Comments 253
>Но в 2025 году в Санкт-Петербургском политехническом университете была защищена работа именно по детекции XTLS-Reality.
это не ее на хабре недавно разбирали что там треш?
> нейросеть на стороне РКН
откуда вы это все берете? =)
Авторы детектировали Reality в лабораторных условиях на собственном трафике, с заранее известными параметрами. В реальных условиях с правильно настроенным Reality и нормальным SNI-донором их метод не работает так как заявлено. Работа скорее академическая аля мы попробовали, чем «вот боевой детектор»
Я использовал её как подтверждение что такие исследования ведутся это правда, статья не открыта в общий доступ - шарить не могу, но имеются и по shadowsocks.
https://elib.spbstu.ru/dl/3/2025/vr/vr25-3961.pdf/en/infoПо нейросетям в ТСПУ тут не конкретный факт а общий фон. РКН публично заявлял о планах использовать ML для детекции VPN это есть в СМИ. Плюс есть целый класс коммерческих DPI-движков которые ML используют прямо сейчас тот же R&S PACE 2 от ipoque, который комбинирует kNN, decision tree, CNN и LSTM для классификации зашифрованного трафика в реальном времени, с еженедельными обновлениями сигнатур. Это не гипотеза это продукт который реально продаётся телеком-операторам и встраивается в их инфраструктуру. Использует ли его ТСПУ конкретно не знаю, документов очевидно - нет.
“Авторы детектировали”. Интересно, эти «авторы», считают что делают что-то хорошее или им просто плевать?
вероятно они не собираются тут жить.
P.S. либо они придерживаются принципа - «Pire ça va, mieux ça est» при этом мимикрируя под патриотов и добросовестных исполнителей.
Есть большое количество обманутых пропагандой людей, которые считают, что "делают что-то хорошее" и борятся с натой.
и каждый обманутый уж себя-то не считает обманутым, и уверен, что это другие обмануты, а он - нет, но пишет, что "Есть большое количество обманутых пропагандой людей"
Не будет своих, из той же наты, за хорошее вознаграждение сделают "что-то хорошее" вообще без каких либо проблем, еще будут гордится, что поучаствовали в изоляции нехороших от интернета. Так чта ..
О, у борцунов с натой пригорело, пошли карму минусить )))
"У них кредиты". Всё покупается за деньги, в том числе лояльность. Человек умеет приспособляться, поэтому любой когнитивный диссонанс со временем рассасывается, задачи становятся интереснее, а там и повышение после ревью, премия за успешную блокировку Tg выкатку релиза!
Один наш местный бизнесмен (широко известный в узких кругах, поэтому не буду называть его имя) в свое время вывел свой бизнес в Прибалтику и писал на местных форумах такое. что им активно занимались отечественные силовые структуры. И вот вдруг ("а что случилось-то?") его производство возрождается в нашем городке, делает нечто "правильное", а его мнение меняется на 180 градусов.
Было такое оппозиционное издание "Ридовка". И вот, с началом войны оно полностью разворачивается и становится максимально провластным, начинает буквально купаться в деньгах. Итог, правда, печален: главред нынче сидит в СИЗО по обвинению в растрате дохреналлиарда денег.
Стрaнный пример, "издание" это просто вывеска, там не люди переобулись, а:
Однако в 2021 году, после смены редакторского состава Ридовка приобрела явно про-кремлевскую ориентацию (слухи приписывают захват Ридовки Приго.....
Главный редактор с момента основания и до 2025 года не менялся. И в конце 2021 ещё публиковались критические материалы:
В декабре 2021 года Readovka отказали в аккредитации на пресс-конференцию Владимира Путина — тогда Костылев публично сравнивал ситуацию с отказом «Новой газете». Осенью 2021-го редакция публиковала материалы о злоупотреблениях в «ДНР». В частности, писала о похищении и убийстве местного жителя сотрудниками МВД «ДНР» в Донецке, разбирала криминальные истории, связанные с бойцами ЧВК «Вагнер», и резко высказывалась о кадыровцах
Ну... есть некоторая группа людей, которой просто интересно что-либо сделать (и я это поддерживаю), но, при этом, они не задумываются о последствиях (а вот эту сторону я уже не поддерживаю)...
Авторам с вами детей не крестить же? Полагаю и вам своих с ними.
Если, конечно, эта статья не фейк от ИИ, то в ней прямо указано, что детекция произошла в рамках исследовательской студенческой работы. А если ты студент курса по защите информации, то это твоя прямая обязанность как специалиста - детектировать защищенные соединения и препятствовать их распространению, нет? В этом свете штампованные мнения в комментариях выше про пропаганду звучат как абсолютный бред
Если ты студент курса по защите информации, то это твоя прямая обязанность как специалиста - детектировать защищенные соединения и препятствовать их распространению, нет?
Нет. Никаких обязанностей у учёного быть не может. Выпускник имеет право решить сам, что ему больше интересно.
Но, если уж говорить про защиту информации, то по моему мнению логичным было бы проектировать новые устойчивые к взлому протоколы, а не помогать блочить уже существующие. Мы же про защиту информации говорим, верно?
про защиту населения от информации ;)
Выпускник и выбирает. О чем вы.
Логично, и проектируют. Тут нет никакого "делать X, а не Y", противодействие происходит постоянно и одновременно, причем даже в рамках одной и той же специальности, одного и того же направления. Пока одни люди в одном вузе проектируют методы анализа и детекта, в другом месте, возможно того же вуза, того же курса, проектируют системы устойчивые к анальному криптоанализу.
Не нужно думать, что не найдутся люди, которые не возьмут такую тему, например, для своей дипломной работы. Находятся прекрасно.
но имеются и по shadowsocks.
не подскажете, как shadowsocks детектится? Там весь траффик с самого первого байта - рандом (первые 32 байта - реальный рандом, а дальше от рандома визуально мало чем отличается). Моё предположение - считают энтропию и если видят рандом - в блок. А может и тупо - неизвестная сигнатура на непойми каком порту за границу - блок.
А может и тупо - неизвестная сигнатура на непойми каком порту за границу - блок.
Чаще всего тупо так
А почему тогда не блокируют AmneziaWG?
Блокируют.
Надо бы уточнить, имели товарищ ввиду конкретно wg от амнезии, или просто так амнезию как таковую записал. Потому что у меня на амнезии OVPN over SS работает и работал.
@nlyklуточните, пожалуйста.
Во-первых блокируют, во-вторых оно по UDP, а не TCP, там могут быть разные правила фильтрации, а в третьих в AWG2.0 совсем другой метод маскировки
Маскировочные пакеты I1-I5 (Signature Chain) и CPS (Custom Protocol Signature)
Перед рукопожатием (каждые 120 секунд) клиент может послать до пяти разных UDP‑пакетов, полностью описанных пользователем в формате CPS. Главный элемент — I1 — содержит hex‑снимок реального протокола (например, QUIC Initial handshake), который также можно рандомизировать. Остальные I2-I5 наращивают энтропию за счёт счётчика, метки времени и случайных данных.
Теперь стало понятно. Не рандомные данные, а маскировка под реальный UDP-протокол.
Я так понимаю, блокируют только те сервера, которые генерят траффик больше Х гигабайт за период времени. У меня друг и еще несколько человек сидит до сих пор за обычным open VPN и его не блокируют... Но как я понимаю это вопрос времени. Нарастят мощности железа тспу и планка Х гигабайт снизится.
>Моё предположение - считают энтропию и если видят рандом - в блок.
так и есть насколько я знаю. "детект" в плане неопознанный белый шум- блок
Там не только энтропия решает, они смотрят на распределение размеров пакетов в первые секунды жизни сокета, у SS там очень специфичный паттерн
в ss-2022 это же поправили вроде, не?
я изучал подробно вопрос (у меня есть самописный shadowsocks сервер и клиент), экспериментируя с разными длинами пакетов. Выяснил, что сервер тупо не получает самый первый пакет. Т.е. решение о блокировке принимается только на основе содержимого пакета, т.е. по сути фильтр детектит белый шум и не пускает его.
Авторы детектировали Reality в лабораторных условиях на собственном трафике, с заранее известными параметрами. В реальных условиях с правильно настроенным Reality и нормальным SNI-донором их метод не работает так как заявлено. Работа скорее академическая аля мы попробовали, чем «вот боевой детектор»
Я прочитал уже множество таких работ, часть даже подробно комментировал тут и на NTC форуме. Все они сводятся к тому, что автор берет древнюю версию xray с известной уязвимостью, пишет заведомо ошибочную конфигурацию (к примеру VLESS без VISION/XHTTP) с самыми наивными настройками (без мусора, паддингов, мултиплексирования и тд) и что-то там "детектирует" вероятностью процентов в 60-70. Ну то есть запустив такое получится положить весь интернет из-за ложноположительных срабатываний, но не туннели.
Как-то очень наивно думать, что в Китае с их бюджетами не смогли задетектировать, в Иране не смогли задетектировать, а студент магистратуры скриптом на питоне раз и задетектировал.
РКН публично заявлял о планах использовать ML для детекции VPN это есть в СМИ
По планам мы уже начинаем освоение Венеры, ну сразу после Луны
А в реальность сфера ML и тем более AI в стране находится мягко говоря не в лучшем состоянии. Мы заметно отстаем тут, к сожалению. Учитывая смешные по меркам этой индустрии бюджеты и отсутствие базы для этого, рассказы про ML в ТСПУ заставляют только усмехнуться.
Это не говоря о том, что исходя из слитой документации ТСПУ, у модуля фильтрации (EcoFilter) не хватает вычислительных ресурсов даже на анализ QUIC, удачи им запустить там ML модель.
Вообще, чем распространять откровенную дезинформацию, лучше бы рассказали о реальных угрозах вроде 16КБ блокировках, триггер блоках отдельных хостеров и прочие ковровые бомбардировки интернета.
Это что то полезное не осиливают. А сделать гадость ближнему и не очень это всегда пожалуйста - в эту сторону мозги всегда работают лучше у определенной категории людей.
Практика как раз и показывает, что методы самые актуальные из конца поста. Вы правы.
В результате у Ростелекома практически не работает ничего из "законного", за редким исключением. Так что, описанные в статье методы блокировок далеки от реальности. Но активное "зондирование" освоили в рамках Hetzner.
Спасибо за разъяснение. Тоже скептически отнесся, особенно после очередных заявлений о нейронке, в которые все верят.
откуда вы это все берете? =)
Оттуда же, откуда взят весь текст - от ИИ. Статья написана типичный нейросетевым языком, с типичными оборотами и сокращениями ИИ
Это не автор берёт, это его llm
Ещё немного - и получится Openconnect с камуфляжем.
Все эти ухищрения либо уже, либо в ближайшем будущем будут побеждены тупым зарезанием всех европейских хостингов. Берите VPS в ближневосточных странах.
Да, но тогда зарежут сразу же и их, и даже белорусские. И что тогда брать?
Надо сделать свой старлинк
Все эти решения и технологическая борьба - на ближайшие полгода максимум. Так что любое решение это просто отсрочка неизбежного)
через полгода интернет отключат совсем ?
Ну, очевидно, тотальные белые списки уже впринципе ничем диковинным не являются, (они уже есть), а там порезать обходы для десятка процентов населения и все. Ну а потом чисто по нуждам крупного бизнеса примут решение о физическом отключении, скриньте, как говорится
Если сейчас особой вони после блокировок в Москве не поднимется, то скорее всего отключат.
Мексиканские
Рабочую визу.
Так оно и сейчас зарезано, все прекрасно работает через мосты, ни что не мешает в будущем поменять одну ноду на другую в другом регионе
А в итоге всё сводится к тупому блокированию TLS в сторону крупных хостингов, если домен не в белом списке.
Да, в статье абсолютный бред, отвечаю здесь т.к. мой коммент далеко затерялся
https://habr.com/ru/articles/1009542/comments/#comment_29660622
ИИ содержащий продукт
Формулировки очень странные
Формулировки очень странные
Будьте конкретнее, пожалуйста. Просто вкинуть — не лучшее.
Нейросетевые картинки, которые выглядят вроде прилично, но если начинаешь всматриваться, то понимаешь, что там местами явный треш. Например, правый нижний угол третьей картинки имеет надпись "Scale: 1 unit = 10 mm". К чему это? Почему год 2024? К чему там символ компаса? И таких пустых "деталей" полным полно.
Заголовки для каждого абзаца, так люди не пишут!
Пример из текста
XHTTP: архитектура, которая решает эту проблему
XHTTP — транспортный протокол в Xray-core, построенный поверх HTTP/2 или HTTP/3. На первый взгляд похоже на старый WebSocket+TLS. Архитектурно — принципиально другое.
Почему WebSocket умер.
WebSocket-соединение начинается с HTTP Upgrade запроса, после которого переходит в постоянный двунаправленный поток. Этот паттерн (HTTP Upgrade + бесконечный поток без характерных HTTP запрос-ответных пар) детектируется давно и надёжно.
Что делает XHTTP иначе.
XHTTP разделяет восходящий и нисходящий трафик на отдельные HTTP-транзакции. Каждая транзакция — это обычная HTTP-пара запрос-ответ с нормальными заголовками, нормальным временем жизни. Статистически это неотличимо от браузера, загружающего контент с веб-сервера.
3. Абсолютно бесполезные комментарии в фрагментах с кодом.
Да и в целом вся статья читается неестественно, в ней будто отсутствует жизнь.
А противнее всего, когда "авторы" подобных статей начинают в комментариях мазаться.
Жаль минус влепить не могу...
Будьте конкретнее, пожалуйста.
Зря вы это сказали.
Поскольку никто нормально комментарии не читает, придётся сразу оговориться: мне всё равно, кто и как писал текст. Мне не нравится исключительно сам машинный стиль, а не факт, насколько автоматизированным был процесс написания.
Если кому-то удаcтся добиться на выходе из ChatGPT красивого текста, то я за этого человека буду искренне счастлив и не буду возражать читать подобное. К сожалению, писанина у машин всегда максимально отвратительная.
Это не предупреждение из разряда «желательно» - это обязательное условие.
это не опция, это необходимость
Это не «похоже на Chrome» — это Chrome.
они не конкурируют, они комбинируются
Противопоставление вида «это не X, это Y».
А вот тут просто каша из нескольких приёмов, характерных для языковых моделей. Темп, повторы, тире — всё машинное:
Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает.
Большие языковые модели считают, что повторы — это очень красиво. Вообще, переиспользование структур языка — частая проблема БЯМ. В одной из прошлогодних работ (arXiv:2504.09373) был такой вывод: «we find that LLMs often reuse discourse structures (more so than humans) across samples, even when content differs». Там речь шла про повторы в повествовании вообще, не про слова, но мне кажется это связанным.
Больше повторов слов:
Реальное iCloud-соединение от реального iPhone или Mac имеет характерный паттерн запросов: конкретные API-эндпоинты, конкретные заголовки, конкретные тайминги.
Каждая транзакция — это обычная HTTP-пара запрос-ответ с нормальными заголовками, нормальным временем жизни.
Повторы и противопоставления в одном флаконе:
Reality закрывает детекцию на уровне TLS-рукопожатия и активного зондирования. XHTTP закрывает детекцию на уровне поведения соединения после рукопожатия.
Она маскирует установку соединения, но не маскирует то, что по этому соединению передаётся.
Детекция идёт не по нему. Детекция идёт по поведению соединения после него
Другая проблема — ненужные тире, которые вставляются абсолютно без повода:
Что конкретно изменилось, как это устроено на уровне алгоритмов — и почему XHTTP сейчас выглядит как правильный следующий шаг.
DPI-система делает активное зондирование, получает сертификат, смотрит на ASN и IP-адрес сертификата — и видит что это не iCloud и не Spotify.
Но для детекции «это не браузер вообще» — JA3 по-прежнему работает отлично.
Иногда куда лучше бы смотрелась запятая вместо тире:
Именно здесь Reality начинает проигрывать — и к этому мы вернёмся.
JA3-хэш Go-клиента хорошо известен — он встречается в базах детекции.
Не потому что их «нашли» — а потому что их трафик-профиль слишком аномальный.
Из-за подобных тире текст читается с каким-то придыханием, будто от избытка чувств перевести дух не удаётся. Но откуда здесь взяться эмоциям? Хотя тема животрепещущая, текст технический.
Не знаю, как называются вот такие конструкции в кавычках, но в машинной писанине они везде:
Это не «похоже на Chrome» — это Chrome.
Но для детекции «это не браузер вообще» — JA3 по-прежнему работает отлично.
Не «похожим на нехороший» — просто другим, и это уже аномалия.
Также БЯМ используют кавычки при малейшем оттенке переносного смысла. Видимо, их обучали на образцах литературного русского, но тонкости языка они уловить не в состоянии:
Реальный Chrome вставляет случайные «мусорные» расширения в ClientHello.
видит «нормальный» HTTP-трафик.
Наконец, приём, который меня выбешивает: два–три однотипных односложных предложения, рублёный ритм. Почему это случается, понять легко: дробим фразу, и сказанное будет выглядеть мощнее — дёшево и сердито.
Выбор очевидный. Конфиги выше. Удачи.
Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе.
Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает.
А вот заголовки в разумных пределах мне наоборот нравятся. Не вижу ничего дурного в том, что есть выделение полужирным. Разве что здесь не так много написано, чтобы была необходимость разбавить простыню текста форматированием.
Отредактировано: Вижу, что пока писал этот комментарий, вы уже убрали многие из этих примеров из текста.
растоптал барыгу
Наконец, приём, который меня выбешивает: два–три однотипных односложных предложения, рублёный ритм. Почему это случается, понять легко: дробим фразу, и сказанное будет выглядеть мощнее — дёшево и сердито.
Выбор очевидный. Конфиги выше. Удачи.
Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе.
Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает.
Как же я с вами согласен, это просто невыносимо отвратительно.
В виде текста такие сообщения воспринимаются как пассивная агрессия, как принуждение к вниманию после каждого слова, которое будто как короткий удар.
Ну а если в жизни какой-то человек будет общаться со мной в таком стиле, то у меня он произведёт только впечатление человека либо с повреждениями мозга, либо с низким уровнем интеллекта в целом, для которого общение сложными предложениями является непосильной задачей, и он буквально вынужден выдавать информацию минимальными порциями.
красиво разобрали
Интересный разбор, даже попросил "машину" (кавычки, да) написать опус на заданную тему: DPI: Обнаружение и Маскировка Туннелей.
Машинная самокритика:
Если кому-то удаcтся добиться на выходе из ChatGPT красивого текста
а вы уверены что люди могут написать красиво?
Не вижу смысла докапываться до "это ИИ" "это человек". Важно что написано, а не как.
А половина ваших претензий... для меня вообще не машинный стиль, а то как я сам бы написал.
Короче, вместо того чтобы обсудить содержание, обсуждаем форму, и оцениваем качество тоже по форме...
Статья абсолютный бред, ничего общего с реальностью, в другом комменте написал почему
https://habr.com/ru/articles/1009542/comments/#comment_29660622
Да, представьте, люди умеют красивые тексты! За примерами можете обратиться к художественной литературе. Но только не надо передёргивать и брать в качестве примера какую-нибудь посредственную Донцову. И даже человек, не являющийся настоящим писателем, а просто грамотный образованный специалист способен создать внятный красивый текст. Я просто привел вам яркий пример с книгами. А так все упирается в вашу грамотность. Если образование низкое, то человек идет к ИИ. И получает соответствующий некрасивый результат
За примерами можете обратиться к художественной литературе
Сегодня читал Азимова. И у него как раз встречаются повторения, что комментатор выше определил как "машинный стиль"
Да, представьте, люди умеют красивые тексты!
Да, ладно. А теперь подумайте, будет ли кто-то выписывать целую тираду если человек напишет в "машинном стиле" - вряд ли. Мой комментарий к тому что и человек и ИИ присущ "машинный стиль", но факт его наличия используют для доказательства что статья написана ИИ -> дискредитации статьи т.к. она написана ИИ (не конкретно @atomlib, я про настроения в общем).
Короче, вместо того чтобы обсудить содержание, обсуждаем форму
Это возмутительно: вы меня обвиняете в том, чем сами занимаетесь. Такое впечатление, что мой комментарий вы не читали, зато обсуждаете выхваченные из контекста заявления.
обсуждаем форму, и оцениваем качество тоже по форме
Автор буквально попросил об этом неопределённый круг лиц. Когда его спросили, почему такие странные формулировки, он ответил: «Будьте конкретнее, пожалуйста». Вот я и отреагировал. Почему вы общение выстраиваете так, что собеседник вынужден оправдываться за свои действия?
Не вижу смысла докапываться до "это ИИ" "это человек".
Буквально это и пишу в комментарии, на который вы отвечали: меня не интересует, кто писал. Специально вынес это в отдельное предупреждение повыше, потому что каждый раз одни и те же вопросы. Засим у меня следует длинный список раздражающих машинных оборотов. Кто и как их добавил, меня не интересует.
а вы уверены что люди могут написать красиво?
Люди пишут по-другому, без этих машинных уродств.
Чем вам вообще человеческий стиль не нравится? Или вы из числа тех, кто его стесняется?
Могу привести презабавнейший пример: человек написал неплохой текст, но затем пропустил его через большую языковую модель с просьбой обработать. Вообще-то оригинальный черновик выглядит неплохо, там достаточно только поправить пунктуацию и орфографию. Но вместо этого автор поста вывел у себя в блоге раздутый машинный слоп.
А половина ваших претензий... для меня вообще не машинный стиль
Если не очевидно: проблема в частоте этих перечисленных приёмов. Внезапно огромная доля текстов в Интернете начала строиться на конструкциях вида «это не X, это Y», там характерные повторы, употребляются ненужные тире и так далее. Первые раз двадцать это терпимо, потом начинаешь тосковать.
Мое последнее предложение не было направлено конкретно вам. Скорее мои ощущения на общие настроения по этой теме. Так что извиняюсь, если приняли на свой счет.
Если не очевидно: проблема в частоте этих перечисленных приёмов
Это не очевидно. Вы сказали что статья была отредактирована после вашего коммента. Возможно поэтому мне и не бросилось ничего в глаза при прочтении.
Чем вам вообще человеческий стиль не нравится? Или вы из числа тех, кто его стесняется?
Отнюдь, просто то что вы называете "машинным стилем" для меня обычный человеческий текст. Я имею ввиду - если это плохо написано, то и человек так же пишет. Короче, это на тему качества текста в общем, а ИИ тут не причем.
PS. Заметил что вы редактор. Возможно у вас есть биас на эту тему. Наверняка вам в тексте намного легче угадываются паттерны, которые вы описали в прошлом комменте. Мне, как обычному читателю, это все не так очевидно.
а вы уверены что люди могут написать красиво?
После распространения нейрослопа любой человеческий текст кажется по-своему красивым
Наконец, приём, который меня выбешивает: два–три однотипных односложных предложения, рублёный ритм.
Ну вот. А я как раз с нулевых такой приём на своих форумах отрабатываю. Заметил, что не любят у нас сложносочинённые предложения. А уж если предложения сложноподчинённые, то читатели зачастую вообще понять не могут, что здесь с чем сочетается. Поэтому стал писать коротенечко. Рублено.
Опять же, машина с этим приемом передергивает, потому что у нее нет понимания, как взвешенно с ним работать. В данном случае мы имеем дело с абсурдно коротким построением фраз из двух слов на протяжении нескольких десятков раз. Вряд ли вы будете так делать, если не хотите выбесить своих читателей. Ваш собственный текст, как и в вашем же комментарии, будет варьировать темп и длину предложений; пусть они и остаются не слишком длинными, но все равно имеют куда более разнообразный вид
Насколько я вас понял, вы говорите именно про общее членение предложений. Напротив, большие языковые модели обожают контраст. У них нечаянно получаются перегруженные предложения, где за одной основой идёт другая, раздувая объём — будто неаккуратно переводился текст с английского, без раздумий, а не пора ли разбить оригинальную структуру на пару новых предложений, что для хорошего перевода вполне допустимо, пусть это на самом деле и не перевод. А затем пауза. Мысль, две, три. Эти внезапные коротыши.
Ну и в качестве вишенки на торте: когда статью пишет русскоязычный человек, то он обращается к аудитории на вы. Тыкают только ИИ, потому что общаются с тобой лично. А большой текст от живого человека не логично делать столь личным
Должен получить нормальный HTTP-ответ, не TLS-ошибку.
И постоянное обращение на "ты". Эти два оборота - типичны для нейросетей.
apple.com— Apple держит IP в своих ASN, несоответствие сразу заметно
Не совсем так. У Apple есть кеши (https://cache.edge.apple/), типа как Google Global Cache, ставятся на сети операторов, работают на IP операторов.
Не осуждаю, статья годная, но нейросети подводят. Текст предполагаю что chatgpt писал (он любит эппл и спотифай, это палит). Ну и картинки. Автор, не ленись делать схемы, если будет твоя, на русском, без косяков ии, будет сильно лучше.
Будущие статьи будут с русифицированными схемами.
Статья абсолютный бред, описал это в другом комменте, но т.к. он далеко, то пишу здесь
https://habr.com/ru/articles/1009542/comments/#comment_29660622
Хорошая статья, спасибо за ликбез!
По существу есть вопросы:
Что по самоворовству (self-steal/steal from yourself/steal oneself)? Зачем притворяться крупным сайтом, если можно просто накатить сгенеренную нейронкой статику на свой домен? Не понял смысла. В 2022-2023 самоворовство своего домена было рекомендуемым способом работы;
Получу ли я мгновенный профит, честно и качественно мигрировав на xHTTP, если я нахожусь в "расстрельном списке" AS? Я ведь не могу поручиться, что все клиенты в пределах /24 будут соблюдать все гайдлайны по настройке решений... А пока ДВ сильно не жалуется, так что мотивации бежать впереди порновоза нет...
Что по скорости? Где-то слышал, что xHTTP предлагает в два раза ниже пропускную способность по сравнению с VLESS/XTLS-Reality/TCP.
ходят слухи, что есть "белые списки" sni, которые не попадают под 16-24 кб блоки европейских хостингов (не путать с БС на мобильном интернете, где только рф сайты). То есть профит возможен.
если на вашей AS 16-24 кб блок - нет, не поможет. разве что слухи про БС sni правдивы.
В использовании разницы не замечаю, по цифрам VLESS/xhttp/packet-up тоже не сильно отличается от Raw-Reality
По скорости разницы не заметил, замерял после переезда на xhttp
А все началось с того что ..."она утонула" (ц)
чуть раньше был вполне симптоматичный рязанский сахар)
Все для защиты детей!
Всё началось с фальсифицированных выборов в 1995 и операции "преемник". Ежели уж совсем честно.
А чего так поздно? В 93-м государственный преступник, предатель и террорист Ельцин (таково моё мнение, т к официально он всё ещё не осуждён) расстрелял из танков и разогнал Верховный Совет. А в 91-м этот же преступник завершил развал СССР, подписав ещё с тремя такими же незаконное соглашение. А до этого в 91-м другой предатель, Горбачёв, и ещё несколько его сподвижников организовали не законный референдум, продавив решение через верховный совет и затем, когда большинство людей высказалось за сохранение Союза, интерпретировали это как то, что Союз должен стать конфедерацией, опять же не законно и вопреки воли большинства. (Якобы это "демократия" так должна восторжествовать...)
К чему я это? Так что вы теперь то распериживались про какие-то там выборы в 95-м ? (Если хотите знать, 95-й в России никто не помнит. Все, кто тогда жил,помнят 91-й, некоторые 93-й и многие 98-й, когда предатель Ельцин отрёкся от власти) Почему именно в 95-м ? Тогда лично вам на хвост наступили? Ну если да, то моё мнение против вашего: Мне вот как раз таки 91-й не нравится, давайте про него говорить, а?
Если вам 91 не нравится - это значит что вы за СССР и за цензуру. О чем тогда с вами говорить?
Ну классика же
Скрытый текст
КАК ТОЛЬКО умер Ленин (1924), оказалось, что второй человек в партии, товарищ Троцкий — предатель. Каменев, Зиновьев, Бухарин и Сталин свергли Троцкого и изгнали из СССР (1927).
Но через пару лет оказалось, что Каменев, Зиновьев и Бухарин тоже враги и вредители. Тогда доблестный товарищ Генрих Ягода их арестовал (1936).
Чуть позже Ягоду как вражеского агента арестовал Ежов (1937).
Но через пару лет оказалось, что и Ежов не товарищ, а обычный предатель и вражеский агент. И Ежова арестовал Берия (1938).
После смерти Сталина (1953), все поняли, что и Берия тоже предатель.
Тогда Жуков арестовал Берию (1953).
Но вскоре Хрущев узнал, что Жуков враг и заговорщик. И сослал Жукова на Урал.
А чуть позже вскрылось что и Сталин–то был врагом, вредителем и предателем (1956). А вместе с ним и большая часть политбюро.
Тогда Сталина вынесли из мавзолея, а Политбюро и примкнувшего к ним Шепилова разогнали честные партийцы во главе с Хрущевым (1957).
Прошло несколько лет и выяснилось, что Хрущев был волюнтаристом, проходимцем, авантюристом и врагом.
Тогда Брежнев отправил Хрущева на пенсию (1964). После смерти Брежнева, выяснилось, что и он был вредителем и причиной застоя (1964-82).
Потом было еще двое, которых никто и запомнить-то не успел (1982-85).
Но тут пришел к власти молодой, энергичный Горбачев. И оказалось, что вся партия была партией вредителей и врагов, но он–то сейчас все исправит.Тут–то СССР и развалился (1991).
А Горбачев оказался врагом и предателем.
Вы ознакомились с кратким курсом истории КПСС. (с)
Xray очень радует) Настроил на vps, клиент на своё пк и тут же MTProto для телеги, чтобы с других устройств пользоваться) Всё летает, всё замечательно... Но какого чёрта я этим должен заниматься вообще?
Но какого чёрта я этим должен заниматься вообще?
очевидно-же - государство заботится о развитии компьютерной и политической граммотности населения. Раньше население приходило с работы и под пивас просто играло в игрушки общаясь по дискорду, теперь вот надо сначала прокинуть тоннель чтобы дискорд заработал (а то и сама игрушка запустилась) опять-же переодически изучать что нового в мире блокировок случилось, тоннель перенастроить, как работает ТСПУ почитать, ркн поругать, свое мнение о политиках высказать, а там уже и снова на работу пора :-)
Лучше telemt с маскировкой сразу поставить, чем MTProto. Сразу на будущее.
А а почему никто не упоминает про протокол OUTLINE, он вроде как работает.
У меня один сервер с чистым зарубежным IP уже почти год живет с развернутым outline, больше 1 TB траффика в месяц, больше 10 человек - все стабильно. Мб протокол плохой не знаю точно.
Если что, в основном подключения из Москвы.
имхо запусти grok и задай ему такой промп - дай сравнение протокол OUTLINE с reality + tcp и reality + xhttp
Вы видимо не поняли. У меня развернут чистый outline через Outline Manager
Посмотрел более точную статистику: 320 дней работает сервер уже.
не переживай, тенденция такая что это может продлится недолго.
У меня обычный ваиргард работает, и на проводных провайдерах, и на мобильном(федеральном). При этом было время когда его глушили и приходилось переходить на амнезию итп.
Аутлайн работает, но не всегда, бывает ТСПУ его блочит и при установке соединения и в процессе. Скорее удивительно что работает, по идее можно было 100500 раз уже кинуть в черный список. Вероятно в реальности Неуловимый Джо просто никому не нужен, что-то сделали, отчитались что заблокировали и сойдет. В следующий раз еще что-нибудь сделают и за что-нибудь отчитаются...
Там протокол shadowsocks
У меня он наглухо умер года два назад, с тех пор не проверял, мог и заработать. Так например раньше носки жестко блочились, а теперь vless не але, а носки идеально работают.
А а почему никто не упоминает про протокол OUTLINE, он вроде как работает.
Видимо зависит от местной ТСПУ. У меня с одинм оператором не работает WG, со вторым не работает OUTLINE. А вот xray работает везде.
А разве правила не централизованно рассылаются? Эти коробочки - это же не под управлением местного прова, а конечные устройства, программируемые известно окуда.
Я не знаю деталей устройства этого вредительства. Но наблюдения говорят о том, что какие-то различия есть. У кого-то работает вообще всё, как и раньше. У кого-то ничего. У кого-то часть. Видимо есть какие-то кастомизации.
Скорее тспу закупались в разное время в разных местах. В итоге где-то железяки более мощные стоят и фильтруют умнее, где-то более дохлые, и фильтруют слабо. Ну и возможно от нагрузки на провайдера меняют уровни обработки. Плюс ркн А/Б тесты активно применяет. Плюс сначала блокировки обкатывают в регионах. Плюс для некоторых южных регионов свои отдельные правила блокировок (где-то телеграм уже давно заблочен, например, на уровне отдельных республик).
Нюансы вашей конкретно сети, outline не работает уже второй год на мобильном и год на большинстве проводных провайдеров, это простейший shadowsocks который детектится мгновенно.
Вариант В: ничего не делать.
Лучший вариант. Решать проблемы надо по мере возникновения, так как условия меняются.
В вопросе обхода блокировок это самая плохая и опасная тактика из вообще существующих.
И в чем именно заключается опасность???
В ситуации, когда, чтобы поднять тоннель, нужно иметь работающий тоннель.
Это если введут доступ по белым спискам? Во-первых, маловероятно (много головняка, мало пользы). Во-вторых, в таком случае и работающий тоннель перестанет работать.
Больше похоже на способ борьбы с тревожностью. Успокаивающее ощущение контроля, но не более того.
Всегда можно поднять сокс через ssh, если вам даже ssh блочат то вы уже ничего не настроите :)
Не обойти и вляпаться в макс.
Ждем полноценной работы смартфонов со Starlinkами.
старлинк бесплатным не будет, а вариантов проводить оплаты зарубежных сервисов не так уж и много.
Да и законодательно запретять как его использование так и смартфоны его поддерживающие еще до того как он заработает.
Устройство размером со смартфон ещё нужно идентифицировать как поддерживающее старлинк
Или придётся запрещать в страну ввоз вообще всех устройств размером с ладонь
Можно сразу сказать, что старлинк не работает в РФ
Ну так в глубине страны не работает, а на границе работает
Граница Казахстана и Финляндии - тысячи километров
Удачи отследить каждое
Там с той стороны будет блок, сейчас спутники с Direct-To-Cell работают только с телефонами у которых стоит сим-карта мобильного оператора-партнера (донора частот). Телефоны «как-бы» в роуминге. Но мне неизвестно работает ли оно за пределами «домашней» страны оператора-партнера
старлинк бесплатным не будет,
Подскажите кто использовал какие программы для VLESS + XHTTP + REALITY на сервере, на Android и на iPhone? Какие серверные части и клиентские наиболее стабильные и надежные?
Это тянет на серию статей, так как есть ядра, спектр ими решаемых задач, обертки на них, клиентов так вообще десятки... Есть панели, каждая под свои задачи созданная, у каждой своя экосистема и т. д. Всё это ставится скриптами, вручную, Docker, не Docker, из GitHub, из магазина... Без пол-литра так и не расскажешь хотя бы 20% из них.
Сервер - родной xray-core базированная база. Минус - нужны базовые навыки linux консоли для настройки, и надо редактировать текстовые конфиги, где потерял запятую/скобочку и все, ничего не работает. Еще есть панели вроде 3x-ui, устанавливается скриптом, всё визуально красиво. Удобная вещь для личного использования. Тяжелая артиллерия - Remnawave, куча настроек, визуальный редактор конфигов, исправляющий за тобой опечатки, много много всего еще. Но это решение скорее для заработка на vpn/proxy. Много ресурсов жрет, сложна в настройке. По клиентам - смотрите кто регулярно обновляется, список рекомендованных в репозитории xray-core
Да можно без базовых навыков, но для начала надо настроить доступ (например через outline) к chatgpt/gemini/claude cli (qwencli не пробовал), оплатить какой то из них и уже промптами, кидаясь ссылками на хабр, просить настроить по ssh
По факту есть 3 комбайна (с поддержкой разных протоколов): xray, sing-box, mihomo. Они же используются внутри клиентов. Самый популярный сейчас - xray (так сложилось). VLESS + XHTTP + REALITY - вот это родное именно для xray, все остальные переносят реализацию к себе. Поэтому для vless лучше всего использовать xray (поэтому и самый популярный). Для iOS самый лучший клиент - Shadowrocket (поддерживает почти все популярные протоколы). На Android можно использовать оригинальный клиент sing-box с нативным json-конфигом (или же что-то из мира xray).
Но на самом деле и кроме самого модного vless протоколов хватает. Например, NaïveProxy.
Вот уж что-что, а нативный sing-box под Android я выкинул сразу – ему зачем-то нужен доступ к камере и геолокации. Чтобы избежать обвинений в криворукости/скачивании "левого" apk заявляю, что устанавливал его из F-Droid. На мобиле сижу пока на амнезии, но подумываю уйти на Happ.
у меня они отклонены и всё работает. гео на сколько я знаю нужна для определения типа сети "wifi/симка", камера для сканирования qr кодов
Тут была статья как установить x-ray на сервер и настроить. Там же и приложение указано. v2Raytun вроде (но это не точно). Надо поискать просто.
на хабре была статья (она чуть ниже) по автонастройке через autoxray.sh,
ну надо некоторые телодвижения сделать:
1. зарегать бесплатный сабдомен, аля mememe.mooo.com, настроить редирект на свой впс
2. развернуть outline на нем, чтобы что-то из топовых моделей работало в cli
3. купить собстна подписку на chatgpt или claude
4. запросами в cli просить сконфигурить впс по ssh (ток чтоб сначала доступ по ключу был, затем уже менять порт и перед закрытием порта 22 просить, чтоб проверило работоспособность порта 5667, а то заблокирует доступ вобще и будет мертвый инстанс), настроить autoxray (кинуть ссылку на статью), сгенерить статик страничку в руте сайта (как тут написано)
4. Если надо gemini, то вот статья https://habr.com/ru/articles/992380/
5. гитхаб все еще может определять ваш реальный ip, надо прописать xbox dns (я так же убрал гугловские днс и оставил только 1.1.1.1) в серверном конфиге xray и ходить на гитхаб через варп тоже (я заморочился, копилот не работал)
все телодвижения я делал чисто промптами - типа писал "сделай как в статье, вот тебе ip ремоут хоста, логинься по ssh по ключу, ну или паролем (рекомендуется перейти на ключ)"
связка autoxray+happ (ios android mac) работает хорошо
На iPhone топ - ShadowRocket.
На Android рабочих xHTTP вижу только в vRayNG, а Nekobox (sing-box) и Hiddify не могут.
Регулярно появляются такие сгенерированные статьи про vless, которые собирают кучу плюсов. При чем половина текст - бред.
Подключись через свой прокси и зайди на scrapfly.io/web-scraping-tools/ja3-fingerprint. Отпечаток должен совпадать с обычным Chrome без прокси.
С чего вдруг этот сайт что-то напишет про мой прокси, если вся магия будет между мной и прокси, а между прокси и конечным сайтом будет обычный трафик моего браузера.
Или раздел про хорошие доноры или плохие доноры:
microsoft.com на Hetzner - "хороший", "любой мелкий сайт icloud.com" на Hetzner - "плохой". Где в этом тексте логика?
Но плюсов будет много...
Вот действительно. То "всёпропало, VLESS уже зарезали, ставьте Макс", то более тонко, с парочкой вредных советов. Невольно задашься вопросом, а не засланный ли казачок?
А "Реальное iCloud-соединение от реального iPhone или Mac имеет характерный паттерн запросов: конкретные API-эндпоинты, конкретные заголовки, конкретные тайминги"? Какие endpoints и заголовки, если все данные зашифрованы? Какие тайминги на мобильной сети?
Аналогично про "XHTTP разделяет восходящий и нисходящий трафик на отдельные HTTP-транзакции. Каждая транзакция — это обычная HTTP-пара запрос-ответ" и далее везде...
Нет, я, наверное, могу предположить, что придумали авторы XHTTP, прочитав нейрослоповский пересказ, скомбинированный с таким же переводом, но, читая подобные статьи, хочется прояснения темы от того, кто в ней реально разобрался, вместо ещё большего запутывания...
Да, про тайминг мне тоже непонятно, и сам я склоняюсь к вашей версии: всё зашифровано, и баста. Из статьи дельно на самом деле только две вещи: асимметрия объёма входящего-исходящего траффика и наблюдаемость паттерна долгоживущих соединений. Я сам долго, со скажем так, бытовым бэкграундом пытался понять суть xHTTP, и с моей колокольни и моих наблюдений за реальным сервером вижу следующее: во-первых, в режиме xHTTP клиент реально пишет много в логи, как он там какие-то запросы отправил по пути на сервере, указанному в параметре path. Я настраивал этот конфиг сервера за щитом Cloudflare, полагаю, эта механика нужна, чтобы сам CF не подозревал в трафике прокси - они вроде относительно недавно запретили хостить не-их прокси на их инфраструктуре. А по поводу разделения восходящего-нисходящего трафика, там есть специальная опция в настройке соединения, которая позволяет указать клиенту, что трафик он будет принимать с другого сервера (или хотя бы с ipv6 выхода сервера, вместо ipv4 входа, к примеру). То есть эдакое простое, но, кажется, на текущий момент довольно эффективное решение проблемы асимметричности трафика: ТСПУ надо теперь следить не за одним соединением, как по нему шурует трафик туда-сюда, а сразу за всеми соединениями пользователя, и сопоставлять время установления восходящего и нисходящего соединений (а ещё разработчики xray в статье, описывающей протокол, обещали ещё и добавить искусственный рассинхрон во времени и установления этих соединений)
С чего вдруг этот сайт что-то напишет про мой прокси, если вся магия будет между мной и прокси, а между прокси и конечным сайтом будет обычный трафик моего браузера.
Вот с этого момента в статье тоже кекнул. Автор либо вообще ничего не понимает в том что пишет, либо решил что нормально кормить читателей нейроблевом выхлопом нейронки даже без элементарной проверки того, что она написала.
Чтобы реально проверить отпечаток своего туннеля, нужно дампить трафик на собственном сервере через tcpdump или wireshark, а не ходить по левым сайтам
>«Reality решила это радикально: TLS-сессия буквально завершается на реальном сервере Apple или Microsoft. Клиент делает настоящее рукопожатие с настоящим icloud.com. Получает настоящий сертификат Apple, верифицированный через реальную цепочку CA. После завершения рукопожатия данные туннеля вшиваются в уже установленную сессию.»
Это же технически просто невозможно нет? TLS 1.3 не так работает же
Когда клиент и настоящий icloud.com делают полноценный handshake, они генерируют симметричные ключи шифрования (AEAD — AES-GCM или ChaCha). Эти ключи знает только клиент и Apple. Xray-сервер в этот момент — просто труба, он ничего не видит и не может расшифровать ни байта.
если ты попытаешься «вшить» свои VLESS-пакеты в уже зашифрованный поток то любая такая правка сразу ломает MAC или AEAD-тег.
На деле с риалити там как я помню не так работает.
Клиент шлёт ClientHello с правильным shortId. В поле Session ID (которое в TLS 1.3 почти не используется, но Xray его хитро переиспользует) он запихивает версию + timestamp + короткий id. Сервер смотрит: — shortId совпадает с тем, что в конфиге? — версия нормальная? — время не просрочено? Если да — сервер сам завершает handshake, генерирует свой временный сертификат на лету (подписанный твоим x25519 ключом). Клиент проверяет его только по pinned publicKey, а не по цепочке Apple. И дальше весь трафик уже между клиентом и твоим сервером. Если shortId кривой (то есть это пробер от ТСПУ или обычный curl) — сервер вообще не отвечает сам.
Он просто прозрачно прокидывает весь TCP-поток на настоящий microsoft.com:443. Пробер получает реальный сертификат, реальный ответ и спокойно уходит. Вот почему Reality так хорошо держит активное зондирование.
Ещё пару моментов по статье, которые уже устарели:
Конфиги с Vision теперь не работают как в статье. С января 2026 VLESS без flow считается deprecated. Если использовать Vision + XHTTP — обязательно нужно включить VLESS Encryption. Делаешь ./xray vlessenc, получаешь ключи: decryption на сервер (вместо "none"), encryption на клиент. Без этого будет предупреждение, а скоро возможно вообще перестанет работать.
поправьте ели что-то не так написал)
как теория - сойдёт
на практике трата хоть 1 рубля в добавок к тарифу провайдера неприемлема из корыстных побуждений а главное оставляет куда более явственный след - случись что, и скорее не если а когда плешивый режим дойдёт до физического отлова
поэтому ирл ещё не исчерпаны бесплатные методы. т.е. vless это попытка гвозди забивать микроскопом. банальный wg при достаточно простой обфускации продолжает работать даже с казалось бы наперечёт известными endpoint протона
Как ТСПУ реагирует на ssh соединения? Там есть одновременно всё, и постоянно висящие сессии с мониторингом итп, и взрывные нагрузки с передачей файлов, причем разных, отдельных дампов баз и архивов, бекапов от рестика, рклона и рсинка, удаленный рабочий стол итп. Они что реально всё это наглухо перекроют из за возможности пустить там еще и сокс прокси?
SSH шейпят по скорости, как только видят существенный трафик в обе стороны. Скачать файл ещё туда-сюда, но не больше.
И что они думают что можно так просто взять и перекрыть путь для бекапов, пипол схавает?
Схавает конечно. Повышение пенсионного возраста же схавал. А трясущиеся за бекапы по SSH вообще все влезут в один автозак.
ну это-то конечно нет
пипл за 4 года схавал такие вещи, что на их фоне невозможность "скачать бекап по SSH" выглядит как-то не очень страшной
Зачем бекапить за границу? Бекапьте на российские скрепные серверы. Разрешат только самое важное, типа github, чтобы IT в стране окончательно не накрылся, а в остальной вражеский интернет вам не надо, там одна бездуховность :)
Я уже столкнулся с 16К-баном на ssh-соединении. Вот буквально, заходишь, запускаешь top, и после первой же перерисовки экрана сессия замирает. На одном провайдере устойчиво наблюдалось, на другом - устойчиво нет. Сейчас попустило, "но осадочек остался"...
Как ТСПУ реагирует на ssh соединения? Там есть одновременно всё, и постоянно висящие сессии с мониторингом итп, и взрывные нагрузки с передачей файлов
Уже достаточно давно сильно обрезают стоит только лишь начать "подозрительно шевелиться".
Если вы вдруг не сталкивались и у вас при этом ещё и пролезают файлы, бэкапы, дампы, и прочее безобразие, то я бы назвал это уже практически парадоксальным.
Тспу на всех моих провайдерах (да и у друзей тоже) имеют ssh в белом списке протоколов, т.е. на 16кб блокнутых хостингах SSH работает без проблем (и в режиме прокси тоже)
Я конечно не эксперт, но xtls-rprx-vision надёжно работает только с tcp, других вариантов нет, прочитал, подумал интересно как, проверил всю документацию даже перевод с китайского использовал и там нет ни чего про xhttp xtls-rprx-vision. Как вы проверили эту информацию?
Действительно не работает.
Нужно vless encryption включить.
https://github.com/XTLS/Xray-core/discussions/5568
По крайней мере у меня вроде как завелось все.
>rprx argued that TLS encryption alone is insecure and vulnerable to snooping by MITM or CDNs. Therefore, he believes encryption should be mandatory. However, to balance performance, he also recommended enabling flow, which avoids secondary encryption for TLS 1.3.Therefore, the solution is to enable both encryption and flow.
Вопрос знатокам- насколько реально это работает?
@MiracleUsr @0ka можете по этому вопросу проконсультировать?
когда то НОРМИСЫ узнают о naiveproxy.... а пока, будут прыгать с одного на другой
Naiveproxy точно так же имеет ряд проблем (в теории позволяющих его детектировать рано или поздно, особенно при стандартных конфигурациях), которые уже давно решены в Xray. Я бы на него уж точно ставку не делал.
"в теории позволяющих его детектировать рано или поздно, особенно при стандартных конфигурациях" при стандартных конфигурациях я не спорю, NaiveProxy сложно и долго настраивать, по этому обычные юзеры его и не ставят
а вот VLess при стандартных конфигурациях не работает вообще
При желании найдут всех по количеству трафика. Я пользуюсь тем что удобно (ovpn и awg), а naive ничем не удобнее vless, в некоторых моментах даже хуже (congestion control и нагрузка на цп как минимум)
да я сам юзаю SS22 потому что его перестали трогать, просто учитвая то как быстро блокируют все протоколы - лучше перейти на Naive proxy и не мучатся с прыжками из протокола в протоколы, а то постоянно у кого то чтото работает,у кого то нет, а NaiveProxy будет работать стабильно без бесконечной перенастройки, ведь любая попытка детектить NaiveProxy - попытка детектить Chrome
а по количеству трафика нас только какой нибудь Nym спасет
Не существует ни одного подтвержденного факта блокировки современных маскировочных протоколов, к примеру VLESS+Reality.
Все, что сейчас делается, это ковровые бомбардировки TLS. Это 16кб блокировка, триггер блоки, черные списки хостеров с белым списком SNI и так далее.
Кроме того, что NaiveProxy сам по себе весьма спорный, он не способен решить ни одну из этих проблем.
>юзаю SS22 потому
а почему не просто vless+ encryption? те же самые яйца,но в профиль только современнее) белый шум. нет?
www.speedtest.net — высокий трафик
Потому и давно уже заблокирован
Если даже идея ваша. Если нейросетки просто верстают итоговую версию статьи и исправляют опечатки. Вычитывайте пожалуйста
Это не «желательно» — это условие работоспособности.
Дичайший маркер, будто в чатгпт/дипсик зашёл. Очень режет глаз, когда нейронки воду льют, переставляя слова из предыдущего предложения. В предыдущем уже было что версии должны совпадать, иначе ошибки, и тут просто из ниоткуда "пустое" предложение, которое попросту не нужно в тексте.
Единственное нормальное в перспективе ухудшающейся ситуации решение здесь на хабре уже обозвали нейрослопом и выдумками.
Подробнее? Ничего непонятно
В комментариях достаточно написали о том, почему именно это нейрослоп, не вижу смысла повторяться.
К тому же оно не единственное и уж точно не "нормальное". Это решение - решето.
Во первых как вы объясните необходимость иметь возможность строить туннели между двумя физиками (ШПД <-> ШПД) в условиях когда даже бизнесу палки в колеса вставляют?
Во вторых - ну включили вам белый список, удачи подключиться к своему шлюзу со старлинком
достаточно написали о том, почему именно это нейрослоп, не вижу смысла повторяться.
Не надо повторяться. Я видел рассуждения про нейрослоп, но позвольте мне иметь свое мнение на этот счет.
Во вторых - ну включили вам белый список, удачи подключиться к своему шлюзу со старлинком
Например сам перееду в место установки старлинка.
А вам удачи крутить настройки TLS хендшейка, пытаясь пробиться через белые списки.
Например сам перееду в место установки старлинка.
А вам удачи крутить настройки TLS хендшейка, пытаясь пробиться через белые списки.
И будете точно так же сидеть на пороховой бочке и ожидать когда же они поправят обнаружение локации и он перестанет работать.
Даже если окажется, что такие места реально существуют, то это совсем-совсем не универсальный способ, тем более не для всех.
Если мы окажемся в ситуации когда к этому терминалу нужно будет переезжать, то я предположу, что для большинства, которые готовы тратить деньги и выискивать точки на границе где старлинк все еще работет будет проще эту самую границу перейти и забыть обо всем этом как о страшном сне.
будет проще эту самую границу перейти и забыть обо всем этом как о страшном сне
Это план "А" )
эту самую границу перейти и ...
начнется самое интересное. Где и как найти работу? Как открыть счет в банке без работы, без договора аренды, без долговременной визы? Как получить эту самую визу? Поступить в ВУЗ? Ну, можно еще разочек. Найти работу? Ну, успехов в поисках работы с виза спонсорством, когда таких как вы миллион россиян, и 30 миллионов индусов-пакистанцев за забором.
ИТ-никам в этом плане проще, и нужно этим пользоваться. Лично у меня работа полностью удаленная и не связанная с РФ. Для меня смена локации вообще не повлияет на уровень дохода.
В плане виз - да, сложно. Европу и США я сразу вычеркиваю, там последнее время какой то мрак в этом отношении. Но, к счастью, мир не ограничивается этими локациями.
В плане виз - да, сложно. Европу и США я сразу вычеркиваю
США понятно, а с Европой что не так? Тут сейчас в очень многих странах есть варианты а-ля digital nomad, для которых достаточно подтвердить только наличие дохода. Плюс есть специальные компании, которые удалёнщикам за разумные деньги ведут бухгалтерию и оформляют местное трудоустройство.
Как написал человек выше, начинается - счет в банке (которые россиянам не открывают, а открытые - блокируют), виза, ВНЖ, аренда, которую не дадут без счета и ВНЖ...
Со счетами в банках нет проблем при наличии контракта с местным работодателем либо европейского ВНЖ. Если работодатель не местный, то и без местного банка можно обойтись.
ВНЖ для удалённой работы, как я уже писал, во многих странах есть.
С арендой вообще не понимаю, какие могут быть проблемы. Разве что оплату наличкой местами постепенно прикрывают, но с иностранного банка ничего не мешает за неё переводить.
P.S. от страны к стране, конечно, всё сильно разнится, вышесказанное точно справедливо для Кипра и Германии, про несколько других стран на уровне слухов знаю, что ситуация похожая.
У хорошего специалиста этих вопросов нет. Просто будьте ценны своей новой родине. :3
Моя коллега биоинженер 26 лет уехала на стажировку в Японию в 2025. И её уже взяли в аспирантуру в университет мирового уровня. Потому, что она им понравилась. Вот и всё.
вам удачи скрыть свой старлинк от полиции когда скажут их искать
Когда маскировка идеальна на входе, нейросети смотрят на то, что происходит дальше, и XHTTP с разделением на отдельные транзакции выглядит логичным. Про выбор SNI добавлю - важен не только ASN, но и типы контента.
ИИ слоп
del
Выглядит как лютая смесь машинного перевода ридмишек с гитхаба и галлюцинаций нейронки...
Половина инфы про то как Reality завершает сессию на серверах Apple технически неверна в корне
Подброшу промпт переписывания на человеческие языки) От автора блога, где уже хрен отличишь, то есть что-то точно работает:
Короткая версия промта:
Отредактируй текст и убери нейрояз: пафос, канцелярит, «не X, а Y», рубленые фразы, лишние тире, кавычки и слово «это». Сделай текст простым, живым и разговорным.
Длинная версия:
Отредактируй текст ниже и убери из него нейрояз.
Правила редактирования:
Убери пафосные вводные конструкции вроде «в современном мире», «в условиях быстро меняющейся реальности», «на сегодняшний день» и подобные.
Убери негативный параллелизм и псевдодраму:
«не просто…, а…»,
«это не…, это…»,
«не X, а Y».Избавься от рубленых предложений подряд. Текст должен течь естественно, как разговорная речь.
Минимизируй использование длинных тире. Используй их только там, где они действительно нужны.
Убери лишние кавычки. Оставляй кавычки только там, где без них невозможно.
Уменьши количество слова «это». Перепиши фразы так, чтобы текст звучал естественно.
Убери искусственные списки вроде «во-первых, во-вторых, в-третьих», если они не нужны.
Удали канцелярские конструкции:
«данный подход»,
«имеет важное значение»,
«позволяет повысить эффективность».Убери пустые экспертные фразы:
«важно отметить»,
«следует учитывать»,
«таким образом можно сделать вывод».Избавься от гиперобобщений:
«каждый предприниматель»,
«в современном бизнесе»,
«в наше время».Упростить избыточные формулировки. Вместо «эффективная стратегия устойчивого роста» пиши просто и понятно.
Сделай текст живым: добавь разговорную интонацию, естественные переходы и простые формулировки, как если бы автор писал сообщение знакомому.
Сохрани смысл текста, но перепиши его так, чтобы он звучал как человеческий, а не как текст нейросети.
Вы чего, большинство таких высеров пишутся простым промптом "напиши статью на Хабр про вот это вот". И пишут обычно люди недалекие, не способные даже задать системный промпт, даже скопировать его откуда-то. И они берут числом, а не умением, вот в этом и беда.
Хорошие правила, надо и свои тексты на них будет проверять. Пункты 9 и 10 со школы ещё засели, когда хотелось себе авторитетности подбавить. А вот типографские тире использовал и буду использовать — не злоупотребляя, разумеется, но где положен M-dash, то он и будет, а не дефис.
Статья кажется полностью скопирована из ии чата у которого галюны. Это просто куча бреда про блокировки которых не существует. Кажется автор не сделал ни 1 теста в реальных условиях.
"Зайди на scrapfly.io/web-scraping-tools/ja3-fingerprint из обычного Chrome и запомни хэш. Теперь подключись через Xray без параметра fingerprint и зайди снова. Хэши будут разными" - автор видимо сам не заходил по своим ссылкам, прокси клиент абсолютно никак не влияет на тлс отпечаток браузера, его невозможно изменить без слома шифрования.
"Если предыдущие слои дали неопределённый результат — система отправляет к серверу разведчика. Пробует поговорить на HTTP, HTTPS, разных версиях TLS. Если сервер ведёт себя как легитимный веб-сайт — пропускает. Если не отвечает или отвечает нетипично — блокировка." - ркн уже занимались актив пробингом в прошлом для блокировки whatsapp, но ТСПУ этим не занимается.
"Xray без fingerprint: chrome использует Go-стандартную TLS-библиотеку" - нет, xray по дефолту использует chrome.
"Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает. Она маскирует установку соединения, но не маскирует то, что по этому соединению передаётся. Именно поэтому серверы с высокой нагрузкой и активным использованием падают быстрее" - у ТСПУ тупо нет мощностей для такого анализа, даже блокировок просто по количеству трафика я не видел.
"WebSocket... Этот паттерн (HTTP Upgrade + бесконечный поток без характерных HTTP запрос-ответных пар) детектируется давно и надёжно." - ТСПУ никогда не детектил вебсокет (естественно без шифрования, с шифрованием это невозможно).
"Хорошие доноры - speedtest.net" - кажется автор забыл что спидтест заблокирован в рф... имхо хороший донор - ваш собственный домен, если будете ставить чужие то сделаете хрень которую при желании мгновенно задетектят.
"VLESS+Reality без XHTTP. Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе." - бред, реалити в основном работает, но есть 1 блокировка на ТСПУ которая может мешать: блок множества тлс хендшейков (~6) за короткое время (сибирская блокировка), решается сменой транспорта на GRPC или XHTTP c xmux max_connections:1.
"VLESS+Reality без XHTTP. Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе." - бред, реалити в основном работает, но есть 1 блокировка на ТСПУ которая может мешать: блок множества тлс хендшейков (~6) за короткое время (сибирская блокировка), решается сменой транспорта на GRPC или XHTTP c xmux max_connections:1.
Хочется добавить, что это настолько шизоидная блокировка, что так же как и 16кб ломает большую часть нормального интернета. Но она легко обходится способом, указанным выше. При этом ее то включают, то откатывают.
Можете подсказать, где это указывается: xmux max_connections:1 ? У меня панель x3-ui.
ТСПУ никогда не детектил вебсокет (естественно без шифрования, с шифрованием это невозможно).
С шифрованием это в теории возможно примерно тем же путем, как возможен детект TLS в TLS. При условном GET клиент отправляет запрос, получает на него большой ответ. При использовании вебсокетов клиент сначала отправляет Upgrade (относительно маленький пакет), потом получает небольшой ответ (относительно маленький пакет), и только потом начинает обмениваться данными (+ потенциально опять же детект TLS в TLS)
можно ж наверное и примитивней подлоги ловить, в ip v4 уж точно.
раз в сутки собирать показание счетчиков вида :
целевой айпи сервера ,
что он выдает (icloud /win update) ,
количество клиенских уникальных айпи с ним соединяющихся.
если айпишек по РФ мало, значит что этот icloud "для меня и мамы"
иитого, публичные квн можно ловить по айпи, частные - по частотному/статистическому анализу.
ну и, в целом построить таблицу на условных 4ккк адресов и оценивать уровень "безопасности" каждого дело нехитрое. с v. 6 вот все сложнее
Не понял, а что если у меня uTLS Firefox? Бежать менять срочно на Chrome или забанят?
Берём бесплатный домен третьего уровня на любом подходящем сервисе, например в Dynu, sslip.
Настраиваем получение TLS-сертификата через Let’s Encrypt.
Настраиваем Lighttpd для отдачи статической HTML-страницы. Старичку сделайте сами, или попросите Чат Гпт.
Настраиваем VLESS в режиме self-steal.
Готово! Ваш VPN-сервер защищён от обнаружения DPI, в том числе с помощью активного зондирования и других методов.
Ещё бы как-то совместить это с xhttp.
Настройка fullback в 3x-ui есть только с транспортом tcp, который периодически могут блокировать. В таком случае толку от селфстила нет никакой.
готово, и ничего против сибирской блокировки (блока после множества тлс хендшейков за короткое время), которую уже постепенно раскатывают на моб сетях в других регионах
вот кстати тестер https://77.223.98.115.nip.io:47443/flood.html и хочу написать статью (на подверженых сетях success зависает на ~12 и все остальные запросы - failed)
Господа, а никто не раздумывал, можно ли пойти от обратного?
В статье мы видим:
...несколько последовательных слоёв проверки, каждый дороже предыдущего по вычислительным ресурсам...
А что если допустить существование общедоступного широким массам прогреватора эркаэна? То есть разворачивать такой трафик между точками, который будет выглядеть для этой системы лишь немношк подозрительным, дабы эти самые супердорогие мощности тратились на прогрев гоев этой волшебной стоечки с оборудованием. А дальше дело техники, буквально бытовой техники и мобильной электроники, на мощностях которой можно обеспечить нагрузочное тестирование 24/7/365.
Насколько это реализуемо и законно?
Есть еще один из вариантов. Метод его воздействия, мгновенно и сразу освобождает трафик от скверны: Требования к установке ТСПУ включают "обеспечение защиты от несанкционированного доступа" . Это признание того, что физическая безопасность — это проблема. В типовой схеме байпас стоит перед всем комплексом. Именно он держит линк оператора . Физическая проверка байпаса на фактор стресса, гарантирует отказ всей душегубской системы.
Это не проблема, это риск. Стоят эти установки у провайдеров и ОПСОСов в их машзалах, в регионах это опечатанные стойки на сигнализации, в Москве это клетки и коридоры - аналогично, опечатанные и на сигнализации.
Попасть посторонний туда может очень редко, в основном это небольшой список сотрудников провайдера, но и чтобы у них не было лишних возможностей, как я сказал, все опечатано и под сигнализацией на пульт.
К статье есть серьёзные вопросы.
Реальное iCloud-соединение от iPhone имеет характерный паттерн: конкретные API-эндпоинты, характерные тайминги, специфичные заголовки. VLESS-туннель с произвольным трафиком ведёт себя иначе: постоянный двунаправленный поток без пауз, нетипичные размеры пакетов, никаких iCloud API-запросов.
Каким образом можно определить API-эндпоинты, если путь, заголовки, параметры и тело запроса зашифрованы и стороннему наблюдателю виден только SNI?
WebSocket умер по конкретной причине: соединение начинается с HTTP Upgrade, после чего переходит в постоянный двунаправленный поток без характерных HTTP запрос-ответных пар. Этот паттерн детектируется давно и надёжно.
Вовсе он и не умер. WS/HTTPUpgrade-транспорт работает до сих пор. А причина его потенциальной уязвимости кроется главным образом в alpn HTTP/1.1, что при использовании CDN может быть подозрительным (по умолчанию они работают по HTTP/2 и HTTP/3, если поддерживается браузером). Подчеркиваю: может быть. Мне неизвестно ни об одном случае блокировки по этому признаку.
XHTTP разделяет восходящий и нисходящий трафик на отдельные HTTP-транзакции
Непонятно, о каких транзакциях идёт речь. Если о HTTP-запросах, то режим stream-one создаёт только один. Если про разделение нисходящего и исходящего потоков, то это работает только при дополнительной настройке.
packet-up— <...> Стартовый выбор по умолчанию.
Неправда. По умолчанию сервер принимает все три режима. А поведение клиента зависит от параметров TLS и alpn.
stream-up— <...> Быстрее, но не проходит через все CDN и реверс-прокси. Для прямого соединения без CDN.
Первое утверждение противоречит второму. Если некоторые CDN (в том числе самая популярная — Cloudflare) поддерживают этот режим, зачем безапелляционно утверждать, что он предназначен только для прямого соединения?
stream-one— <...> Медленнее, но единственный режим совместимый с XTLS-Vision.
Снова неправда. XTLS-Vision поддерживается всеми режимами xHTTP (и другими транспортами) при включении VLESS Encryption. (Но TLS-in-TLS будет устранён только при использовании RAW (TCP)-транспорта с TLS 1.3).
Nginx для stream-one требует конкретных директив: ...
Достаточно grpc_pass
Версии Xray на клиенте и сервере обязаны совпадать. Несовпадение даёт либо глюки, либо полную неработоспособность без понятных ошибок. Это не «желательно» — это условие работоспособности.
Это отнюдь не условие работоспособности. Версии могут быть разными. Более того, насколько мне известно, во VLESS реализован механизм обмена информацией о версиях ядра клиента и сервера и функционал подстраивается под это соотношение. Да, отсутствие некоторых функций на одной стороне может привести к невозможности подключения, но далеко не всегда.
Ну и напоследок про таблицу. Сначала вы пишете про IP/ASN несоответствие, а потом называете связку VLESS + XHTTP + Reality «лучшей из доступных», даже лучше сервера со своим собственным доменом. Хотя в таком случае проблема несоответствия домена IP-адресу сохраняется.
Далее в таблице указано, что xHTTP работает через CDN только в режиме packet-up, что не соответствует действительности: функционально это поддерживается каждым из режимов. Packet-up лишь обеспечивает максимальную совместимость со всеми CDN.
По неизвестной причине TLS-отпечаток в конфигурации VLESS + xHTTP без Reality у вас удостоился лишь звания «хорошего», хотя utls работает одинаково и с ним, и без. Про XTLS-Vision уже писал.
Но самое удивительное, что вы заявляете о частичной поддержке работы через CDN конфигурацией VLESS + XHTTP + Reality. Это исключено. Reality никоим образом не может проходить через CDN, это противоречит принципу его работы.
Складывается ощущение, что ИИ принял самое непосредственное участие в написании этой статьи, потому что человек, который ознакомился с документацией, не допустил бы таких глупых ошибок.
//OFFTOP
Коллеги, а обсуждается ли где-то противовес ркп в юридическом поле? Ибо понятно, что блохировки ровненько ложатся в подготовленное правовое русло. Как-то его надо менять, поворачивать вспять - такой движ хоть где-то наличествует? Ну, например прировнять доступ в интернет к воздуху, как базовой потребности то есть... Бороться с исполнителем сложно, однажды можно оказаться в кабинете, из которого Колыму видно - это ежу понятно...
Не знаю, у меня когда VPN забанили, на починку ушло часа три-четыре, и то во многом потому, что я просто не ожидал такого сценария. В целом кажется, что при нынешнем тренде борьбы с обходами власти могут со временем прийти не к бесконечной блокировке VPN, а к модели, где внешний интернет фактически закрыт, а доступ к нему идёт через единый государственный шлюз или VPN по заявке — то есть контролируемый выход во внешний интернет из страны. Но тогда возникает вопрос соответствия такой модели Конституции РФ: например, статье 3, где говорится, что носителем власти является народ, и статье 29 пункту 5, где закрепляется свобода массовой информации и запрет цензуры; поэтому выглядит странно, что решения, которые могут затрагивать эти принципы, принимаются так, будто позиция отдельных органов автоматически равна позиции всего народа.
А какие ещё порты можно использовать кроме 443?
Я дико извиняюсь за оффтопик. В чем автор рисует диаграммы? Мне понравилось.
Я использую, https://labs.google/fx/ru/tools/flow
Хороший инструмент в правильных руках — возможно нужна подписка.
у меня на ростелекоме винда с vless никак не работает (hiddefy, nekoray). А вот мак через shadowrocket - отлично.
Искренне не понимаю почему люди настолько неуверенны в себе и без какого-либо уважения к читателям. Ну напиши ты хоть кривенькую и косенькую статью, но свою. Много каких-то додумок без фактов. Человек описывает лишь свои предположения как ТСПУ "ловит" еще и нейронку подключили. а TLS сертификаты от моего домена они тоже расшифровывают?)))
ИМХО лучше статью попроще читать, но со своими мыслями хотя-бы
Наверное потому , что как и в любой прикладной сфере деятельности, в IT сообществе есть гуру и нубы, первые не очень мягко говоря любят , когда последние что-то предлагают "на техническом" ну и выливают свое недовольство тут же) А ещё есть всеобщее раздражение ситуацией, и как говорится не лезь поперек пекла в батьку. Ну и в довесок - есть рабочие методы обхода блокировок, они не любят шума и суеты.
Вчера настраивал два сервера. На обоих какой бы я протокол не использовал tcp, grpc или xhttp скорость до 10-20мбит. Это при том, что используется мост в виде РФ сервера. И селфсни тоже не помог.
xhttp не выход получается. Или я туплю в чем-то
Я так понимаю, ТС-а спалили на том что пост нейросетевая бредятина, он обиделся и удалил всё?
Как ТСПУ ловит VLESS в 2026 и почему XHTTP — следующий шаг