Что мы видели в иранской сети в феврале 2026

Контекст

7 февраля в Иране стартовала очередная волна ужесточения фильтрации — на фоне внутренних событий государство традиционно прикрывает часть интернет-сервисов. Для нас это sanity-check: резкий отток успешных connection'ов из нашей IR-cohort.

Паттерн #1: UDP drop поголовно

Сначала увидели, что QUIC-based сессии просто перестали устанавливаться. После отпадения сделали capture в лаборатории — ничего не проходит, UDP на наш порт вообще не достигает edge-ноды. TCP работает.

Решение: auto-fallback на TCP-based транспорты (TLS, WebSocket, HTTP/2) при 3 подряд неудачных QUIC-попытках. Клиент переключается за ~6 секунд, пользователь видит «подбираем стратегию».

Паттерн #2: TLS SNI sniff + blacklist

TCP handshake проходит, TLS ClientHello уходит, ServerHello возвращается, потом — RST ровно через 1.2 секунды. Почему 1.2? Видимо на этом рубеже срабатывает Python/Go-скрипт на middle-box'е, который парсит ClientHello, вытаскивает SNI и проверяет против blacklist'а.

Решение: domain fronting с SNI подменой на Cloudflare/Akamai-домены. Мы уже умели это делать, просто включили по умолчанию для IR-cohort.

Итог

К 11 февраля доля успешных connection'ов из Ирана вернулась к 96% (p95). Hardened-режим закрывает оба паттерна. Интересно наблюдение — GFW и иранский DPI всё больше похожи архитектурно, но временные лаги и паттерны отличаются. Это мы учтём в следующей итерации adaptive-стратегии.