy
Omezení se dotknou nejen spotřebitelského segmentu. Vzdálení zaměstnanci používají firemní VPN pro přístup k interním systémům. Minicifry navrhuje „bílé seznamy“, ale:
- Neexistuje technická možnost odlišit firemní VPN od veřejného
- Falešné blokování paralyzuje obchodní procesy
- Chybí záruky proti chybám v oficiálních dokumentech
Reálná zátěž na uživatele
Limit 15 GB za měsíc odpovídá:
- 2 hodinám videa v 4K na YouTube
- 3–5 aktualizacím her ve Steam
- 50–70 hodinám audio streamingu
Při tom provoz k stejné službě může být někdy považován za lokální (přes CDN v Moskvě), jindy za mezinárodní (přes Frankfurt), což vytváří nepředvídatelnou zátěž na uživatele.
Co je důležité
- Technická neudržitelnost: Geografická klasifikace provozu ignoruje specifika CDN a hybridní infrastruktury.
- Systémové chyby: DPI-systémy nevyhnutelně blokují legální provoz kvůli falešným spouštěním.
- Rizika pro firmy: Firemní VPN a vzdálená práce budou ohroženy kvůli nemožnosti přesné identifikace.
- Ekonomický podtext: Tarifikace „mezinarodního“ provozu přenáší náklady operátorů na uživatele.
- Právní neurčitost: Chybějící normativní základ vytváří rizika náhlých změn pravidel.
Ekonomické a infrastrukturní důsledky
Analýza Piter-IX ukazuje, že podíl mezinárodního provozu činí asi 20 %, ale růst využívání VPN nutí operátory rozšiřovat kanály. Protože mezinárodní linky se platí v cizí měně, vytváří to dodatečný tlak na náklady. Nasazení DPI-systémů vyžaduje významné investice do zařízení, což operátoři kompenzují novými tarify.
Nicméně ekonomický model nezohledňuje klíčový faktor: limity stimulují přechod na lokální služby ne díky kvalitě, ale umělými bariérami. Jak ukazuje zkušenost RuTube, nucená monopolizace bez zlepšení uživatelského zážitku vede k nízké loajalitě. Efektivnějším řešením by bylo rozvoj vlastní CDN-infrastruktury a zlepšení lokálních služeb.
Technické doporučení pro vývojáře
- Optimalizace CDN: Používejte geolokaci přes API poskytovatelů pro směrování provozu přes lokální uzly.
- Šifrování SNI: Implementujte ECH pro ochranu doménových jmen před analýzou.
- Testování na CGNAT: Ověřujte fungování služeb v podmínkách Carrier-Grade NAT.
- Monitorování provozu: Analyzujte geografické rozložení požadavků pro predikci změn ve směrování.
- Příprava na DPI: Testujte provoz na kompatibilitu s hloubkovou analýzou paketů.
Závěr
Pokusy o regulaci prostřednictvím technických omezení ignorují fundamentální specifika internetové infrastruktury. Hranice provozu jsou rozmazané díky CDN, hybridní architektuře a dynamickému směrování. Blokování VPN neřeší problém přístupu k zakázanému obsahu, ale vytváří rizika pro firmy a legální uživatele. Perspektivnějším směrem by byl rozvoj lokální infrastruktury a zlepšení kvality domácích služeb, nikoli umělé omezení mezinárodní interakce.
— Editorial Team
Zatím žádné komentáře.