rcq Jun 16 at 05:30

Прячем метаданные в мессенджере: 2-hop onion-lite поверх обычных VLESS + Reality relay, и почему это почти бесплатно

Hard

12 min

8.1K

Information Security * Network technologies * Cryptography * Open source * Development of mobile applications *

Case

Comments 4

Bratken Jun 16 at 07:35

У меня впн с обычной xor-обфускацией. И все работает. Забеги с этими vless и прочими штуками напоминает мем про джуна с граблями vs синьор с граблями, где второй виртуозно трюкачит на граблях и все равно втыкается в них лицом. Что у меня по IP серваки если забанят, то все. Что у вас протоколы и vps блочат и тоже все.

rcq Jun 17 at 05:19

Спасибо, но тут смешаны два уровня, разведу.

Про IP вы правы, и в статье это прямым текстом: IP горят одинаково, relay у нас расходник, вся ставка на быструю ротацию адресов. Reality никогда и не обещал спасти IP, он про другое.

Про протокол XOR и Reality не равны. XOR-обфускация держится ровно до тех пор, пока цензор не смотрит активно. Как только он включает активный пробинг (сам стучится на ваш сервер) или ставит DPI по сигнатуре, XOR и классические VPN-протоколы палятся, и режут не один ваш IP, а весь класс трафика разом, по сигнатуре. Именно так в РФ и Иране массово выпиливают OpenVPN, WireGuard, IKEv2 и простые обфускаторы. Reality на пробинг отвечает чужим легитимным сайтом, сигнатуры протокола нет.

Отсюда вся разница, и она не в красоте, а в цене для цензора. XOR умирает от одного обновления сигнатуры сразу на всех серверах. Reality заставляет банить по одному IP, по мере обнаружения, вручную и дорого. «И там и там в итоге IP-бан» верно по форме, но скорость и стоимость отличаются на порядок. В этом весь смысл, а не в трюкачестве.

И да, конкретно эта статья вообще не про обход, она про метаданные: чтобы один relay по дороге не видел ваш IP и адрес назначения сразу. Одиночный XOR-VPN эту задачу не решает в принципе, там ваш единственный сервер видит всё.

marimedvedev Jun 16 at 08:53

Слишком много технических слоёв и терминов, местами тяжело следить за логикой. Не до конца понятно, как это поведёт себя при реальной нагрузке и сбоях в сети.

rcq Jun 17 at 05:18

Про слои согласен, плотно. Суть в одной фразе: два relay вместо одного, вход залипает, выход крутится, и если что-то падает, всё откатывается на однохоп. Остальное детали.

Про сбои и нагрузку отвечу конкретно.

Сбои. Однохоп это пол. Умер выход, urltest перевыбирает живую выходную цепочку. Умер вход (подтверждённая блокировка, около минуты), клиент ротирует вход и пересобирает транспорт. Живых relay в пуле меньше двух или онион выключен, клиент сам падает на однохоп, тот самый, что работал и до онион. Худший случай по связности это не «всё легло», а «онион выключился, работаем как раньше». Обрыв входа посреди сессии рвёт всю цепочку (выход идёт внутри входа), клиент переподключается, это секунды переустановки, не потеря данных.

Нагрузка. Онион удваивает стоимость на активную цепочку: вход несёт внутри себя весь выходной туннель, и Reality с vision считаются на двух хопах вместо одного. Для мессенджера ок, трафик маленький и это в основном простаивающий WebSocket плюс короткие сообщения. Для видео я бы по умолчанию не включал. Стационарная добавка к задержке это один лишний хоп RTT, а +0.7s из статьи это разовая установка соединения, не на каждый пакет.