К сожалению не могу написать пост в данной ветке,поэтому оставлю как комментарий под тематическим постом.Может кому либо будет интерессно.
Если информация оказалось полезной прошу оставить реакцию,под комментом.
___________________________________________________________________________________________________________________________________
Полное руководство Современные прокси и обходы фаерволов для свободы в интернете
Ограничения? Обходи всё! Китай, Туркменистан, Иран, Россия...
1. Свобода
Независимость и свобода как личные права — одни из фундаментальных потребностей человека. Без них наш разум ограничен, и прогресс тормозится не только на уровне каждого человека, но и общества в целом. Защита этих прав — это, по сути, защита нашего существования.
Многие из нас считают, что взрослый человек должен иметь право распоряжаться своим телом и разумом, нести ответственность за себя. Цель этого руководства — дать вам понимание, как добиться этого, особенно в сложные времена, которые могут настать завтра. Речь не только о технологиях, а о свободе. Свободе, которую государства по всему миру пытаются отнять у вас.
Никто не застрахован, и лучшая страховка — уделить время изучению темы, которую я вам предлагаю. Так же, как вы изучали Tor, безопасные покупки и снижение рисков, материал, который мы рассмотрим, не исчезнет завтра. Наоборот, ситуация будет только ухудшаться. Защитите себя, своих близких и своих собратьев — уделите несколько минут на чтение, эксперименты и будьте в курсе событий.
Свобода в интернете
Один из самых мощных инструментов контроля над личностью — это интернет. Ни одна армия не сможет остановить массовое восстание, но небольшая группа способна повлиять на общественное мнение, изменяя поток информации и вводя в заблуждение. На национальном уровне это выражается в блокировках сайтов и ограничениях протоколов. Китай и Россия, например, часто сотрудничают, чтобы усилить контроль над своими интернет-пространствами.
Такие решения, как VPN (OpenVPN, IPSEC, Wireguard, Softether), SSH и традиционные протоколы часто блокируются. В условиях жёстких whitelist-фаерволов доступ к Tor и другим внешним ресурсам становится сложной задачей даже для продвинутых хакеров. Система вроде Великого китайского файрвола (GFW) — это футуристический и дистопический пример того, что может сделать любое государство в любой момент. Ни одна страна не защищена — политический климат меняется, и свобода интернета сегодня не гарантирует её завтра.
В этом руководстве я буду часто ссылаться на GFW, поскольку это самая продвинутая и жёсткая в мире национальная сеть такого рода. Технология глубокого анализа пакетов (Deep Packet Inspection, DPI) сейчас почти стандарт для многих сетей, даже в корпоративной Америке. Однако GFW использует дополнительные методы, например активное и пассивное сканирование (Active и Passive Probing), чтобы усилить свои возможности.
Также хакеры могут извлечь пользу из этого руководства — например, чтобы выстроить цепочку соединений через эти регионы для повышения анонимности. Независимо от вашей цели, я поделюсь опытом и знаниями, которые считаю важными.
Привет, мир
Поскольку это полное руководство, начнём с основ. Если вы уже знаете, что такое прокси и как они работают — можете пропустить этот раздел.
Что такое прокси?
Прокси — это сервер-посредник, который обрабатывает ваши запросы к сайтам и другим серверам. Прокси могут скрывать ваш IP-адрес от сайтов и имеют множество легитимных применений.
Пример:
Ваш IP → IP прокси → Сайт
Если прокси и ваша настройка корректны, сайт увидит только IP прокси. Tor, проще говоря, — это огромная сеть прокси, через которую ваши запросы проходят минимум через 3 узла до попадания на сайт. Это более сложный и защищённый от слежки вариант, чем обычный прокси.
Сравнение прокси и VPN
Большинство VPN используют шифрование для защиты трафика. Прокси же часто не шифруют данные.
Пример:
Ваш IP → IP прокси → Сайт
На уровне провайдера:
Ваш IP → IP прокси → Сайт
ровайдер может видеть ваш трафик и знать, какие сайты вы посещаете.
VPN работает так же, чтобы скрыть ваш IP:
**Ваш IP → IP VPN → Сайт**
//// Провайдер \\\\
Провайдер не видит ваш трафик, так как VPN его шифрует.
Однако и простой прокси, и VPN, даже при шифровании, будут обнаружены национальными фаерволами. Их не обязательно блокировать, но классифицируют как прокси, VPN или Tor. Скрыть Tor и большинство протоколов через мосты тоже сложно (см. /post/5f1ba84246ac7d2f386f).
Активное и пассивное сканирование
Важно понять разницу для дальнейшего материала. Активное и пассивное сканирование — два способа, которыми фаерволы выявляют протоколы и тип соединения.
- **Пассивное сканирование** — наблюдает за трафиком, не вмешиваясь и не отправляя пакеты. Выводы делаются по таймингам, протоколу и другим характеристикам. Распространено повсеместно.
- **Активное сканирование** — вмешивается в трафик, может отправлять пакеты или запросы к конечному узлу (например, сайту) для получения ответов. По этим ответам определяется тип соединения и применяется классификация. Активное сканирование требует больше ресурсов и технических возможностей, поэтому применяется реже.
---
Прокси и ещё раз прокси
Как всё начиналось
2012
Shadowsocks — лёгкий зашифрованный туннель, похожий на SOCKS5, активно использовался с 2012 по 2016 год. Он легко обнаруживался как активным, так и пассивным сканированием, что вызвало волну инноваций.
2016
Появился v2ray — преемник экосистемы Shadowsocks, с протоколом VMESS. V2ray — не протокол, а платформа, поддерживающая разные транспортные протоколы: TCP, WebSocket, gRPC, mKCP. Однако и его было достаточно легко «фингерпринтить» из-за фиксированной структуры и метаданных.
2019
Родился VLESS — протокол, убравший шифрование на уровне сессии из VMESS, передав эту функцию TLS.
В то же время начались проблемы с TLS в TLS — когда один TLS запускается внутри другого. Пример — Trojan tunnel, имитирующий HTTPS с кастомным TLS-хэндшейком. Trojan стал одним из первых и популярных инструментов обхода блокировок в Китае. Однако вложенный TLS создавал уникальные отпечатки, особенно для активного сканирования.
2021
Появились XTLS и Vision. XTLS — модифицированный TLS-слой, который интегрирует аутентификацию прямо в TLS-хэндшейк, избегая вложенности TLS. Vision — развитие XTLS с упором на контроль трафика и практические способы обхода.
2022
XRAY CORE — форк ядра v2ray с интеграцией Vision, XTLS и других методов. Это основной драйвер инноваций и надёжная база для борьбы с цензурой.
Появились также REALITY и uTLS. uTLS — TLS-клиент, который подделывает ClientHello с отпечатками популярных браузеров, чтобы избежать пассивного распознавания. REALITY — серверный механизм, который «ворует» ServerHello с реальных сайтов и вставляет токен аутентификации после хэндшейка. REALITY помогает обходить строгие сети с белым списком SNI, как GFW, где разрешены соединения только с одобренными доменами.
В конце статьи подробно поговорим о популярных сочетаниях: VLESS+XTLS+uTLS, VLESS+REALITY и других. HTTP3, gRPC и прочие fallback-методы стали стандартом.
Полный исторический обзор с драмой и объяснениями можно посмотреть тут:
VLESS+TLS vs VLESS+XTLS
Небольшое пояснение, чтобы легче было понять следующие разделы.
Как они работают
VMESS поверх TLS: сначала TLS-хэндшейк, затем VMESS — получается два последовательных хэндшейка.
VLESS поверх XTLS: XTLS интегрирует аутентификацию прямо в TLS-хэндшейк, избегая вложенности TLS, делая соединение более скрытным.
VLESS+TLS использует обычный TLS (OpenSSL, BoringSSL и др.) и подвержен пассивному фингерпринтингу по полям ClientHello и ServerHello. Активное сканирование может пытаться послать VLESS-вложение и проанализировать ответ.
VLESS+XTLS заменяет стандартный слой на XTLS, где аутентификация встроена в TLS-имитацию, избегая TLS в TLS. Пассивное фингерпринтование сложнее, потому что нет вложенных ClientHello/ServerHello. Активное сканирование тоже усложнено — конфигурация может игнорировать подозрительные запросы, делая практически невозможным выявить неавторизованное соединение.
Проще говоря, VLESS+TLS — это обычный TLS, а VLESS+XTLS — более «маскированный» вариант, идеально подходящий там, где TLS в TLS вызывает подозрения.
Прокси-туннели против VPN
Теперь, когда мы лучше понимаем аутентификацию и шифрование прокси, сравним с OpenVPN по целостности туннеля и криптографии.
AEAD (Authenticated Encryption with Associated Data)
AEAD — криптопримитив, который обеспечивает целостность и конфиденциальность данных одновременно. Исходные данные шифруются, а шифротекст сопровождается тегом аутентификации.
Если прокси использует шифрованный туннель (HTTPS, TLS и др.), AEAD защищает данные от изменения. Если GFW прерывает TLS-сессию, AEAD защищает участок между прокси и клиентом, не позволяя понять назначение соединения. AEAD добавляет защиту и VPN. Для прокси туннелей рекомендуется использовать AEAD-шифры (AES-GCM, ChaCha20-Poly1305), но одних только шифров недостаточно для обхода блокировок.
PFS (Perfect Forward Secrecy)
PFS гарантирует, что в случае компрометации долгосрочных ключей злоумышленник не сможет расшифровать прошлые сессии. Это достигается через эпемерный обмен ключами, например ECDHE.
Если прокси передаёт трафик через E2E-зашифрованный туннель с PFS (без его прерывания), то даже если трафик перехватят, расшифровать его потом нельзя.
AEAD и PFS — краеугольные камни современных прокси-решений.
Сравнение туннелей
Если OpenVPN TLS настроен корректно (аутентификация сертификатами, HMAC и пр.), то можно представить такую таблицу:
+---------------+------------------------------+------------------+----------------+-------------------+------------------------+
| Туннель | Аутентификация, обмен ключами| AEAD (целостность)| PFS (секретность) | Зрелость и аудит кода |
+---------------+------------------------------+------------------+----------------+-------------------+------------------------+
| OpenVPN | Стандартный TLS | ECDHE | Да | Да | Высокая |
| VMESS | Собственный протокол | Да | Обычно да | Средняя | |
| VLESS+TLS | TLS | Зависит от TLS | Да | Высокая | |
| VLESS+XTLS | ECDHE + кастомный протокол | Да | Зависит от настроек | Средняя | |
| XTLS CORE | TLS-подобный + встроенный PSK| Да | Зависит | Средняя | |
| REALITY | TLS + аутентификация после | Да | Зависит | Средняя | |
+---------------+------------------------------+------------------+----------------+-------------------+------------------------+
Server Name Indication (SNI)
Проще говоря, SNI — это расширение TLS, которое сообщает серверу, к какому домену клиент пытается подключиться во время TLS-хэндшейка. SNI передаётся в открытом виде в части ClientHello.
Это полезно, например, в корпоративных сетях, чтобы внутренний фаервол знал, куда маршрутизировать трафик без расшифровки всего TLS.
Encrypted Client Hello (ECH)
ECH — это технология, которая шифрует почти всю ClientHello, включая SNI, делая имя хоста и другие поля скрытыми для пассивных наблюдателей, пытающихся извлечь информацию из TLS-хэндшейка.
В контексте прокси и обхода цензуры ECH помогает защититься от фаерволов, фильтрующих соединения по имени хоста. Например, GFW использует белый список SNI — разрешая соединения только к определённым доменам.
Сравнительная таблица по устойчивости к обнаружению и обходу
+---------------+-----------------------------+-----------------------------+------------------------------------------+
| Туннель | Защита от пассивного | Защита от активного | Обход фильтров по TLS (SNI/ECH) |
| | фингерпринта | сканирования | |
+---------------+-----------------------------+-----------------------------+------------------------------------------+
| OpenVPN | TLS | Средняя | Низкая |
| Shadowsocks | Высокая | Высокая | Низкая |
| VMESS | Высокая | Высокая | Средняя |
| VLESS+TLS | Средняя | Средняя | Средняя |
| VLESS+XTLS | Низкая | Низкая | Высокая |
| VLESS+REALITY | Очень низкая | Очень низкая | Очень высокая |
| uTLS (клиент) | Низкая | Нет | Помогает |
+---------------+-----------------------------+-----------------------------+------------------------------------------+
Если реализация протоколов правильная, их конфиденциальность сопоставима с OpenVPN и VPN на TLS. Главное — насколько хорошо проверены и зрелы эти стеки.
Из таблицы видно, что определённые комбинации значительно снижают уникальные сигнатуры и лучше маскируются под стандартный TLS.
Удачи, я за 7 прокси!
Почему GFW (Great Firewall) — отличный пример?
Известные методы GFW:
Пассивное фингерпринтирование: анализирует размер пакетов, время, TLS ClientHello/ServerHello, порядок расширений, энтропию, ALPN, направление трафика и серии пакетов.
Активное сканирование: подключается к подозрительным прокси и делает специфичные хэндшейки, чтобы выявить протокол.
Глубокий анализ пакетов (DPI): исследует содержимое пакетов с помощью MITM или TLS-терминации. Если метаданные не защищены (SNI, DNS), анализирует и их.
Машинное обучение: применяет модели ИИ для обнаружения аномалий.
Модификация TLS (TLS Tampering): пытается изменить сообщения хэндшейка или ввести скрытые RST-пакеты для разрыва соединения.
Белый список SNI: разрешает только соединения с одобренными SNI, блокируя остальные до передачи данных приложения.
Сравнение обнаружения фаерволом (GFW)
+---------------+---------------------+---------------------+--------------------------------------------------------------+
| Туннель | Обнаружение | Обнаружение | Рекомендации по улучшению |
| | пассивное | активное | |
+---------------+---------------------+---------------------+--------------------------------------------------------------+
| OpenVPN | TLS | Среднее | Использовать stunnel, OpenVPN на 443 с HTTP-мимикрией, OBFS4 |
| Shadowsocks | Высокое | Высокое | TLS-обёртка или OBFS4 плагины |
| VMESS | Высокое | Высокое | TLS, OBFS4, domain fronting |
| VLESS+TLS | Среднее | Среднее | Реальные сертификаты, ALPN, uTLS клиент |
| VLESS+XTLS | Низкое | Низкое | Избегать утечек идентификаторов |
| VLESS+REALITY | Очень низкое | Очень низкое | Настоящий ServerHello, регулярная ротация ключей |
| uTLS (клиент) | Низкое | Нет | Комбинировать с REALITY |
+---------------+---------------------+---------------------+--------------------------------------------------------------+
Топовые протоколы и их свойства
+-----------------------------+----------+------------+--------------+------------------+
| Свойство | OpenVPN | VLESS+TLS | VLESS+XTLS | VLESS+REALITY |
+-----------------------------+----------+------------+--------------+------------------+
| Конфиденциальность | Высокая | Высокая | Высокая | Высокая |
| Целостность + PFS | Да | Да | Да | Да |
| Пассивная скрытность | Средняя | Средняя | Очень высокая| Очень высокая |
| Защита от акт. сканирования | Средняя |Средняя | Высокая | Максимальная |
+-----------------------------+----------+------------+--------------+------------------+
Возможности, эффективность и сложность обхода
+----------------------------+-----------------------------+----------------------------+
| Возможность | Эффективно против | Сложность обхода цензорами |
+----------------------------+-----------------------------+----------------------------+
| Пассивное фингерпринтование | DPI | Очень низкая |
| Активное сканирование | Shadowsocks, VMESS | Низкая |
| Белый список SNI | Обычный TLS (не включён в | Средняя |
| | белый список) | |
| Машинное обучение для | Некоторые XTLS, VLESS+TLS | Максимальная |
| фингерпринта | | |
+----------------------------+-----------------------------+----------------------------+
Из таблицы хорошо видно, как современные агрессивные фаерволы, такие как GFW, сопоставляются с передовыми решениями типа XTLS-REALITY и другими кастомными стековыми протоколами. Это настоящая гонка вооружений в области цензуры.
XTLS — это платформа, которая облегчает разработку инноваций, не начиная всё с нуля. Но помните, что продвинутый противник всегда может отличить XTLS от стандартного TLS.
Беспокоитесь о квантовых компьютерах?
Будут ли они скоро или нет, проект X уже включает идеи постквантовой криптографии, занимается их развертыванием и аудитом. Подробнее — на их GitHub.
Как помогает XTLS
Мы рассмотрели теорию, основные отличия и что может делать GFW. Следующие две главы можно пропустить, если не хотите углубляться в технические детали.
Процесс установления XTLS соединения:
Клиент начинает с TLS ClientHello.
Обмен ключами как в ECDHE.
Аутентификация клиента с UUID/PSK сразу после хэндшейка. Сервер решает принять или отклонить запрос.
Передача фреймов приложения в AEAD-защищённых XTLS-записях.
По сравнению со стандартным TLS, различия могут быть в:
Кастомных расширениях ClientHello,
Размере пакетов,
Таймингах, которые могут раскрывать структуру вложенных пакетов и др.
Как говорилось ранее, не стоит полностью полагаться на XTLS, чтобы быть неотличимым от TLS.
Комбинация XTLS
XTLS можно комбинировать в кастомные стеки. Рассмотрим пример с GFW:
XTLS содержит аутентификацию VLESS без вложенного TLS ClientHello/ServerHello.
REALITY имитирует ServerHello как от популярного сайта или CDN.
uTLS подгоняет ClientHello под отпечаток Chrome (ALPN, порядок расширений, key_share и др.).
Как GFW это видит:
Пассивное сканирование:
Фингерпринт ClientHello (JA3)
Проверка SNI по белому списку
Активное сканирование
DPI
Машинное обучение на основе тайминга и размеров пакетов.
Пример JA3 отпечатка (Chrome):
16 03 01 00 7a # TLS record type handshake, версия, длина
01 00 00 76 # ClientHello тип, длина
03 03 # TLS версия 1.2 (TLS 1.3 использует 03 04)
d4 3a 9f # Random bytes
00 # Session ID length
00 20 # Cipher suites length (32 bytes)
13 01 13 02 13 03 c0 2b c0 2f # Cipher suites (TLS_AES_128_GCM_SHA256, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384, ECDHE-ECDSA-AES128, ECDHE-RSA-AES128)
01 00 # Compression methods length
00 4e # Extensions length
00 0d 00 1a 00 17 # Extension IDs (supported_versions, supported_groups и др.)
00 2b 00 03 02 03 04 # supported_versions TLS 1.3
00 0a 00 0a 00 08 00 1d 00 17 00 18 # supported groups: x25519, secp256r1, secp384r1
00 33 00 26 00 24 00 1d # Key share extension
00 23 00 00 00 05 68 32 # ALPN: "h2" (HTTP/2)
Подгонка порядка, содержимого и последовательности элементов (например, поддерживаемых групп и ALPN) позволяет имитировать JA3 отпечаток Chrome, обходя пассивное фингерпринтование.
REALITY ServerHello
REALITY подделывает ServerHello под ответ от CDN или популярного сайта, что обходит проверку SNI и пассивное DPI.
XTLS + VLESS
Приложение оборачивается в XTLS-записи с AEAD, payload шифруется. Внешняя часть выглядит как обычный TLS трафик без вложенного TLS ClientHello или ServerHello.
Для защиты от активного сканирования сервер может молча сбрасывать запросы от незарегистрированных клиентов (без валидного UUID).
Сканирование GFW
Пассивное обнаружение:
1. GFW проверяет ClientHello — совпадает с Chrome благодаря uTLS.
2. Проверяет ServerHello — совпадает с whitelisted CDN благодаря REALITY.
3. Анализирует размер и тайминги TLS записей — соответствует XTLS без вложенных TLS.
4. Проверяет, что зашифрованный blob REALITY или XTLS неотличим от нормальных post-handshake данных.
Активное сканирование:
1. GFW отправляет probe на IP, пытаясь инициировать TLS (VLESS/VMESS/XTLS probe).
Если REALITY настроен на молчаливое сбрасывание, probe терпит неудачу.
2. GFW пытается сгенерировать probe с REALITY без актуального публичного ключа — безуспешно.
3. Специфичный XTLS probe без правильных ключей тоже не срабатывает.
Итог:
Обходят как пассивные, так и активные методы обнаружения.
Практические инструменты и обходы сетевой цензуры
Полезные инструменты:
XTLS — библиотеки и спецификации
XRAY CORE — поддержка протоколов VLESS, VMESS, XTLS, REALITY, VISION
V2RAY CORE — VLESS+TLS, VMESS, транспорты WebSockets, gRPC
uTLS — клонирование TLS ClientHello (фингерпринта клиента)
REALITY — режим внутри XRAY CORE, обеспечивающий имитацию TLS-серверов для обхода SNI-блокировок
Практические обходы цензуры (2025)
Китай (GFW)
Очень мощный DPI, активное сканирование и машинное обучение.
Простой Tor, публичные прокси и стандартные транспорты не работают.
Лучшее решение — комбинация:
VLESS + XTLS + uTLS + REALITY
uTLS имитирует ClientHello браузера (Chrome/Firefox),
REALITY подделывает ServerHello и скрывает доказательства,
XTLS минимизирует дополнительные TLS-отпечатки,
VLESS убирает «лишние» признаки на уровне приложений,
Несколько fallback-протоколов (WebSocket+TLS, QUIC) на случай активного сканирования,
Частая ротация ключей, правила firewall для сброса активных probe-запросов.
Важно:
Использовать стабильные реальные домены с валидными сертификатами.
Не повторять IP/домен слишком часто.
Иметь несколько запасных серверов и fallback-методов.
Для пользователей вне Китая — лучше хостинг с хорошим подключением к китайскому интернету.
Иран
Средняя сложность обхода, жёсткий фильтр по SNI, активное сканирование.
Рекомендуется:
VLESS + TLS + uTLS
Если есть белый список SNI — добавлять REALITY.
Использовать WebSocket и другие транспорты поверх TLS 443 с реалистичными заголовками.
Туркменистан
Небольшая инфраструктура, государственный контроль, грубая блокировка.
Рекомендуется:
VLESS + TLS
Использовать общие SNI и CDN, domain fronting.
Примеры и конфиги — в Xray-core.
Россия
Разная ситуация в зависимости от провайдера.
Менее строгая цензура по сравнению с Китаем.
Работают VPN (Outline), хорошо настроенные VPN в stunnel, Shadowsocks.
Tor работает, но с ограничениями.
Россия и Китай обмениваются данными о фильтрах.
Остальной мир
Во многих странах нет жёсткой фильтрации, достаточно простого VPN с изменением порта.
Однако пассивное наблюдение широко распространено.
Рекомендуется использовать передовые обходы из Китая, чтобы избежать пометок и расследований.
Что мы узнали
VLESS + XTLS + uTLS + REALITY — отличное сочетание для большинства сложных случаев, но не панацея.
uTLS помогает обходить пассивное фингерпринтование.
Активное сканирование побеждается настройкой сервера на молчаливое сбрасывание неподлинных probe-запросов.
Правильное управление сертификатами и использованием доменов критично.
Если цензура блокирует TLS в TLS — снижайте слои с помощью XTLS.
Для обхода SNI-белых списков отлично подходит REALITY.
OpenVPN с обфускацией — более зрелое и безопасное решение, если позволяет ситуация.
Заключение
Даже если Интернет станет как в Китае — знания и навыки, которые вы получили, не пропадут даром. Вы приобрели ценный опыт для сохранения свободы и независимости в сети.
