Невидимый фронт

Для подписчиков не секрет, что цензура и DPI с каждым годом всё жёстче, а решений для обхода блокировок всё больше.

Мы уже рассказали об истории их появления в Onion Links Prime, кто не читал — бегом туда.

Чтобы прочитать все гиперссылки, нужно быть подписанным на оба канала: - Onion Links Prime - Onion Links Review

А сейчас мы переходим к главному: что под капотом у этих технологий, почему старый-добрый Shadowsocks уже не торт, и что реально работает против DPI в 2025 году.

В основе Shadowsocks лежит простая идея: зашифровать трафик и выдать его за случайный набор байтов. Современные реализации используют AEAD-шифры (вроде chacha20-ietf-poly1305), но проблема заключена в их предсказуемости. DPI-системы, особенно российские ТСПУ, научились проводить активное зондирование (active probing). Система видит подозрительный трафик, сама стучится на сервер со случайными данными и анализирует ответ. Сервер Shadowsocks отвечает на любую абракадабру, что является для DPI явным маркером прокси. Приговор: обнаружен и заблокирован.

Следующее поколение сменило тактику: не прятаться, а маскироваться. Идея в том, чтобы мимикрировать под самый распространённый и легитимный трафик в сети — TLS (HTTPS). Протоколы Trojan и VLESS реализуют эту концепцию. Сервер слушает порт 443. Если к нему обращается обычный браузер, он проксирует его на реальный сайт-заглушку. Если же подключается клиент со знанием секрета, устанавливается прокси-туннель. Однако и здесь активный зонд может заметить аномалии, например, если используется самоподписанный сертификат или детали TLS-хендшейка не соответствуют отпечатку реального браузера.

Текущий state-of-the-art — это протокол REALITY, реализованный в ядре Xray. Его философия: не притворяться реальным сайтом, а быть им. Клиент инициирует TLS-соединение с сервером, но в поле SNI (Server Name Indication) указывает адрес реального, крупного сайта, например, microsoft.com. Сервер, получив этот запрос, сам устанавливает реальное TLS-соединение с microsoft.com, чтобы получить его настоящий, валидный сертификат. Этот сертификат он и предъявляет DPI. Система видит абсолютно легитимный хендшейк. После установки соединения сервер, используя секретный идентификатор (shortId), отличает трафик клиента от мусора и проксирует его куда нужно. Чтобы заблокировать такое соединение, цензору придётся заблокировать доступ к microsoft.com для всей страны.

Современный мир прокси — это конструктор. Есть ядра (cores), которые реализуют протоколы (главные игроки — Xray-core и sing-box), и есть клиенты — графические оболочки, которые управляют ядрами (например, Exclave для Android или Clash Verge для десктопа). Кроме того, чтобы не ковыряться в конфигах вручную, существуют веб-панели для управления сервером вроде 3x-ui, которые позволяют настроить всё в несколько кликов.

Итог

Гонка вооружений не закончена, но на сегодня оптимальный и наиболее устойчивый к блокировкам сетап выглядит так: протокол VLESS с транспортом TCP и шифрованием XTLS-Reality. В качестве ядра — Xray-core или sing-box. Это не серебряная пуля, но это лучшее, что есть у нас на данный момент.