Ночью интернет падает: в чём реальные причины и как вернуть скорость

Многие пользователи вечером и ночью сталкиваются с падением скорости — загрузка 100 Мбит/с днём и 10–20 Мбит/с после 21:00 — и в поисковых системах вводят запросы вроде "почему интернет тормозит ночью провайдер блокировки". По данным опросов отрасли и отчетов региональных провайдеров, пиковая нагрузка домашнего трафика приходится на промежуток 20:00–02:00, когда доля потокового видео может составлять 60–80% от всего потребления в сети абонента.

Причины тормозов комбинируются: физические ограничения последней мили (DOCSIS/GPON), политики провайдера (traffic shaping, DPI) и внешние административные блокировки. Ниже — подробный разбор с примерами: технические параметры (порт 1194, UDP 51820), устройства DPI (Sandvine, Procera) и набор практических проверок и обходных решений.

Пиковая нагрузка и технические ограничения последней мили

Большинство домашних сетей использует GPON или DOCSIS: типичное соотношение oversubscription в FTTH-сегменте — 1:32–1:64, в кабельных сетях DOCSIS 3.0 — до 1:100 в зависимости от региона. При одновременном подключении 20–100 абонентов на одну магистральную линию канал пропускной способности распределяется, поэтому скорость в пике может упасть на 30–90% по сравнению с ненагруженным временем.

Конкретика: DOCSIS 3.0 поддерживает агрегацию 4–32 downstream каналов (каждый канал ≈38.4 Мбит/с при 256QAM), суммарная теоретическая скорость на сегменте ограничена числом каналов и физикой кабеля. В случае GPON стандарт GPON (ITU G.984) дает 2.488 Гбит/с на поток downstream, но провайдеры закладывают oversubscription для экономии — именно это объясняет, почему вечером ваша подписка на 200 Мбит/с резко становится 20–40 Мбит/с.

Политики провайдера: traffic shaping, целевая блокировка и DPI

Провайдеры применяют несколько активных мер: QoS/traffic shaping, deep packet inspection (DPI) и целевые блокировки по IP/SNI. Популярные DPI-решения — Sandvine (с 2010-х активно используются операторами по всему миру), Procera Networks (ныне часть других вендоров) и специализированные маршрутизаторы Huawei/Juniper с модулями фильтрации. Эти системы умеют распознавать трафик на уровне приложений и ограничивать P2P, IPTV, видеохостинги или VPN.

Примеры настроек: некоторые операторы блокируют или снижают приоритет трафика по протоколу OpenVPN (дефолтный порт 1194/UDP) и по сигнатурам TLS, относящимся к VPN. Другой распространённый метод — приказы регулятора (в России — Роскомнадзор), которые в 2018–2020 годах привели к массовым IP-блокировкам и частичным замедлениям служб из-за нецелевых блокировок смежных адресов.

Как распознаётся и таргетируется VPN

Технически DPI сверяет заголовки и сигнатуры: OpenVPN 2.4–2.5 (основная ветка 2.5 вышла в 2020 г.) имеет узнаваемые TLS-handshake и пакеты по 1194 UDP/TCP; WireGuard (включён в Linux kernel 5.6 в марте 2020 г.) использует UDP-порт 51820 и простой фиксированный заголовок, что делает его видимым для сигнатур. Некоторые провайдеры блокируют конкретные порты (1194, 51820), другие — анализируют характер трафика (постоянные UDP-пакеты, длина пакета) и применяют shaping.

Административные блокировки и их влияние на ночные тормоза

Когда регулятор требует блокировку сервисов, провайдеры нередко реализуют её через IP- или SNI-блоки. Исторический пример: массовые блокировки Telegram в 2018–2020 годах в РФ привели к ухудшению маршрутов и замедлениям у ряда CDN из‑за блокировок подсетей. При IP-блоках пострадавшими обычно становятся сторонние сайты, которые используют те же хосты CDN — это объясняет внезапные снижения скорости при просмотре видео и загрузке файлов ночью, когда CDN-серверы более загружены.

Технические детали блокировок: SNI в TLS исторически передаётся в незашифрованном ClientHello и используется для фильтрации хостов на уровне L7; попытки обхода включают использование TLS over TCP 443 (имитация HTTPS) и внедрение Encrypted Client Hello (ECH), чья стандартизация началась в 2020–2021 гг. и требует поддержки серверов и клиентов.

Как диагностировать: конкретные тесты и команды

Чтобы понять, что именно вызывает тормоза, выполните три конкретных теста: 1) speedtest.net или Ookla в разное время суток на одном и том же сервере (например, сервер провайдера и сторонний сервер) — сравните значения Mbps и пинг; 2) mtr/traceroute к проблемному сервису (например, youtube.com) для выявления потерь и задержек на конкретных хопах; 3) tcpdump/wireshark для анализа пакетов — ищите RESET/ICMP messages или аномально высокий процент Retransmissions. Пример: если в mtr вы видите 0% потерь в первых 3 хопах и 5–10% в 5–6 хопе, значит проблема на магистрали провайдера.

Конкретные команды: traceroute -I youtube.com (ICMP), mtr -rw youtube.com, curl -I --resolve example.com:443:IP для проверки SNI/host. При проверке OpenVPN смотрите логи (verb 4) — сообщения TLS: AUTH_FAILED/VERIFY OK укажут, на каком этапе сессия разрушается. Для WireGuard — wg show и проверка количества переданных/полученных пакетов по интерфейсу.

Практические способы обхода замедлений и блокировок

Если диагностика показала DPI/порт-блокировку или приёмное shaping, используйте проверенные обходы. Конкретные варианты:

OpenVPN по TCP-порту 443 с параметром --proto tcp-client и tls-client — маскирует туннель под HTTPS; это уменьшает вероятность блокировки на основе портов.
WireGuard на нестандартном порту (например, UDP 443 или TCP 443 через userspace-обёртку) — изменение порта 51820→443 уменьшает шанс фильтрации по порту.
Обфускация: obfs4, Shadowsocks, V2Ray (VMess) — используются для обхода DPI; многие клиенты поддерживают эти режимы (например, V2Ray-core версии 4.x).
TLS-туннелирование (stunnel) — проксирование OpenVPN через TLS-процесс, делает трафик очень похожим на HTTPS.

Плюсы/минусы: OpenVPN TCP 443 даёт совместимость и обход простых блоков, но имеет большую задержку и худшую производительность при высоком пингe; WireGuard обеспечивает низкую латентность и скорость (проверено: +10–30% throughput по сравнению с OpenVPN в однотипных условиях), но без обфускации его проще распознать DPI.

Безопасность и юридические аспекты

Исп