Пояснення

Блокування провайдером: як інтернет-провайдер обмежує доступ

Ваш інтернет-провайдер знаходиться між вашим пристроєм і кожним сайтом, який ви відвідуєте. Це дає йому технічну можливість — а іноді й юридичний обов'язок — блокувати доступ до певних сайтів. Ця стаття пояснює, як працює блокування провайдером і що з цим робити.

Чому провайдери блокують сайти?

Вимоги держави: суди або регулятори зобов'язують провайдерів блокувати певні домени — сайти з порушенням авторських прав, гемблінг або політично чутливий контент.
Захист дітей: у багатьох країнах провайдери зобов'язані блокувати реєстри CSAM (сексуального насильства над дітьми).
Захист авторських прав: правовласники отримують судові рішення, що зобов'язують провайдерів блокувати торрент-сайти та піратські стримінгові сервіси.
Добровільна фільтрація: деякі провайдери пропонують опціональні або стандартні фільтри «безпечного перегляду», що блокують контент для дорослих, шкідливе ПЗ або фішинг.
Комерційне гальмування: провайдер може сповільнювати або блокувати конкуруючі VoIP або стримінгові сервіси.

Технічні методи блокування

DNS-блокування / DNS-підміна

Коли ви вводите доменне ім'я, ваш пристрій запитує DNS-сервер для отримання IP-адреси. Провайдер керує стандартним DNS-резолвером. Повертаючи неправильну або порожню відповідь на заблокований домен, провайдер не дає браузеру знайти сервер. Це найпоширеніший і найдешевший метод — і найлегший для обходу.

dig example.com @1.1.1.1 → отримує реальну IP
dig example.com @isp-dns → повертає NXDOMAIN або IP блокуючої сторінки

Блокування IP-адрес

Маршрутизатори провайдера скидають усі пакети, що надходять на заблоковані IP-адреси. Більш ефективний метод, ніж DNS-блокування, але може зачіпати інші сайти — багато сайтів використовують спільні IP-адреси (CDN, shared hosting), тому блокування одного IP може зачепити десятки невинних сайтів.

URL-фільтрація (HTTP-проксі)

Трафік направляється через прозорий проксі, що перевіряє URL у HTTP-запитах. Можна заблокувати конкретні шляхи, залишаючи решту домену доступною. Працює лише для незашифрованого HTTP; HTTPS-трафік для цього методу непрозорий.

Глибока інспекція пакетів (DPI)

Пристрої DPI перевіряють вміст пакетів поза заголовками — включно з полем Server Name Indication (SNI) у TLS-рукостисканнях, яке розкриває ім'я хосту навіть через HTTPS. Це дозволяє блокувати HTTPS-сайти за доменним ім'ям без зламу шифрування. DPI дорогий, але активно використовується в Китаї, Росії, Ірані.

Відкликання BGP-маршрутів

У крайніх випадках уряд може дати вказівку провайдерам відкликати BGP-маршрути для цілих IP-діапазонів, роблячи ці адресні блоки повністю недосяжними. Росія застосувала цей метод проти Telegram у 2018 році, випадково заблокувавши мільйони IP-адрес Amazon і Google.

Як визначити, чи блокує сайт ваш провайдер

Перевірте через IsDownOrBlocked.com — якщо наші сервери можуть відкрити сайт, він доступний глобально.
Переключіться на мобільний інтернет (4G/5G) і спробуйте знову — якщо працює, блокування на стороні вашого провайдера.
Змініть DNS на 1.1.1.1 (Cloudflare) або 8.8.8.8 (Google).
Спробуйте безкоштовний VPN — якщо сайт відкривається через VPN, блокує провайдер або країна.

Як обійти блокування провайдера

Змініть DNS-резолвер. Перейдіть на Cloudflare 1.1.1.1, Google 8.8.8.8 або увімкніть DNS-over-HTTPS (DoH) у налаштуваннях браузера. Обходить DNS-блокування, але не IP або DPI.

Використайте VPN. Шифрує весь трафік до того, як він покине ваш пристрій, роблячи DPI неефективним. Провайдер бачить лише зашифрований трафік до VPN-сервера. Найефективніший метод проти всіх типів блокування.

Використайте Tor. Направляє трафік через кілька зашифрованих вузлів. Повільніший, але дуже стійкий до блокування на рівні провайдера.

Шифрований SNI (ESNI/ECH). Нове розширення TLS, що приховує поле SNI, перемагаючи DPI-блокування за SNI. Підтримується Cloudflare та сучасними Firefox/Chrome.