В последние месяцы наблюдается массовая деградация ряда транспортных схем: серверная инфраструктура и обычные сайты на 443 порту остаются доступными, но целевые туннельные соединения не устанавливаются либо быстро разрываются. Это подтверждает переход систем фильтрации к многоуровневой поведенческой классификации трафика.
Ниже приведен детальный разбор: какие именно метрики приводят к блокировке потока, и как различные транспортные реализации справляются с этими проверками.
ЧАСТЬ 1: ЧТО ИМЕННО БЛОКИРУЕТСЯ (Триггеры DPI)
Блокировке подвергается не IP-адрес или домен, а транспорт как узнаваемый класс поведения. Современная система фильтрации использует комплекс из нескольких слоев анализа.
1. Аномалии TLS-отпечатка (JA3/JA4)
TLS скрывает содержимое, но оставляет открытыми метаданные: версию, набор cipher suites, порядок TLS-расширений, ALPN и параметры эллиптических кривых. Если клиентский стек (например, кастомная библиотека транспорта) генерирует ClientHello, отличный от стандартного профиля Chrome или Safari, система помечает этот трафик как аномальный еще до завершения рукопожатия. Скрытие SNI (через ECH) решает лишь проблему утечки имени хоста, но не спасает от классификации самого профиля соединения.
2. Post-handshake паттерны (Анализ после рукопожатия)
Успешный TLS handshake больше не гарантирует устойчивость соединения. Классификатор анализирует поведение внутри зашифрованного канала. Блокировка происходит, если DPI замечает:
- Нетипичную последовательность кадров HTTP/2 (SETTINGS / HEADERS / DATA) или использование метода
CONNECT. - Рассогласование между заявленным ALPN (например, h2) и фактическим небраузерным поведением потока.
- Длинные, непрерывные сессии с аномальным распределением размеров пакетов и таймингов, характерные для туннелей, а не для веб-серфинга.
3. Активное зондирование (Active Probing)
Система фильтрации может инициировать тестовые подключения к вашему узлу. Если сервер не отвечает как типичный легитимный веб-сервер, это выдает специализированный транспорт.
4. Статистическая массовость
Любая эффективная схема со временем накапливает собственную базу сигнатур. Как только поведение транспорта начинает массово воспроизводиться на тысячах узлов, оно становится легко детектируемым.
ЧАСТЬ 2: СРАВНЕНИЕ ПРОТОКОЛОВ (Что ложится, а что живет)
Исходя из инженерной модели поведенческого анализа, все популярные схемы можно разделить по уровню их различимости для систем фильтрации.
❌ Высокая различимость (Деградируют быстро)
- Shadowsocks: Не наследует браузерную семантику. Выделяется по статистическим признакам потока, таймингам и отсутствию естественного HTTP/TLS-поведения.
- VMess / VLESS (без маскировки): Обладают неестественным поведением поверх TCP/TLS и ярко выраженным клиентским профилем. Без качественного внешнего транспортного слоя типизируются моментально.
- MTProto proxy: Обладает собственным, крайне узнаваемым профилем. Эффективен только в рамках узкого назначения, но уязвим как транспортный класс.
⚠️ Средняя устойчивость (Требуют тонкой настройки)
- Trojan: Внешне маскируется под HTTPS, но post-handshake поведение приложения часто выдает его специализированное назначение.
- ShadowTLS: Снижает различимость за счет правдоподобного TLS-профиля, но не решает проблему неестественного поведения сессии после рукопожатия.
- VLESS / VMess поверх WebSocket / gRPC / HTTP/2: Выглядят лучше за счет сходства с веб-трафиком, однако нетипичное для браузера поведение HTTP/2 и признаки длинного туннеля оставляют их уязвимыми.
- Hysteria2 и TUIC (QUIC/UDP): Уходят от эвристик TCP/TLS, но приобретают новые проблемы. UDP/QUIC имеет свои параметры (transport parameters, размеры пакетов). Если этот поток не похож на массовый HTTP/3 трафик, он быстро классифицируется.
❌ Скомпрометированная маскировка (VLESS + Reality)
Исторически этот класс считался сильным, так как он успешно подделывает внешний TLS-контур и снижает количество прямых прокси-сигнатур. Однако текущие блокировки (включая твой случай) показывают, что эта схема стала удобной мишенью для систем фильтрации по двум причинам:
- Уязвимость к post-handshake анализу: Идеальная подделка TLS-рукопожатия больше не спасает, так как фильтрация сместилась на следующий слой . Внешняя правдоподобность старта сессии не совпадает с тем, что происходит внутри: DPI анализирует дальнейший обмен данными и видит не короткий браузерный запрос к сайту, а аномально длинную туннельную сессию.
- Проблема массовости: Связка VLESS + Reality стала слишком популярной и массово воспроизводимой. Как только профиль такого транспорта размножился на тысячах серверов, системы фильтрации накопили достаточно статистических признаков для его классификации и теперь эффективно сбрасывают такие соединения.
✅ Максимальная устойчивость (Схемы на базе Chromium)
- NaiveProxy (Caddy + Chromium network stack): На текущем этапе демонстрирует наивысшую устойчивость.
- Почему это работает: Используется сетевая семантика реального браузера. TLS-отпечаток и внутреннее поведение HTTP/2 практически неотличимы от массового легитимного трафика. Чтобы заблокировать такой поток, системе DPI придется пойти на огромный collateral damage (повредить реальный пользовательский трафик).
ВЫВОД
Развитие систем классификации трафика окончательно перешло на уровень поведенческого анализа .
Устойчивость транспортного канала сегодня определяется не стойкостью криптографии, а степенью его алгоритмического сходства с обычным браузерным поведением . В долгосрочной перспективе будут выживать не самые «сложные» протоколы, а решения, использующие естественный сетевой стек, правдоподобную post-handshake семантику и сливающиеся с массовым веб-серфингом .