Почему туннель узнают по походке

Многие до сих пор думают, что VPN “палится” только по IP.
Мол, сменил сервер — и всё, ты невидимка.

Но сеть давно научилась распознавать не адрес.
Она распознаёт поведение.

Не “кто ты”.
А как ты идёшь.

1) IP — это маска. Fingerprint — это лицо

IP можно менять бесконечно.
Но трафик несёт отпечаток клиента:

структура TLS ClientHello

список cipher suites

порядок расширений

ALPN

supported groups

signature algorithms

Этот отпечаток называют fingerprint’ом.
И если он совпадает с известным профилем туннеля — поток классифицируется ещё до того, как ты что-то передал.

2) SNI и ALPN говорят о тебе больше, чем ты думаешь

Даже при TLS шифровании остаются метаданные.
Например:

SNI показывает, к чему ты подключаешься

ALPN показывает, каким протоколом ты говоришь (h2, http/1.1, h3)

И это часто достаточно, чтобы понять:
это обычный браузер… или что-то очень похожее на “туннель”.

3) Туннели палятся таймингом

Даже если всё шифровано, остаётся то, что не шифруется никогда:

частота пакетов

размер сегментов

burst-паттерны

характер keepalive

поведение при потере пакетов

Это как походка человека.
Ты можешь надеть другую куртку, но шаг останется твоим.

4) QUIC красивый, но подозрительный

HTTP/3 и QUIC работают поверх UDP.
И если сеть привыкла к TCP, то любой “странный UDP” автоматически становится объектом внимания.

QUIC выглядит быстро.
Но в некоторых сетях он выглядит ещё и как красный флаг.

5) Поэтому VPN чаще не блокируют. Его “обесценивают”

Самая удобная стратегия контроля — не ломать соединение.

А сделать так, чтобы оно стало бесполезным:

packet loss на уровне 1–3%

jitter

деградация окна TCP

падение throughput

И вот у тебя формально всё подключено.
Но пользоваться невозможно.

И пользователь сам делает вывод:
“VPN не работает”.

Хотя он работает.
Просто против него работает система.

Сеть не обязана видеть твой контент.
Ей достаточно увидеть твой силуэт.

Потому что современный контроль трафика — это не чтение данных.
Это распознавание поведения