Veilora
VeilShift™ — как Veilora обходит Deep Packet Inspection
VeilShift™ — как Veilora обходит Deep Packet Inspection
Стандартные VPN легко блокируются. Годами правительства и ISP выстраивали системы Deep Packet Inspection, которые идентифицируют трафик WireGuard, OpenVPN и IPSec за миллисекунды с момента подключения. После идентификации трафик блокируется или замедляется.
VeilShift™ — ответ Veilora на эту проблему: стек протоколов, созданный с нуля, чтобы быть необнаруживаемым. Эта статья объясняет, как именно он работает.
Проблема: как DPI обнаруживает VPN
Deep Packet Inspection анализирует содержимое и паттерны сетевого трафика в реальном времени. Современные DPI-системы обнаруживают VPN-протоколы сразу несколькими методами:
1. Обнаружение сигнатур — каждый VPN-протокол имеет характерное «рукопожатие» в начале соединения. Первый пакет WireGuard имеет фиксированный формат. TLS ClientHello OpenVPN содержит узнаваемые поля. DPI-системы ведут библиотеку таких сигнатур.
2. TLS-фингерпринтинг — каждое приложение, инициирующее TLS-соединение, имеет характерный «отпечаток» на основе предлагаемых cipher suite’ов, включаемых расширений и их порядка. VPN-клиенты имеют другие отпечатки, чем браузеры.
3. Активное зондирование — некоторые DPI-системы (применяются в Иране и Китае) отправляют собственные запросы на предполагаемые VPN-серверы. Сервер, ответивший на зондирование, идентифицируется и блокируется.
4. Поведенческий анализ — VPN-трафик имеет другие паттерны тайминга и объёма, чем обычный веб-браузинг. ML-модели, обученные на сетевых данных, могут идентифицировать VPN даже при обфускации протокола.
VeilShift™ разработан для одновременного противодействия всем четырём методам.
Уровень 1: VLESS + XHTTP+Reality
VLESS — лёгкий прокси-протокол, передающий данные без собственного заголовка шифрования. Он полностью полагается на TLS — именно это делает его таким сложным для обнаружения.
XHTTP+Reality — здесь происходит главное. Вместо прямого туннелирования через VPN-сервер, VeilShift™ маршрутизирует соединение через «фронт» — соединение, выглядящее как запрос к реальному легитимному сайту. Представляемый TLS-сертификат — настоящий сертификат этого сайта.
Что видит DPI-система: TLS-соединение с известным сайтом вроде microsoft.com или cloudflare.com. Что происходит на самом деле: ваш трафик передаётся через это соединение на сервер Veilora.
Это полностью исключает обнаружение по сигнатуре — нет VPN-рукопожатия, потому что соединение выглядит как обычный HTTPS.
Уровень 2: TLS-фингерпринтинг Chrome (uTLS)
Даже с XHTTP+Reality наивная реализация была бы обнаружима по TLS-фингерпринтингу: TLS ClientHello VPN-клиента имеет характеристики, отличные от Chrome.
VeilShift™ использует uTLS (форк Go TLS-библиотеки) для точного воспроизведения отпечатка Chrome:
- Те же cipher suite’ы в том же порядке
- Те же TLS-расширения с теми же значениями
- Те же GREASE-значения (случайные значения, которые Chrome вставляет для проверки совместимости TLS-парсеров)
- То же поведение с session ticket
Результат: для любой DPI-системы, выполняющей TLS-фингерпринтинг, трафик VeilShift™ неотличим от браузинга в Chrome.
Уровень 3: XHTTP-транспорт с шейпингом трафика
XHTTP — транспортный уровень, передающий VLESS-трафик через стандартные HTTP/2 или HTTP/3 потоки. Это значит, что трафик не просто выглядит как веб-трафик на TLS-уровне — он является валидным HTTP-трафиком на уровне приложения.
Но поведенческий DPI идёт дальше: он анализирует паттерны тайминга. Нормальный браузинг имеет характерную временну́ю картину — пользователь кликает ссылки, страницы загружаются, между запросами есть паузы. VPN-трафик обычно более непрерывный.
Компонент шейпинга трафика VeilShift™ имитирует паттерны обычного браузинга:
- Искусственные микрозадержки, соответствующие тайминогу браузинга
- Варьируемые размеры запросов под загрузку веб-страниц
- Паузы, напоминающие взаимодействие живого пользователя
Это обходит ML-системы поведенческого обнаружения, всё шире распространяющиеся в Иране, ОАЭ и у некоторых индийских ISP.
Уровень 4: CDN-резервирование
Даже при активных трёх уровнях прямые соединения с серверами Veilora теоретически могут быть заблокированы по IP. Четвёртый уровень VeilShift™ использует CDN Cloudflare в качестве резерва.
Когда прямое соединение недоступно, трафик идёт через cdn.veilora.net — Cloudflare-проксированный эндпоинт. Поскольку IP-диапазоны Cloudflare внесены в белые списки большинством систем цензуры (блокировка Cloudflare сломала бы слишком много легитимного интернета), это соединение проходит даже в сильно цензурируемых средах — как Иран.
Сравнение с другими решениями
| Подход | Сигнатуры | TLS-фингерпринт | Активное зондирование | Поведение |
|---|---|---|---|---|
| Стандартный WireGuard | ❌ Обнаруживается | ❌ Обнаруживается | ❌ Уязвим | ❌ Обнаруживается |
| OpenVPN + obfs4 | ✅ Скрыт | ❌ Обнаруживается | ✅ Защищён | ❌ Обнаруживается |
| Shadowsocks | ✅ Скрыт | ❌ Обнаруживается | ⚠️ Частично | ❌ Обнаруживается |
| VeilShift™ | ✅ Скрыт | ✅ Скрыт | ✅ Защищён | ✅ Скрыт |
Что это значит для вас
Настраивать ничего не нужно. Приложение Veilora управляет всеми четырьмя уровнями автоматически:
- Скачайте приложение
- Нажмите «Подключиться»
- VeilShift™ активен по умолчанию
Приложение выполняет проверки качества соединения в фоне и автоматически переключает резервные уровни при необходимости.
Часто задаваемые вопросы
Работает ли VeilShift™ в Китае? Наш основной фокус — Турция, Иран, Индия и ОАЭ, где у нас тестированная инфраструктура. Технический подход VeilShift™ совместим с GFW Китая, но оптимизированной для Китая серверной инфраструктуры у нас пока нет.
Добавляет ли VeilShift™ задержку? XHTTP+Reality добавляет минимальные накладные расходы по сравнению со стандартным TLS. Chrome-фингерпринт и шейпинг трафика добавляют микросекунды. На практике разница в задержке против стандартного VPN незначительна — а часто VeilShift™ быстрее, потому что обходит ISP-троттлинг.
Открыт ли исходный код VeilShift™? Базовые протоколы (VLESS, XHTTP+Reality, uTLS, XHTTP) — открытые проекты, поддерживаемые сообществом Xray-core. Реализация и конфигурация Veilora — проприетарные.
Попробуйте бесплатно
VeilShift™ доступен на всех тарифах Veilora, включая бесплатный (10 ГБ/месяц).