俄罗斯数字发展部发布了 VPN 检测指南——其中说了些什么

两句话新闻

俄罗斯商业咨询日报（RBC）获得了俄罗斯数字发展部关于 VPN 服务检测指南的副本。该文件已分发给与俄罗斯大型互联网公司（超过20个平台）会议的参与者，并指示在4月15日前限制使用 VPN 的用户访问。

为什么优先考虑移动设备和应用程序

该指南指出，超过一半的用户设备是运行 Android 和 iOS 的移动设备，而大约80%可用于检测规避工具的应用程序都安装在这些设备上。因此，建议从 Android 和 iOS 设备开始实施 VPN 检测机制。

VPN 使用情况的三阶段检测

公司应分三个阶段对用户设备上已开启的 VPN 进行检测：

• 阶段1：确定设备的 IP 地址，并将其与被认为是俄罗斯的 IP 地址以及俄罗斯联邦通信、信息技术和大众传媒监督局（Roskomnadzor）已屏蔽的 IP 地址列表进行比较。
• 阶段2：通过自有应用程序（如果安装在同一设备上）检查设备上规避屏蔽工具的使用情况。
• 阶段3：检查在非 Android 和 iOS 操作系统（Windows, macOS 等）设备上 VPN 的使用情况。

材料中举例说明：如果用户的 IP 地址所示国家或地区与俄罗斯不符，或者与俄罗斯联邦通信、信息技术和大众传媒监督局（RKN）之前屏蔽的地址相符，或者用户的国家经常变化，这将是屏蔽的迹象。然而，这种迹象需要通过第二或第三阶段的检测来确认。

为什么 iOS 更难检测 VPN

该指南明确指出，在 Apple 的 iOS 设备上执行第二阶段检测很困难，因为“在 iOS 上，对系统参数的访问受到严格限制”。iOS 的隐私和安全政策规定，第三方应用程序是隔离的，不能收集或修改存储在其他应用程序中的信息。

对于 Android，情况则简单得多：它提供了 ConnectivityManager 和 NetworkCapabilities 系统，允许应用程序查询活动网络的参数，并确定当前的互联网流量是否通过 VPN。

VPN 检测困难或不可能的场景

该指南列出了难以或无法检测到规避工具的情况：

• 路由器上的 VPN —— 如果 VPN 在路由器上配置，设备本身没有本地痕迹。
• 虚拟机或容器中的 VPN —— 在 VM/容器内部署会使检测变得困难。
• 普通提供商的代理服务器 —— 如果代理的 IP 地址是家庭提供商的，则无法通过数据库识别它们。
• 分流隧道（Split tunneling）—— 当只有选定应用程序的流量通过 VPN 时，仅通过一个活动网络进行检测是不够的。
• CDN 和全球服务 —— 内容分发网络和全球服务可以在不使用 VPN 的情况下扭曲位置。
• 新的 VPN 服务 —— 它们的出现速度快于 IP 地址信誉数据库的更新速度。

监测建议

该指南还建议不要对用户设备上的 VPN 状态进行持续监测，因为这“将对流量消耗和电池续航产生负面影响”。

结论以及这对用户意味着什么

俄罗斯数字发展部制定了分阶段的 VPN 检测程序，重点关注 Android 和 iOS 移动平台。然而，iOS 的技术限制以及多种规避场景（路由器、VM、分流隧道、CDN 等）显著降低了检测的可靠性。VPN 使用的迹象需要在后续检测阶段进行确认，而不是在首次发现时自动屏蔽。

如果您担心审查、监控或地理限制，使用可靠的 VPN 仍然是保持访问和隐私的方法之一。像 Doppler VPN 这样的 VPN 可以帮助绕过屏蔽并保护流量，但重要的是要考虑当地法律和风险。