Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 37
Материал подан интересно, в практическом плане чего ожидать?
Реализуемо! Можете оформить фолоу (чтобы не пропустить) на мой профиль и обязательно как у меня освободится окошко я напишу практическую часть.
Ждем
А вот как чайнику, который с ИИ заводил xray будет очень сложно самому поднять истерию?
Возможно поможет: https://habr.com/ru/articles/776402/, но статье 2 года. Сам не ставил.
Соревнование брони и снаряда
Спасибо Вам за пост!
Подскажите пожалуйста:
1) "Masquerade без obfs — хорошая маскировка, но уязвим к статистическому анализу
Salamander с obfs — хаотичный трафик, но нет легенды при зондировании"
Правильный выбор зависит от того, против чего именно ты защищаешься.
На большинстве российских провайдеров в 2026-м Salamander даёт лучший результат — ТСПУ активно детектирует QUIC-паттерны, и obfs на уровне Initial пакетов ломает эту детекцию раньше, чем она случается."
На основании вышесказанного, делаю вывод, что в текущих реалиях вариант с обфускацией в приоритете. Подскажите пожалуйста, в сравнении Salamander с obfs VS AmneziaWG 2.0.
Я понимаю логику, что внешне шум, внутри разное, но в контексте реальных блокировок в чем Hysteria2 выигрывает или наоборот?
На практике, как вижу, awg вполне себе хорошо справлчется с блокировками, хочется понимать разницу.
2) Насколько критично, какой sni указан в Hysteria2? Как это анализируется?
3) Hysteria2 = VLESS+XHTTP+QUIC
на данный момент это так или нет?
4) Я был склонен именно к первому варианту (Masquerade без obfs), ввиду мимикрии под что-то реальное, а не шум. Я Вас правильно понял, что в текущих реалиях по паттернам будет видно, что это не реальный QUIC HTTP/3?
И сюда же, возможно, чтобы сливаться с толпой, Brutal просто отключать?
Спасибо за ревью и вопросы, отвечаю вам по пунктам.
1. Salamander vs AWG
AWG на практике сейчас стабильнее и ты это сам видишь. Hysteria 2 берёт своё только там, где канал нестабильный и Brutal реально нужен. На нормальном канале в РФ AWG проще, меньше движущихся частей, меньше что сломается.
2. SNI
Важно, но не критично само по себе. Проблема в несоответствии: если SNI говорит «я Apple», а IP твоего сервера из Hetzner Frankfurt — это видно. Выбирай донора, чьи серверы физически рядом с твоим VPS по географии.
3. Hysteria 2 vs VLESS+XHTTP
Нет, это разное. Hysteria 2 это отдельный протокол со своей кодовой базой, своим QUIC и Brutal. VLESS+XHTTP — это Xray-core с HTTP/2-3 транспортом. Внешне похоже, внутри совсем другое.
4. Твоя интуиция про Masquerade + без Brutal
Правильная. Masquerade даёт живой HTTP/3-ответ при зондировании — это реальная защита. Brutal этот же трафик демаскирует поведенчески. Если убрать Brutal и оставить BBR теряешь скорость, но трафик становится ближе к нормальному браузеру. На стабильном канале это честный и рабочий компромисс.
Супер, спасибо
Ну вот да, AmneziaWG, вроде норм, а мало как-то про нее в целом и в сравнение сейчас, больше про более сложные варианты.
По поводу SNI вообще сложная эта грань)
Вроде, и вообще особо упарываться не нужно по подбору, даже в реалити - с одной стороны, а с другой - кто-то наоборот сильно парится и даже в Hysteria2.
Я думаю, сейчас по простоте и проходимости логично использовать AWG 2.0, Reality и Hysteria2 именно без obfs. Это как 3 основные варианта при разных блокировках в моменте.
Также опционально тестить Brutal на нестабильных каналах.
На перспективу еще бы смотрел на TrustTunnel, Naive, TUIC
ну и в целом как подходы VLESS "steal from yourself" и каскадная цепочка.
Еще чем хороша AWG - что много трафа не блочат такого рода (неопознанного UDP) - например игры, WebRTC, VoIP, Torrents, IoT и т.д., а на этом поле AWG действительно хорош и особо нет смысла в той же Hysteria2+obfs.
Подскажи плиз подробнее про вот эту часть: "Masquerade без obfs — хорошая маскировка, но уязвим к статистическому анализу".
Я понял эту часть, будто не совсем честный QUIC выдаёт Hysteria2 голая, или не в этом мысль?
"ТСПУ активно детектирует QUIC-паттерны" - все же блочится честный QUIC? Ведь он и в vk и прочих "хороших" сервисах
Еще жду, чтоб Hysteria2 появилась в 3x-ui в инбаундах
вроде, интегрировали, должны сделать
Trust tunnel, naive, awg - это всё рушится белым списком IP. Стоит приглядеться к DNSTT и похожим разработкам. Например, к slipstream, который разительно быстрее DNSTT.
На некоторых операторах данные протоколы, если их так можно назвать, даже без оплаты связи работают и во время действия белых списков.
Поэтому, на мой взгляд, будущее за технологиями по типу DNSTT или IP из белого списка. А имея подходящий IP, сам туннель душить меньше будут, любой простейший vless конфиг подойдёт
Интересная штука, но всё ломается о проблему 1 - QUIC. Там SNI зашифрован и цензор просто блочит всё, что без SNI. Правда с таким подходом эта тулза конкурирует с WG по скорости, только подтянута обфускация и логика (и не заброшена)
В QUIC SNI передаётся в TLS ClientHello, а первый ClientHello идёт в Initial-пакетах QUIC. Эти пакеты формально защищены, но их ключи выводятся из значений, видимых на сети, и спецификация прямо говорит, что Initial не имеют эффективной конфиденциальности. На уровне MitM возможно восстановить ключи и прочитать содержимое, включая SNI.
ТСПУ это поддерживает, но это требует ресурсов, так что по умолчанию QUIC блокируется. Но на ТСПУ можно разблокировать внеся в QUIC List
Я, конечно, не настоящий сварщик, но, на мой взгляд, разговоры про ML-классификаторы трафика - это (пока, по крайней мере) наукообразные страшилки. Если приборы не справляются с простой сборкой порезанных/перемешанных пакетов, то как они будут в ML-классификацию?
Когда речь идёт о "паттернах запросов", то, как правило, имеется в виду содержимое ключевых пакетов в сессии (Client/Server Hello etc.). Там, если кто не в курсе, передаётся дофига информации, её легко/быстро выпарсить и проверить. Она устойчива и отличается для разных клиентов (FF/Chrome/Curl/Win/Android etc.), если, конечно, не предпринимать специальных усилий по "имперсонации". Максимум - длины первых N пакетов. В проверку же "межпакетных интервалов", как массовое явление, лично я - не верю. Если для проводного интернета тут ещё можно делать какие-то предположения, то для мобильного - крайне сомнительно.
А с практической точки зрения, думаю, будет работать или брутфорс (что-нибудь типа port hopping) или мимикрия под "легальный" трафик. Причём, не полированная под какой-то один шаблон, а перебирающая разные (типа поиска sni или параметров вивисекции пакетов в запрете).
Ряд российских провайдеров режет UDP трафик на 443 порту или замедляет QUIC в целом.
На самом деле не ряд провайдеров, а буквально все. Это архитектурная особенность ТСПУ. HTTP/3 по умолчанию блокируется и его нужно разрешить явно добавлением в QUIC list
Так что протокол совершенно бесполезен в РФ.
naive proxy лучше
Чем?
Тем, что не QUIC, который блочится просто потому, что QUIC. Не совсем понятно, для каких целей вообще разрабатывать способ обхода на изначально заблокированном протоколе. Может быть не для РФ?
всем
почти что единственный в мире протокол который почти невозможно заблокировать не задев деф трафик / не применяя эвристики по времени подключения и размеру пакетов
Текст нейрона писала? Чувство такое есть
Мне кажется какую-то часть) тоже заметил. Может автор в моменте решил добавить "воды" или дополнить текст. В любом случае, не вся статья написана ИИ, что уже отчасти редкость для хабра..
И мне заметно это сильно. Комменты за автора тоже нейросеть пишет.
Эх, оказывается, до недавнего времени хабр был ещё "торт", хотя много говорили, что уже нет.
Нет.
Просто есть какой то феномен когда везде начинают мерещиться – нейросети, такое время.
«напиши пж комментарий чтобы ему ответить»
Я ежедневно час-полтора в день читаю Хабр (с 2009 года), а также множество других ресурсов и литературы. Да, нейросети уже более-менее сносно пишут и многим даже незаметно это, но поверьте, пока ещё сильно бросается в глаза этот робо-стиль текста) я подумал, что может я ошибся все таки, глянул одним глазом на другие ваши статьи - нет, не ошибся.
А юмор оценил))
Спасибо за статью. Как раз хотел почитать понятным языком про истерию, но было лень искать - а тут статья сама меня нашла.
Правда так и не смог для себя определить стоит ли попробовать поднять отдельный сервер с ней. Вроде бы и так имею хорошо замаскированный обратный прокси с VLESS, на скорость не жалуюсь даже на парковке (разве что задержка при открытии страниц и обновлении ленты высоковата как будто бы).
Поставил эту истерию месяц назад и она отпала уже через пару дней, что на ВПС что у провайдера.
Если вам нужна помощь в восстановлении разрушенных отношений или брака, или вы хотите вернуть любимого человека, вы можете обратиться за помощью к доктору Оману.
Электронная почта: miraculoussolutionhome@yahoo.com
Вы также можете позвонить ему или написать в WhatsApp:
http://wa.me/+66836855474
Прыжки по портам шикарная фича для Китая, но в РФ ТСПУ анализирует протоколы, а не порты, поэтому у нас не имеет особого практического смысла заворачивать iptables на сервере ради хоппинга в 2026 году , только лишняя нагрузка на netfilter
Интересно, почему массово не используют обычные веб-сокеты. В них же можно гнать произвольный бинарный трафик. А реализацию самого веб-сокета брать готовую и не нужно специально маскироваться. Плюс можно попытаться спрятаться за каким-нибудь российским CDN, так как трафик легальный HTTP по всем стандартам.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Hysteria 2: протокол, который притворяется HTTP/3 и почти не врёт