Desvendando a Filtragem DPI de Provedores Russos: Como Funciona e Como Detectar com Ferramentas Open Source
Este artigo explora os mecanismos técnicos por trás da filtragem Deep Packet Inspection (DPI) utilizada por provedores de internet na Rússia. Analisamos como diferentes métodos de bloqueio e desaceleração de tráfego funcionam e apresentamos ferramentas open-source para que usuários e pesquisadores possam identificar essas práticas em suas próprias conexões.
MundiX News·13 de maio de 2026·10 min de leitura·👁 6 views
Nos últimos anos, usuários da internet na Rússia têm percebido diferenças significativas na qualidade da conexão dependendo do provedor ou até mesmo do tipo de acesso. Enquanto alguns serviços como YouTube ou Discord funcionam perfeitamente em uma rede, em outra podem apresentar lentidão ou indisponibilidade. Essa inconsistência, que pode parecer aleatória, é, na verdade, resultado de mecanismos técnicos específicos empregados pelos provedores de internet. Este artigo se aprofunda nesses métodos, utilizando o projeto open-source dpi-checkers como ferramenta de análise para entender o que acontece com o tráfego em nível de rede (L4) e como identificar a filtragem aplicada pelo seu ISP.
O conceito de Deep Packet Inspection (DPI) refere-se a tecnologias de rede que analisam o conteúdo dos pacotes de dados, indo além das informações de cabeçalho L3/L4 (como endereços IP e portas). Um sistema DPI moderno pode identificar o serviço ao qual um cliente está se conectando, mesmo sem conhecer o IP de destino, analisando características do handshake TLS. Com base nessa análise, políticas podem ser aplicadas, como permitir o tráfego, desacelerá-lo ou descartá-lo. As notícias frequentemente simplificam isso como "provedores desacelerando o YouTube", mas a realidade técnica é mais complexa. Existem diversas técnicas empregadas, cada uma com sintomas distintos para o usuário. Entre os métodos observados no segmento russo, destacam-se:
Bloqueio por Sub-redes IP (CIDR Whitelists): O regulador fornece uma lista de sub-redes permitidas. Se o IP de destino não estiver nessa lista, o tráfego é bloqueado. É uma forma de bloqueio mais restritiva, comum em conexões móveis 4G/5G ou para tráfego externo à "zona confiável".
TCP 16-20 (RPS Reset): Descarte seletivo de conexões TCP após um número específico de bytes no fluxo. Geralmente, o DPI espera os primeiros 16-20 pacotes de uma sessão TLS. Se o conteúdo for considerado "suspeito" (contendo SNI de hosts específicos), um pacote RST é enviado, encerrando a conexão. O usuário percebe isso como uma falha no site, embora o servidor esteja funcionando.
Substituição de Respostas DNS: O provedor intercepta as requisições DNS e substitui a resposta legítima por um IP de "stub" ou 0.0.0.0. Este método, embora antigo e facilmente contornável com DoH/DoT, ainda é usado como uma primeira camada de filtragem.
Bloqueio SNI: No handshake TLS, o campo Server Name Indication (SNI) é transmitido em texto claro antes do estabelecimento do canal criptografado. O DPI pode inspecionar o SNI e encerrar a conexão se o domínio for indesejado.
Bloqueio QUIC: O protocolo QUIC (HTTP/3) utiliza UDP em vez de TCP. Se o DPI estiver configurado apenas para filtragem TCP, conexões QUIC podem passar. Por isso, o tráfego UDP é filtrado separadamente, geralmente nas portas 443/80 ou por cabeçalhos QUIC característicos.
Esses métodos podem ser usados isoladamente ou em conjunto, e a distinção entre eles é crucial para a análise técnica e para o desenvolvimento de contramedidas. O projeto dpi-checkers, com licença Apache-2.0, oferece um conjunto de ferramentas para detectar esses métodos. Ele inclui o dpi-ch (uma CLI em Go para Windows, macOS e Linux), o tcp-16-20 web-checker (um teste em JavaScript rodando no navegador), o ipv4-whitelisted-subnets web-checker (para detecção de CIDR whitelists) e o tcp-16-20 DWC (um script Python para análise de listas de domínios permitidos em DPI).
O dpi-ch é a ferramenta mais poderosa, pois opera em baixo nível, permitindo testes mais complexos que não são possíveis dentro da sandbox do navegador. Ele pode, por exemplo, simular diferentes SNIs para o mesmo IP, ajudando a determinar se o bloqueio é baseado no IP ou no nome do host. Testes com o dpi-ch em conexões domésticas e móveis revelaram que o método TCP 16-20 é amplamente utilizado, com variações no número de pacotes (N) antes do reset (N=18 em uma conexão doméstica, N=20 em uma móvel). Isso sugere a presença de diferentes sistemas DPI ou configurações distintas entre os provedores. Além disso, a filtragem QUIC foi observada como parcial em algumas conexões e completa em outras, especialmente em redes móveis, onde a filtragem CIDR também se mostrou significativa, bloqueando cerca de 70% das sub-redes testadas.
A compreensão detalhada desses métodos de filtragem é fundamental não apenas para usuários curiosos, mas também para engenheiros de rede que desenvolvem serviços B2B, desenvolvedores de aplicativos com audiência na Rússia e pesquisadores de censura na internet. Ferramentas como dpi-checkers preenchem a lacuna entre a pesquisa acadêmica e o usuário final, capacitando a todos a entenderem e investigarem o que acontece com seu tráfego. Embora este artigo não seja um guia para contornar restrições (que é um tema complexo com suas próprias ferramentas), ele fornece a base técnica para identificar os mecanismos de filtragem, permitindo a tomada de decisões informadas para garantir a estabilidade e o acesso aos serviços online no ambiente digital russo.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Nos últimos anos, usuários da internet na Rússia têm percebido diferenças significativas na qualidade da conexão dependendo do provedor ou até mesmo do tipo de acesso. Enquanto alguns serviços como YouTube ou Discord funcionam perfeitamente em uma rede, em outra podem apresentar lentidão ou indisponibilidade. Essa inconsistência, que pode parecer aleatória, é, na verdade, resultado de mecanismos técnicos específicos empregados pelos provedores de internet. Este artigo se aprofunda nesses métodos, utilizando o projeto open-source dpi-checkers como ferramenta de análise para entender o que acontece com o tráfego em nível de rede (L4) e como identificar a filtragem aplicada pelo seu ISP.
O conceito de Deep Packet Inspection (DPI) refere-se a tecnologias de rede que analisam o conteúdo dos pacotes de dados, indo além das informações de cabeçalho L3/L4 (como endereços IP e portas). Um sistema DPI moderno pode identificar o serviço ao qual um cliente está se conectando, mesmo sem conhecer o IP de destino, analisando características do handshake TLS. Com base nessa análise, políticas podem ser aplicadas, como permitir o tráfego, desacelerá-lo ou descartá-lo. As notícias frequentemente simplificam isso como "provedores desacelerando o YouTube", mas a realidade técnica é mais complexa. Existem diversas técnicas empregadas, cada uma com sintomas distintos para o usuário. Entre os métodos observados no segmento russo, destacam-se:
Bloqueio por Sub-redes IP (CIDR Whitelists): O regulador fornece uma lista de sub-redes permitidas. Se o IP de destino não estiver nessa lista, o tráfego é bloqueado. É uma forma de bloqueio mais restritiva, comum em conexões móveis 4G/5G ou para tráfego externo à "zona confiável".
TCP 16-20 (RPS Reset): Descarte seletivo de conexões TCP após um número específico de bytes no fluxo. Geralmente, o DPI espera os primeiros 16-20 pacotes de uma sessão TLS. Se o conteúdo for considerado "suspeito" (contendo SNI de hosts específicos), um pacote RST é enviado, encerrando a conexão. O usuário percebe isso como uma falha no site, embora o servidor esteja funcionando.
Substituição de Respostas DNS: O provedor intercepta as requisições DNS e substitui a resposta legítima por um IP de "stub" ou 0.0.0.0. Este método, embora antigo e facilmente contornável com DoH/DoT, ainda é usado como uma primeira camada de filtragem.
Bloqueio SNI: No handshake TLS, o campo Server Name Indication (SNI) é transmitido em texto claro antes do estabelecimento do canal criptografado. O DPI pode inspecionar o SNI e encerrar a conexão se o domínio for indesejado.
Bloqueio QUIC: O protocolo QUIC (HTTP/3) utiliza UDP em vez de TCP. Se o DPI estiver configurado apenas para filtragem TCP, conexões QUIC podem passar. Por isso, o tráfego UDP é filtrado separadamente, geralmente nas portas 443/80 ou por cabeçalhos QUIC característicos.
Esses métodos podem ser usados isoladamente ou em conjunto, e a distinção entre eles é crucial para a análise técnica e para o desenvolvimento de contramedidas. O projeto dpi-checkers, com licença Apache-2.0, oferece um conjunto de ferramentas para detectar esses métodos. Ele inclui o dpi-ch (uma CLI em Go para Windows, macOS e Linux), o tcp-16-20 web-checker (um teste em JavaScript rodando no navegador), o ipv4-whitelisted-subnets web-checker (para detecção de CIDR whitelists) e o tcp-16-20 DWC (um script Python para análise de listas de domínios permitidos em DPI).
O dpi-ch é a ferramenta mais poderosa, pois opera em baixo nível, permitindo testes mais complexos que não são possíveis dentro da sandbox do navegador. Ele pode, por exemplo, simular diferentes SNIs para o mesmo IP, ajudando a determinar se o bloqueio é baseado no IP ou no nome do host. Testes com o dpi-ch em conexões domésticas e móveis revelaram que o método TCP 16-20 é amplamente utilizado, com variações no número de pacotes (N) antes do reset (N=18 em uma conexão doméstica, N=20 em uma móvel). Isso sugere a presença de diferentes sistemas DPI ou configurações distintas entre os provedores. Além disso, a filtragem QUIC foi observada como parcial em algumas conexões e completa em outras, especialmente em redes móveis, onde a filtragem CIDR também se mostrou significativa, bloqueando cerca de 70% das sub-redes testadas.
A compreensão detalhada desses métodos de filtragem é fundamental não apenas para usuários curiosos, mas também para engenheiros de rede que desenvolvem serviços B2B, desenvolvedores de aplicativos com audiência na Rússia e pesquisadores de censura na internet. Ferramentas como dpi-checkers preenchem a lacuna entre a pesquisa acadêmica e o usuário final, capacitando a todos a entenderem e investigarem o que acontece com seu tráfego. Embora este artigo não seja um guia para contornar restrições (que é um tema complexo com suas próprias ferramentas), ele fornece a base técnica para identificar os mecanismos de filtragem, permitindo a tomada de decisões informadas para garantir a estabilidade e o acesso aos serviços online no ambiente digital russo.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
