Что интернет-провайдер может узнать о тебе и почему VPN не спасает

Есть два типа людей. Первые уверены, что провайдер сидит у них над плечом и читает каждое сообщение, каждую фотку. Вторые считают, что HTTPS решает все проблемы и делает их невидимыми. Оба ошибаются.


Провайдер не заглядывает в ваши чаты Telegram. Но он видит, что вы открыли Telegram, когда, сколько трафика ушло и на какой IP. И этих данных хватает, чтобы составить полный профиль.


Разберёмся без легенд - что реально видно провайдеру, что он хранит, и где ваша безопасность иллюзорна.


Что видно без шифрования


Если сайт использует HTTP вместо HTTPS - провайдер видит абсолютно всё: URL, содержимое страниц, формы, cookies. Да, в 2026 почти все сайты перешли на HTTPS, но старые форумы, панели админки, IoT-устройства до сих пор «болтают открытым текстом».


DNS без шифрования - та же история. Каждый запрос провайдер видит в чистом виде: какой домен, когда и сколько раз. Именно по этим данным блокируют сайты через DNS и IP.


Что видно с HTTPS


HTTPS скрывает содержимое: провайдер не видит, что вы пишете, какие файлы скачиваете. Но он видит метаданные:

• IP сервера - к кому вы подключились
• SNI (Server Name Indication) - имя сайта до шифрования
• Объём трафика - сколько передали/скачали
• Время и продолжительность сессии
• DNS-запросы - если пользуетесь провайдерским DNS

Иными словами, он не знает, что вы делали на сайте, но знает, что вы были там в 23:47, сидели 12 минут и сожрали 3 МБ.


SNI - главный источник утечки. Encrypted Client Hello (ECH) решает это, но в 2026 массово пока не работает. Cloudflare поддерживает, но остальные сайты далеко не все.


СОРМ - как это работает


СОРМ (Система Оперативно-Розыскных Мероприятий) в России работает в трёх поколениях:

• СОРМ-1 - телефонные звонки, с 90-х
• СОРМ-2 - интернет-трафик: IP, email, данные сессий
• СОРМ-3 - полный сбор метаданных: биллинг, NAT, RADIUS, DPI

По закону провайдер хранит метаданные 30 дней, содержимое - 6 месяцев. На практике данные хранят меньше, но метаданные - точно.


Оборудование СОРМ есть у каждого лицензированного провайдера. Установка за счёт провайдера, доступ к данным - у ФСБ, оператор уведомлен не будет. В СОРМ-3 попадает всё: кто, когда, куда, с какого устройства, сколько трафика. Профиль абонента целиком.


ТСПУ - блокировки на стероидах


ТСПУ (Технические Средства Противодействия Угрозам) - это DPI Роскомнадзора на провайдерских сетях. Он определяет:

• Тип протокола: OpenVPN, WireGuard, Shadowsocks, VLESS, L2TP, SOCKS5
• IP назначения
• Поведение трафика - даже зашифрованный

На февраль 2026 ТСПУ уже заблокировал 469 VPN-сервисов. VLESS начали резать с декабря 2025 - протокол считался «невидимым», но ТСПУ научился вычислять его по косвенным признакам. В планах AI-система за 2,3 млрд рублей для автоматической блокировки VPN.


DPI - глубокий разбор пакетов

• Нешифрованный трафик - всё открыто
• Шифрованный - DPI видит: размер и распределение пакетов, тайминги, TLS-хендшейк, паттерны протоколов

OpenVPN определяется моментально, WireGuard чуть сложнее. Даже обфусцированные протоколы оставляют статистические отпечатки. Системы вроде Rohde & Schwarz PACE 2 умеют вычислять Tor через obfs4-мосты. Не идеально, но достаточно для флагирования.


VPN - что реально скрывает


VPN шифрует трафик между вами и сервером:

• Провайдер видит факт подключения, IP VPN-сервера, время и объём трафика
• НЕ видит сайты, скачанное, DNS-запросы (если нет утечек)

Но VPN - это перенос доверия: вместо провайдера ваш трафик видит VPN-провайдер. Логи ведутся? Разницы нет. Утечки WebRTC, DNS, IPv6, сбой kill switch - провайдер всё увидит. И ТСПУ определяет факт использования VPN.


Tor - лучше, но не панацея


Tor шифрует трафик в три слоя. Провайдер видит только подключение к входной ноде. Проблемы:

• Подключение к Tor заметно
• Guard-ноды публичны
• DPI уровня ТСПУ вычисляет obfs4
• Exit-нода видит трафик без HTTPS
• Скорость страдает

Snowflake, WebTunnel и другие новые мосты сложнее выявить, но это вопрос времени.


DNS - тихие утечки


UDP DNS 53 порт - всё в открытом виде. Даже с HTTPS провайдер видит ваши запросы.


Решения:

• DNS-over-HTTPS (DoH) - маскируется под обычный HTTPS
• DNS-over-TLS (DoT) - шифрует DNS, но порт 853 виден

DoH предпочтительнее. VPN обычно закрывает DNS-трафик, если нет утечек.


Что реально защищает

• От провайдера: HTTPS (содержимое), VPN (всё кроме факта подключения), Tor (всё кроме факта подключения), DoH (DNS)
• От СОРМ/ТСПУ: обфусцированные протоколы, Tor через мосты, кастомные серверы за границей

Что не защищает

• Режим инкогнито
• Нешифрованные прокси
• Бесплатные VPN (логи, продажа трафика)

Главное правило - провайдер всегда видит факт подключения. Полная невидимость невозможна. Задача - чтобы факт подключения не был привязан к конкретному действию.


Вопросы - кидайте, разберём по пунктам)

Серьёзно, кто верит, что HTTPS делает невидимым - welcome в клуб наивных Главное минимизировать утечки, шифровать DNS и не верить, что трафик просто исчез.