💡 Полезные Советы

MAC-адрес (Media Access Control) - это уникальный 48-битный идентификатор, который "вшивается" в любое устройство, способное выходить в сеть (Wi-Fi модуль смартфона, сетевая карта компьютера, умный чайник).

Он записывается в виде шести пар шестнадцатеричных цифр, разделенных двоеточиями или дефисами (например, 00:1A:2B:3C:4D:5E).

• Первые 3 байта (00:1A:2B): Это идентификатор производителя (OUI). По нему можно узнать, кто выпустил устройство - Apple, Intel, Samsung и так далее.
• Вторые 3 байта (3C:4D:5E): Это уникальный номер самого устройства, который назначает производитель.

MAC-адреса используются коммутаторами и роутерами для доставки пакетов данных внутри локальной сети. Роутеру не важно, какой у вас IP, когда он передает данные на ваш телефон - он ищет ваш MAC-адрес в своей таблице.

Подмена MAC-адреса (MAC Spoofing)

Исторически MAC-адрес был "жестко" прошит в микросхеме. Но сегодня операционная система (Windows, macOS, Android, iOS) выступает посредником между сетевой картой и сетью. Это значит, что система может программно "представиться" роутеру любым другим MAC-адресом.

Это и есть подмена (спуфинг). Зачем это нужно?

• Приватность и защита от слежки (Легальное использование): Торговые центры и аэропорты часто отслеживают перемещения людей по Wi-Fi, собирая MAC-адреса их телефонов (даже если вы не подключились к сети). Чтобы защитить вас, современные смартфоны используют MAC-рандомизацию - они генерируют случайный, поддельный MAC-адрес для каждой новой публичной сети.
• Обход ограничений (Серая зона): Платный Wi-Fi в отелях часто дает бесплатный интернет только на 30 минут, запоминая ваш MAC. Подменив его, можно получить еще 30 минут.
• Атаки и взлом (Нелегальное использование): Хакер может подменить свой MAC-адрес на адрес администратора или доверенного устройства, чтобы получить доступ к закрытой корпоративной сети, где настроена фильтрация по MAC-адресам.

Как защитить себя и сеть?

Когда речь заходит о безопасности на уровне MAC-адресов, важно разделять защиту сети (если вы администратор) и защиту себя (как пользователя).

1. Защита себя (Как пользователя)
Главная угроза в публичных сетях, связанная с MAC-адресами - это слежка и атаки типа ARP-spoofing (когда хакер обманывает роутер и заставляет весь ваш трафик идти через его компьютер).

• Включите рандомизацию MAC: Убедитесь, что в настройках Wi-Fi на вашем смартфоне включена опция "Использовать случайный MAC-адрес" (Privacy address). Это не даст маркетологам составить карту ваших перемещений.
• Используйте VPN в публичных местах: Подмена MAC не спасет от перехвата трафика хакером в кафе. Но если вы используете VPN, весь ваш трафик будет зашифрован. Даже если хакер перехватит его с помощью ARP-spoofing, он увидит только бесполезный набор символов.

2. Защита сети (Если вы настраиваете роутер или сервер)
Долгое время MAC-фильтрация (когда роутер пускает в сеть только устройства из "белого списка" MAC-адресов) считалась хорошим средством защиты. Сегодня это миф. Хакеру достаточно послушать эфир пару минут, увидеть "разрешенный" MAC-адрес и подменить свой на него.

Реальная безопасность строится иначе:

• WPA3: Используйте современные протоколы шифрования Wi-Fi. Если сеть зашифрована надежным паролем, подмена MAC-адреса не поможет злоумышленнику подключиться.
• Dynamic ARP Inspection (DAI) и Port Security: В корпоративных сетях умные коммутаторы жестко привязывают MAC-адрес к физическому порту в стене. Если кто-то попытается вытащить кабель из рабочего ПК и вставить в свой ноутбук с поддельным MAC, коммутатор мгновенно заблокирует порт.

Мини-FAQ: Частые вопросы о MAC-адресах

• Можно ли полностью скрыть MAC-адрес?
  Нет. Без MAC-адреса ваша сетевая карта просто не сможет отправлять и получать данные - коммутаторы и роутеры не поймут, кому доставлять пакеты. Вы не можете его скрыть, но можете легко подменить на выдуманный. Это и есть лучшая маскировка.
• Видит ли сайт мой MAC?
  Нет. Владельцы сайтов, стриминговых сервисов или администраторы серверов в интернете ваш MAC-адрес не видят. Он работает только в пределах вашей локальной сети - ровно до домашнего роутера или оборудования провайдера. Дальше в большой интернет уходит только ваш IP-адрес.
• Можно ли узнать MAC-адрес по IP?
  Только если вы находитесь с человеком в одной физической или виртуальной локальной сети (например, сидите через один Wi-Fi или соединены через VPN). В этом случае адрес легко узнается через протокол ARP. Вычислить MAC-адрес по IP-адресу через глобальную сеть интернет невозможно.
• Опасно ли показывать MAC-адрес?
  Сам по себе он не дает прямого доступа к вашему устройству, взломать вас зная только MAC - нельзя. Главная угроза здесь - приватность. Маркетинговые компании и торговые центры используют Wi-Fi радары, чтобы собирать реальные MAC-адреса устройств и отслеживать перемещения покупателей. Поэтому в публичных местах использование случайного MAC-адреса - строгая необходимость.
• Почему MAC-фильтрация не работает?
  Представим, что вы решили защитить домашнюю сеть и настроили на роутере строгий "белый список" MAC-адресов. Злоумышленнику даже не нужно пытаться подобрать пароль. Он садится рядом, переводит свой Wi-Fi адаптер в режим мониторинга (с помощью утилит вроде airodump-ng) и просто "слушает" радиоэфир.
  Через пару минут он видит, как ваш легитимный смартфон общается с роутером, и записывает его MAC. Затем хакер отправляет вашему телефону команду на отключение (пакет деаутентификации), быстро меняет свой MAC-адрес на ваш с помощью macchanger и стучится в сеть. Роутер видит знакомый адрес из "белого списка" и пускает хакера. Защита, на которую вы потратили время, обходится за две минуты.
• Как Android генерирует случайный MAC?
  Начиная с десятой версии, Android по умолчанию использует рандомизацию MAC-адресов, но делает это умно. Система не просто придумывает случайный набор символов каждую секунду. Она меняет специальный бит в начале адреса (показывая сети, что адрес сгенерирован локально), а затем создает уникальный, но постоянный фейковый MAC для каждой отдельной Wi-Fi сети.
  Зачем это нужно? Если вы каждый день ходите в одну и ту же кофейню, роутер заведения будет узнавать ваш "случайный" MAC-адрес, и вам не придется каждый раз заново вводить пароль от публичной сети. Но при этом для роутера в метро у вас будет уже совершенно другой MAC.

Итоги
MAC-адрес - это физический паспорт вашего сетевого устройства, необходимый для маршрутизации трафика внутри локальной сети.

Подмена (спуфинг) - это уже давно не только хакерский инструмент, но и базовая функция современных смартфонов и ПК для защиты вашей приватности от слежки.

MAC-фильтрация - абсолютно неэффективный метод защиты сети. Надежную безопасность обеспечивает только современное шифрование (WPA2/WPA3) и сложные пароли.

В интернете ваш MAC-адрес остается неизвестным, там вся маршрутизация строится на базе IP-адресов.

Взлом программного обеспечения эволюционирует. Если раньше злоумышленники обходились модификацией исполняемых файлов или подменой DLL, то сегодня для обхода сложных систем защиты (DRM) и античитов всё чаще используются гипервизоры.

Суть метода в том, что ваша операционная система фактически запускается внутри виртуализированной среды. Это позволяет взломщику перехватывать системные вызовы и подменять данные об оборудовании или лицензиях "на лету". Однако установка такого софта несет критические риски для безопасности всей системы.

Ещё несколько лет назад гипервизорные руткиты считались инструментом уровня APT‑групп и использовались в основном против корпораций. Сегодня ситуация изменилась: из-за гонки вооружений между античитами и разработчиками читов виртуализация уровня Ring ‑1 стала массовой технологией. Исходники простых гипервизоров и обходов SVM/VT‑x лежат в открытом доступе, и злоумышленники могут бесплатно интегрировать их в игровые читы, активаторы или пиратские репаки. Устанавливая такой софт, пользователь фактически запускает в системе механизм, который раньше был доступен только высококвалифицированным атакующим - и теперь он работает против него.

1. Абсолютный контроль на уровне Ring -1

Гипервизор работает на уровне привилегий, превышающем права самой операционной системы (так называемое кольцо защиты Ring -1). Это означает, что если в кряк зашит вредоносный код (Hypervisor-level Rootkit), он получает полный и безусловный контроль над железом. Ни один классический антивирус или EDR-решение внутри гостевой ОС не сможет обнаружить угрозу. Защитное ПО просто не видит того, что происходит на уровне выше, так как само находится под контролем скомпрометированного гипервизора.

2. Прямой доступ к оперативной памяти (Кража данных)

Поскольку гипервизор управляет выделением памяти для ОС, он может беспрепятственно читать и модифицировать её содержимое в реальном времени.

Утечка критичных данных: Злоумышленники могут настроить скрытый дамп памяти для извлечения SSH-ключей, мастер-паролей, токенов сессий браузера и seed-фразы криптокошельков прямо в момент их использования. Шифрование диска (например, BitLocker) в этом случае не спасет.

3. Конфликты виртуализации и нестабильность (BSOD)

Установка стороннего, часто написанного "на коленке" гипервизора неизбежно ведет к системным конфликтам.

Поломка рабочего окружения: Такой кряк сделает невозможной (или крайне нестабильной) работу легитимных инструментов: Docker, WSL2 (Windows Subsystem for Linux), VMware, VirtualBox и штатного Hyper-V.

Отключение встроенной защиты: Для работы гипервизорного кряка обычно требуется принудительно отключить механизмы безопасности Windows, такие как Memory Integrity и VBS (Virtualization-based Security).

4. Скрытые ботнеты и "невидимые" майнеры

Имея контроль над распределением ресурсов процессора, вредоносный гипервизор может забирать часть вычислительных мощностей под скрытые задачи, будь то участие в DDoS-атаках или майнинг криптовалюты.

Диспетчер задач внутри скомпрометированной ОС будет показывать нормальную загрузку ЦП. Гипервизор просто "скроет" от системы украденные такты процессора, из-за чего компьютер будет тормозить без видимых на то причин.

5. Угроза "окирпичивания" при обновлениях

Кастомные гипервизоры от взломщиков редко проходят проверку на совместимость с новыми патчами. Установка очередного обновления ядра Windows или Linux может нарушить работу нелицензионного гипервизора. Результат - система выпадет в вечный синий экран или перестанет загружаться на этапе бутлоадера, и для восстановления потребуется сложная работа с загрузочной флешкой.

Существует несколько уровней отключения USB-портов: от полной блокировки на уровне "железа" (BIOS/физически) до программного запрета только для накопителей (флешек), оставляя рабочими мышь и клавиатуру.
1. Отключение на уровне BIOS/UEFI (Самый надежный метод)
Этот метод полностью обесточивает порты или отключает контроллер. Он работает независимо от ОС, но может отключить USB-клавиатуру и мышь (если нет PS/2). 

• Зайдите в BIOS (обычно Del или F2) -> раздел Peripherals или Advanced -> USB Configuration.

• Опции:

  • USB Controller: [Disabled] - полностью отключает все порты.

  • Legacy USB Support: [Disabled] - иногда используется для отключения USB до загрузки ОС.

  • Single Port Control: На некоторых материнских платах можно отключать конкретные порты выборочно.

2. Windows: Методы для администратора
В Windows чаще всего требуется запретить именно носители информации (DLP), не отключая периферию. 

Через Групповые политики (GPO) - Рекомендуемый

Подходит для доменных сетей или локальной настройки.

1. Нажмите Win + R, введите gpedit.msc.
2. Перейдите: Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам (Removable Storage Access).
3. Найдите политику Съемные диски: Запретить чтение (или "Запретить выполнение", "Запретить запись").
4. Установите статус Включено.

Через Реестр (Полный запрет драйвера USB-Storage)

Этот метод отключает загрузку драйвера для флешек. Мыши/клавиатуры (HID) продолжат работать.

1. Win + R -> regedit.
2. Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
3. Измените значение параметра Start с 3 (включено) на 4 (отключено).
   1. Примечание: Если драйвер уже загружен, потребуется перезагрузка.

Через Диспетчер устройств (Полное отключение порта)

1. devmgmt.msc -> Контроллеры USB.
2. Найдите Корневой USB-концентратор (Root Hub) или Расширенный хост-контроллер.
3. ПКМ -> Отключить устройство. Это отключит питание и передачу данных для группы портов.

Глоссарий:

• USB-порт - физический разъём и интерфейс для подключения устройств (флешки, клавиатуры, мыши, принтеры и т. д.).
• BIOS - базовая прошивка материнской платы, в которой можно включать/выключать встроенные контроллеры и функции до загрузки ОС.
• UEFI - более современная замена BIOS с похожими задачами (инициализация оборудования, настройки, загрузка ОС).
• Peripherals / Advanced / USB Configuration - типичные разделы меню BIOS/UEFI, где находятся настройки USB-контроллера и портов.
• USB Controller - настройка контроллера USB; при Disabled обычно отключаются USB-порты/контроллер на уровне прошивки.
• Legacy USB Support - режим совместимости USB на этапе до загрузки ОС (например, чтобы клавиатура работала в старых режимах/загрузчиках); отключение может повлиять на работу USB до старта ОС.
• Single Port Control - функция точечного отключения отдельных USB-портов (есть не на всех платах).
• ОС (операционная система) - Windows/Linux и т. п., внутри которых тоже можно ограничивать USB.
• DLP (Data Loss Prevention) - класс мер/политик для предотвращения утечек данных, часто через ограничение съёмных носителей.
• GPO (Group Policy Object) / Групповые политики - механизм централизованных или локальных политик Windows для настройки ограничений и поведения системы.
• gpedit.msc - оснастка «Редактор локальной групповой политики» Windows, через которую настраивают политики (в т. ч. для съёмных носителей).
• Removable Storage Access (Доступ к съёмным запоминающим устройствам) - раздел политик Windows по пути Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access, где есть запреты чтения/записи/выполнения для "Removable Disks" и других классов устройств.
• Реестр (Registry) - база конфигурации Windows, где можно менять параметры служб/драйверов и поведения системы.
• USBSTOR - служба/драйвер Windows для USB-накопителей; изменение HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start на 4 отключает работу USB-накопителей, а возврат на 3 включает обратно.
• Start=3 / Start=4 - типовые значения параметра запуска службы/драйвера в Windows: 3 (ручной/по требованию) и 4 (отключено) на примере USBSTOR.
• HID (Human Interface Device) - класс USB-устройств ввода (клавиатуры, мыши); часто их не трогают, запрещая только накопители.
• Диспетчер устройств (Device Manager) - оснастка Windows для управления устройствами/драйверами (в т. ч. можно отключать USB-хабы/контроллеры).
• devmgmt.msc - команда запуска "Диспетчера устройств".
• USB Root Hub (Корневой USB‑концентратор) - "узел/хаб" в дереве устройств Windows, через который обычно висят несколько портов.
• Host Controller (хост‑контроллер USB) - контроллер, который обслуживает USB‑шину (например, xHCI для USB 3.x); его отключение может "уронить" сразу много портов.
• PS/2 - это старый компьютерный порт (разъём mini-DIN на 6 контактов) для подключения клавиатуры и мыши к ПК, впервые появившийся в линейке IBM PS/2 в 1987 году.
  Используется для клавиатуры и мыши, традиционно фиолетовый - клавиатура, зелёный - мышь.

Включение USB обратно потребует обратных операций: вернуть настройки BIOS/UEFI из Disabled в Enabled, в политиках снять/выключить запреты, а в реестре для USBSTOR\Start поменять 4 -> 3 (и при необходимости перезагрузить).
​

Коротко: большинство экспертов рекомендуют менять SSH‑ключи раз в 6 - 12 месяцев, но частота зависит от уровня риска и требований безопасности. Современные рекомендации подчёркивают, что ключи нельзя оставлять "вечными", потому что со временем они превращаются в скрытый риск для инфраструктуры.

1. Для личных проектов и своего сервера

Рекомендуемая частота: Раз в 1 год (или даже реже).

Для личного использования (если вы единственный администратор) частая смена ключей может создать больше проблем, чем пользы (например, риск потерять доступ при неправильной замене). Главное правило: Меняйте ключ немедленно, если:

• Вы потеряли ноутбук или флешку с ключом.

• Вы подозреваете, что ваш компьютер был заражен вирусом.

• Вы случайно "засветили" приватный ключ (выложили на GitHub, отправили в чат и т.д.).

2. Для работы и продакшна (Лучшая Практика)

Рекомендуемая частота: Раз в 3-6 месяцев.

В корпоративной среде риски выше.

• Стандарт PCI DSS (для работы с картами), из-за него многие корпоративные регламенты требуют ротацию каждые 90 дней (корпоративной среде существует огромная разница между "что написано в стандарте" и "что требуют аудиторы / безопасники на местах".)

• Это защищает от сценария, когда ключ был украден тихо (без вашего ведома) и злоумышленник использует его месяцами.

PCI DSS (Payment Card Industry Data Security Standard) - это "золотой стандарт" безопасности для любой организации, которая хранит, обрабатывает или передает данные банковских карт (Visa, Mastercard, МИР).

SSH - это главная дверь для управления сервером. Если ваш сервер имеет отношение к платежам или картам, то настройки SSH становятся объектом пристального внимания аудиторов PCI DSS.

Даже если вы не банк, требования PCI DSS полезно знать, потому что это готовая инструкция "как сделать действительно безопасно".

1. Запрет прямого входа root (Требование 8.6)

• Что требует стандарт: Каждое действие на сервере должно быть привязано к конкретному человеку. Если все заходят под общим логином root, то в логах будет видно «root удалил базу данных», но непонятно, кто именно это был - Вася или Петя.

• Ваша ситуация: Вы только что создали личного пользователя (h...) и отключили PermitRootLogin. Это полное соответствие стандарту. Теперь в логах будет видно: "Пользователь h... повысил права до root и удалил базу".

2. Запрет простых паролей и использование криптографии (Требование 2.3)

• Что требует стандарт: Для административного доступа через интернет нужно использовать сильную криптографию. Передача паролей в открытом виде запрещена.

• Ваша ситуация: SSH сам по себе шифрует трафик. А отключение входа по паролю (PasswordAuthentication no) и переход на ключи - это лучшая практика (Best Practice), которую аудиторы очень любят.

3. Регулярная смена ключей (Требование 3.6.4)

• Что требует стандарт: Криптографические ключи (Ключи шифрования данных (Data Encryption Keys)) должны меняться по расписанию (обычно каждые 90 дней), а старые - уничтожаться.

• Что это: Это ключи, которыми шифруется сама база данных с номерами карт. Если хакер украдет этот ключ и дамп базы, он сможет прочитать номера карт.

• Почему: Потому что эти ключи используются автоматически программами. Если такой ключ утечет, вы не узнаете об этом годами. Поэтому их принудительно меняют, чтобы ограничить объем данных, которые можно расшифровать одним ключом.

4. Не использовать "дефолтные" настройки (Требование 2.1)

• Что требует стандарт: Нельзя использовать пароли и настройки, которые идут "из коробки" (vendor-supplied defaults).

• Ваша ситуация: Вы уже изменили порт (если меняли?), отключили рута, создали своего юзера. Вы уже не используете дефолт.

Стандарт PCI DSS настоятельно рекомендует (а версия 4.0 требует) двухфакторную аутентификацию (MFA) даже для администраторов. PCI DSS не предписывает конкретный метод, например "SSH‑ключ + код Google Authenticator". Он требует наличия MFA, а конкретная реализация остаётся на усмотрение организации!

3. Критические ситуации (Менять немедленно)

В этих случаях расписание не имеет значения - нужно действовать сразу:

1. Увольнение сотрудника. Если ушел админ или разработчик, все ключи, к которым он имел доступ, должны быть удалены с серверов, а оставшиеся сотрудники должны сгенерировать новые.

2. Скомпрометированное устройство. Логика "я почистил компьютер антивирусом, значит всё в порядке" здесь не работает. Вирусы (трояны, стилеры) настроены искать именно файлы в папке .ssh. Как только вирус попадает на компьютер, он мгновенно копирует эти файлы и отправляет их злоумышленнику. Вы можете возразить: "Но у меня ключ защищен паролем (passphrase)!". Если устройство скомпрометировано, скорее всего, на нем работал кейлоггер (программа, записывающая нажатия клавиш). Когда вы вводили пароль, чтобы разблокировать ключ, хакер получил и файл ключа, и пароль к нему.

3. Смена алгоритмов шифрования. Если вы использовали старые ключи RSA-1024 или DSA (которые сейчас считаются слабыми), их нужно срочно заменить на современные Ed25519 или RSA-4096.

Частая ошибка при обновлении

Многие думают, что создание нового ключа автоматически отменяет старый. Это не так. SSH-сервер пускает по списку ключей. Если вы добавите новый ключ, но забудете удалить строку со старым ключом из файла ~/.ssh/authorized_keys, то старый ключ продолжит работать.

Правильный алгоритм ротации:

1. Сгенерировать новую пару ключей (ssh-keygen -t ed25519).

2. Добавить новый публичный ключ на сервер.

3. Проверить вход с новым ключом.

4. Удалить старый публичный ключ из файла authorized_keys на сервере.

5. Удалить старый приватный ключ с локального компьютера.

Прочитай прежде:

В Windows 11 Home (и в новых версиях Pro) Microsoft практически принуждает использовать облачный аккаунт при установке. Команда ms-cxh://setsqsalocalonly работает СТРОГО только на полностью локальных аккаунтах.

Если вы входите в систему по email (или используете PIN-код, привязанный к email), эта команда просто проигнорируется системой, так как безопасность вашего аккаунта управляется через серверы Microsoft, а не локально.
Особенность 24H2/25H2

В новейших сборках Windows (особенно после обновлений безопасности 2024-2025 годов) Microsoft могла активировать политику, скрывающую вопросы безопасности, чтобы стимулировать использование Windows Hello.

Решение для версий 23H2 и ниже:
Пользователи локальных учетных записей Windows 10 и 11 часто сталкиваются с проблемой: если забыть пароль, восстановить доступ к системе практически невозможно без потери данных.

Обычно Windows предлагает задать контрольные вопросы только при создании пользователя. Но что делать, если вы пропустили этот шаг или хотите изменить вопросы позже? В настройках этот пункт часто спрятан или недоступен.

Решение - скрытая команда Cloud Experience Host, которая принудительно вызывает меню настройки безопасности.

Для чего это нужно?

Команда ms-cxh://setsqsalocalonly запускает мастер, который позволяет привязать к вашему локальному профилю три секретных вопроса (например, "Кличка первого питомца"). Если вы забудете пароль при входе в систему, Windows предложит ответить на них и позволит сбросить пароль без флешки восстановления.

Инструкция

1. Проверка типа учетной записи Убедитесь, что вы используете именно локальную учетную запись (не Microsoft Account). Для онлайн-аккаунтов эта команда просто не сработает (выдаст ошибку или ничего не произойдет).

2. Запуск команды Нажмите комбинацию клавиш Win + R на клавиатуре. Вставьте следующую команду и нажмите Enter:

ms-cxh://setsqsalocalonly

3. Подтверждение личности Откроется синее системное окно. Сначала вам нужно будет ввести ваш текущий пароль администратора, чтобы подтвердить, что это действительно вы.

4. Настройка вопросов После ввода пароля появится меню "Обновление контрольных вопросов".

• Выберите 3 вопроса из списка.

• Впишите ответы.

• Нажмите кнопку "Готово".

Теперь, если вы когда-нибудь забудете пароль, на экране блокировки достаточно нажать кнопку "Сбросить пароль", ответить на вопросы, и доступ будет восстановлен.

Вы настроили свой Outline VPN, и дома через Wi-Fi всё летает. Instagram грузится, YouTube показывает в 4K. Но стоит выйти на улицу и переключиться на LTE/4G, как магия исчезает. Сайты перестают открываться, а приложение выдает ошибки вроде error network changed или просто бесконечно переподключается.

Почему так? 

Разница между домашним провайдером и мобильным оператором часто кроется в настройках систем фильтрации трафика (DPI — Deep Packet Inspection).

Мобильные операторы часто используют более агрессивные настройки DPI. Когда вы включаете Outline, он создает зашифрованный туннель. Простой Shadowsocks (протокол, на котором работает Outline) шифрует содержимое, но сам процесс соединения (рукопожатие) может выглядеть подозрительно для умных фильтров.

Оператор видит «непонятный» поток данных, который не похож на обычный просмотр сайтов (HTTP/HTTPS), и на всякий случай разрывает соединение (connection reset), что и приводит к ошибке смены сети.
Здесь добавлю мем про разрыва сессии "Звонок в саппорт Стрима в три часа ночи". (Для TCP важно стабильное соединение без разрывов, в отличие от UDP)

Решение: Маскировка под обычный сайт.

Нужно добавить к вашему ключу доступа специальный "хвост"(prefix). Это заставит соединение выглядеть как обычная отправка данных на веб-сайт (HTTP POST), и оператор его пропустит. Для оборудования провайдера это будет выглядеть так, будто вы просто отправляете форму на сайте или загружаете картинку.

Инструкция:

1. Скопируйте ваш текущий ключ Outline в заметки. 

2. В самый конец ключа, без пробелов, добавьте этот текст:

   &prefix=POST%20

   (Важно: %20 — это код пробела, пишите именно так!)

   Было: ss://Y2hh...443/?outline=1

   Стало: ss://Y2hh...443/?outline=1&prefix=POST%20

3. Скопируйте новый длинный ключ.
4. Удалите старый сервер из приложения Outline и добавьте новый.

Если не помогло: Попробуйте вместо POST использовать GET. Добавьте в конец: &prefix=GET%20