Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 59
Материал подан интересно, в практическом плане чего ожидать?
Реализуемо! Можете оформить фолоу (чтобы не пропустить) на мой профиль и обязательно как у меня освободится окошко я напишу практическую часть.
Ждем
А вот как чайнику, который с ИИ заводил xray будет очень сложно самому поднять истерию?
Возможно поможет: https://habr.com/ru/articles/776402/, но статье 2 года. Сам не ставил.
С ИИ точно сможешь, я смог
Вот такое есть, весьма простая установка, но панель весьма лагучая. Но у меня работает https://github.com/ReturnFI/Blitz
Соревнование брони и снаряда
Спасибо Вам за пост!
Подскажите пожалуйста:
1) "Masquerade без obfs — хорошая маскировка, но уязвим к статистическому анализу
Salamander с obfs — хаотичный трафик, но нет легенды при зондировании"
Правильный выбор зависит от того, против чего именно ты защищаешься.
На большинстве российских провайдеров в 2026-м Salamander даёт лучший результат — ТСПУ активно детектирует QUIC-паттерны, и obfs на уровне Initial пакетов ломает эту детекцию раньше, чем она случается."
На основании вышесказанного, делаю вывод, что в текущих реалиях вариант с обфускацией в приоритете. Подскажите пожалуйста, в сравнении Salamander с obfs VS AmneziaWG 2.0.
Я понимаю логику, что внешне шум, внутри разное, но в контексте реальных блокировок в чем Hysteria2 выигрывает или наоборот?
На практике, как вижу, awg вполне себе хорошо справлчется с блокировками, хочется понимать разницу.
2) Насколько критично, какой sni указан в Hysteria2? Как это анализируется?
3) Hysteria2 = VLESS+XHTTP+QUIC
на данный момент это так или нет?
4) Я был склонен именно к первому варианту (Masquerade без obfs), ввиду мимикрии под что-то реальное, а не шум. Я Вас правильно понял, что в текущих реалиях по паттернам будет видно, что это не реальный QUIC HTTP/3?
И сюда же, возможно, чтобы сливаться с толпой, Brutal просто отключать?
Спасибо за ревью и вопросы, отвечаю вам по пунктам.
1. Salamander vs AWG
AWG на практике сейчас стабильнее и ты это сам видишь. Hysteria 2 берёт своё только там, где канал нестабильный и Brutal реально нужен. На нормальном канале в РФ AWG проще, меньше движущихся частей, меньше что сломается.
2. SNI
Важно, но не критично само по себе. Проблема в несоответствии: если SNI говорит «я Apple», а IP твоего сервера из Hetzner Frankfurt — это видно. Выбирай донора, чьи серверы физически рядом с твоим VPS по географии.
3. Hysteria 2 vs VLESS+XHTTP
Нет, это разное. Hysteria 2 это отдельный протокол со своей кодовой базой, своим QUIC и Brutal. VLESS+XHTTP — это Xray-core с HTTP/2-3 транспортом. Внешне похоже, внутри совсем другое.
4. Твоя интуиция про Masquerade + без Brutal
Правильная. Masquerade даёт живой HTTP/3-ответ при зондировании — это реальная защита. Brutal этот же трафик демаскирует поведенчески. Если убрать Brutal и оставить BBR теряешь скорость, но трафик становится ближе к нормальному браузеру. На стабильном канале это честный и рабочий компромисс.
Супер, спасибо
Ну вот да, AmneziaWG, вроде норм, а мало как-то про нее в целом и в сравнение сейчас, больше про более сложные варианты.
По поводу SNI вообще сложная эта грань)
Вроде, и вообще особо упарываться не нужно по подбору, даже в реалити - с одной стороны, а с другой - кто-то наоборот сильно парится и даже в Hysteria2.
Я думаю, сейчас по простоте и проходимости логично использовать AWG 2.0, Reality и Hysteria2 именно без obfs. Это как 3 основные варианта при разных блокировках в моменте.
Также опционально тестить Brutal на нестабильных каналах.
На перспективу еще бы смотрел на TrustTunnel, Naive, TUIC
ну и в целом как подходы VLESS "steal from yourself" и каскадная цепочка.
Еще чем хороша AWG - что много трафа не блочат такого рода (неопознанного UDP) - например игры, WebRTC, VoIP, Torrents, IoT и т.д., а на этом поле AWG действительно хорош и особо нет смысла в той же Hysteria2+obfs.
Подскажи плиз подробнее про вот эту часть: "Masquerade без obfs — хорошая маскировка, но уязвим к статистическому анализу".
Я понял эту часть, будто не совсем честный QUIC выдаёт Hysteria2 голая, или не в этом мысль?
"ТСПУ активно детектирует QUIC-паттерны" - все же блочится честный QUIC? Ведь он и в vk и прочих "хороших" сервисах
Еще жду, чтоб Hysteria2 появилась в 3x-ui в инбаундах
вроде, интегрировали, должны сделать
Trust tunnel, naive, awg - это всё рушится белым списком IP. Стоит приглядеться к DNSTT и похожим разработкам. Например, к slipstream, который разительно быстрее DNSTT.
На некоторых операторах данные протоколы, если их так можно назвать, даже без оплаты связи работают и во время действия белых списков.
Поэтому, на мой взгляд, будущее за технологиями по типу DNSTT или IP из белого списка. А имея подходящий IP, сам туннель душить меньше будут, любой простейший vless конфиг подойдёт
Если пропихивать TCP трафик через TXT или A-записи DNS запросов (по 200 байт на пакет), то получим дичайшие задержки и скорость на уровне модемов 90. Хватит только на чтение текстового телеграма, ютуб вы через это не посмотрите)
белым списком рушится всё. никаких методов против белых списков нет и быть не может. здесь и вообще везде пишется об обходе черных списков по адресам и классам/профилям трафика.
Судя по гуглю, slipstream и есть Hysteria 2. А обращать раньше времени внимание блокировщиков на DNS-трафик - не нравится мне такая идея.
Поэтому, на мой взгляд, будущее за технологиями по типу DNSTT или IP из белого списка
Этот пассаж не понял. Что за “технология” такая “IP из белого списка”?
Писать статью с помощью ИИ - это ещё куда не шло, но писать комментарии с помощью ИИ... ☠️☠️☠️☠️☠️☠️☠️
Интересная штука, но всё ломается о проблему 1 - QUIC. Там SNI зашифрован и цензор просто блочит всё, что без SNI. Правда с таким подходом эта тулза конкурирует с WG по скорости, только подтянута обфускация и логика (и не заброшена)
В QUIC SNI передаётся в TLS ClientHello, а первый ClientHello идёт в Initial-пакетах QUIC. Эти пакеты формально защищены, но их ключи выводятся из значений, видимых на сети, и спецификация прямо говорит, что Initial не имеют эффективной конфиденциальности. На уровне MitM возможно восстановить ключи и прочитать содержимое, включая SNI.
ТСПУ это поддерживает, но это требует ресурсов, так что по умолчанию QUIC блокируется. Но на ТСПУ можно разблокировать внеся в QUIC List
Я, конечно, не настоящий сварщик, но, на мой взгляд, разговоры про ML-классификаторы трафика - это (пока, по крайней мере) наукообразные страшилки. Если приборы не справляются с простой сборкой порезанных/перемешанных пакетов, то как они будут в ML-классификацию?
Когда речь идёт о "паттернах запросов", то, как правило, имеется в виду содержимое ключевых пакетов в сессии (Client/Server Hello etc.). Там, если кто не в курсе, передаётся дофига информации, её легко/быстро выпарсить и проверить. Она устойчива и отличается для разных клиентов (FF/Chrome/Curl/Win/Android etc.), если, конечно, не предпринимать специальных усилий по "имперсонации". Максимум - длины первых N пакетов. В проверку же "межпакетных интервалов", как массовое явление, лично я - не верю. Если для проводного интернета тут ещё можно делать какие-то предположения, то для мобильного - крайне сомнительно.
А с практической точки зрения, думаю, будет работать или брутфорс (что-нибудь типа port hopping) или мимикрия под "легальный" трафик. Причём, не полированная под какой-то один шаблон, а перебирающая разные (типа поиска sni или параметров вивисекции пакетов в запрете).
Я предполагаю, что случайные пакеты будут обрабатываться - с помощью какой-нибудь ПЛИС подключат с записанной на него моделью
"наукообразные страшилки" - соглашусь, ведь при этом подходе должны быть ложноположительные срабатывания, а это поломает интернет.
вы (возможно) были бы правы, если бы целью блокировок были аккуратные ограничения с максимальным сохранением трафика, считающегося легитимным. но такой цели, похоже, нет, и с запасом блокируется все, что могут выдать даже примитивные и не требовательные к ресурсам модели.
Они могут делать это в оффлайне, в принципе. То есть, трафик, который не классифицирован четко как что-то легитимное, по превышению трешолдов объема/длительности становится кандидатом на анализ, из кандидатов сэмплингом (скажем 1 из 4000) выбираются случайные flow и отправляются pcap-ом на оффлайн-анализатор с ML. Таким образом, пусть медленно, пусть с задержкой, но статистически самые популярные подозреваемые могут быть пойманы - а, понятное дело, если на таком-то IP сидит массовый VPN сегодня, он скорее всего будет сидеть там же и через месяц. Массовые же и интересуют прежде всего, за 100% эффективнностью не гонятся.
Обход был очевиден еще и до ML-тем - не быть популярным, так как наибольшее внимание уделяют самым популярным методам. В разнообразии наша сила :)
Ряд российских провайдеров режет UDP трафик на 443 порту или замедляет QUIC в целом.
На самом деле не ряд провайдеров, а буквально все. Это архитектурная особенность ТСПУ. HTTP/3 по умолчанию блокируется и его нужно разрешить явно добавлением в QUIC list
Так что протокол совершенно бесполезен в РФ.
naive proxy лучше
Чем?
Тем, что не QUIC, который блочится просто потому, что QUIC. Не совсем понятно, для каких целей вообще разрабатывать способ обхода на изначально заблокированном протоколе. Может быть не для РФ?
всем
почти что единственный в мире протокол который почти невозможно заблокировать не задев деф трафик / не применяя эвристики по времени подключения и размеру пакетов
Текст нейрона писала? Чувство такое есть
Мне кажется какую-то часть) тоже заметил. Может автор в моменте решил добавить "воды" или дополнить текст. В любом случае, не вся статья написана ИИ, что уже отчасти редкость для хабра..
И мне заметно это сильно. Комменты за автора тоже нейросеть пишет.
Эх, оказывается, до недавнего времени хабр был ещё "торт", хотя много говорили, что уже нет.
Нет.
Просто есть какой то феномен когда везде начинают мерещиться – нейросети, такое время.
«напиши пж комментарий чтобы ему ответить»
Я ежедневно час-полтора в день читаю Хабр (с 2009 года), а также множество других ресурсов и литературы. Да, нейросети уже более-менее сносно пишут и многим даже незаметно это, но поверьте, пока ещё сильно бросается в глаза этот робо-стиль текста) я подумал, что может я ошибся все таки, глянул одним глазом на другие ваши статьи - нет, не ошибся.
А юмор оценил))
Естественно нейронка писала. Если автор что-то менял, то абзацы местами переставлял. Здесь все индикаторы этого нейронного мусора: использование отрицаний и иных литературных приемов на грани потери смысла, рандомные болды, любимые ими кринжовые жаргонные слова, которые ранее почти никто не использовал, и огромное количество воды. Жаль от того, как тепло приняты эти нейронные отходы пользователями, и совершенно непонятно зачем общаться с автором, когда просто можно напрямую с нейронкой вести общение без биопрослойки.
Если автор не понимает, что в этом плохого, то я сразу допишу ему, что помимо воды и неточностей из-за литературных приемов, ты просто перестаешь вникать в и доверять статье, потому что прекрасно известно, как нейробред работает в отношении таких прикладных вопросов, как ежедневно меняющася сетевая конъюнктура в РФ (и вообще любых, не касающихся программирования), и что скорее всего вообще все в ней не когерентно реальности. Например, описание этого алгоритма брутал сразу порождает закономерный вопрос, не является ли он одновременно и описанием алгоритма для блокировки порта со стороны РКН (они вообще не гнушатся повалить тебе весь интернет, когда детектят неугодные инструменты, недавние пруфы тому есть), но кому и зачем его задавать, если тут все нагенерировано, не понятно.
Вот-вот. Не знал, как называются маркеры, но при чтении уже на подсознании чувствую, что текст нечеловеческий.
Автор и в комментариях не стесняется нейронкой отвечать.
Тут уважаемый вы уже борщите – правда.
Ну почему же. Я правда вижу очень много паттернов нейронки в тексте (она страдает двойными усилениями и словами без смысловой нагрузки). Часть стиля может быть Вы уже переняли, и сами используете её стиль. Но в других комментах Ваш стиль отличается.
Скрытый текст
Пример
Я не против самой нейронки, это замечательный инструмент, сам им пользуюсь. Просто когда читаешь статью и комменты, ожидаешь увидеть опыт, который пропустил через себя автор, его стиль, идеи и качество, а не текст, написанный соседней программой в телефоне.
Нейронки учились на текстах живых людей. Теперь нейронки пишут так, как писали бы эти живые люди. И когда, внезапно, живые люди так и пишут, как и раньше, их распознают как нейронки. Неожиданно.
Нет, не пишут. На скриншоте пример того, как живой человек практически наверняка писать не будет, а вот для нейронок этот стиль очень характерен.
Спасибо за статью. Как раз хотел почитать понятным языком про истерию, но было лень искать - а тут статья сама меня нашла.
Правда так и не смог для себя определить стоит ли попробовать поднять отдельный сервер с ней. Вроде бы и так имею хорошо замаскированный обратный прокси с VLESS, на скорость не жалуюсь даже на парковке (разве что задержка при открытии страниц и обновлении ленты высоковата как будто бы).
Поставил эту истерию месяц назад и она отпала уже через пару дней, что на ВПС что у провайдера.
Если вам нужна помощь в восстановлении разрушенных отношений или брака, или вы хотите вернуть любимого человека, вы можете обратиться за помощью к доктору Оману.
Электронная почта: miraculoussolutionhome@yahoo.com
Вы также можете позвонить ему или написать в WhatsApp:
http://wa.me/+66836855474
Прыжки по портам шикарная фича для Китая, но в РФ ТСПУ анализирует протоколы, а не порты, поэтому у нас не имеет особого практического смысла заворачивать iptables на сервере ради хоппинга в 2026 году , только лишняя нагрузка на netfilter
Интересно, почему массово не используют обычные веб-сокеты. В них же можно гнать произвольный бинарный трафик. А реализацию самого веб-сокета брать готовую и не нужно специально маскироваться. Плюс можно попытаться спрятаться за каким-нибудь российским CDN, так как трафик легальный HTTP по всем стандартам.
Зачем? Если это бессмысленно с hetzner например
Неплохо, но очень палится нейросеть...
А что то можете подобного рассказать про amnesia и него плюсы/минусы?
Ну congestion control тут, конечно, адовый. И дело даже не в том, что этот Brutal создает легко различимый паттерн для блокировщиков - он, блджад, всем остальным рядом мешает! Причем в том числе и провайдеру, поэтому они постараются заблочить такое даже без всяких РКН-ов. История 2010 года с muTP (из muTorrent) ничему не научила людей - те тоже попытались в congestion control уменьшением размера пакетов, не соображая, что оборудованию плохеет не от байтов в секунду, а от пакетов в секунду. Так что их тогда начали пытаться блокировать сами провайдеры, еще до всяких РКН-ов.
Вот если бы эти ребята изобрели способ отличать потери пакетов из-за congestion от потерь самой сети (спутника например) или шейпера на 30% - им бы премию дали и на руках в IETF носили. Напомню, собственно congestion control появился в конце 80-х как раз из-за того, что Интернет оказался дичайше перегружен, всё лагало и мало что открывалось: на каком-то линке потерялся пакет из-за забитости, его TCP отправителя начинает ретрансмитить, еще более увеличивая количество пакетов в сети, начинают теряться другие пакеты, в т.ч. других соединений, их TCP тоже начинают ретрансмиты, и так каскадно. Это назвали тогда Internet meltdown - по аналогии с расплавлением активной зоны реакторы из фильма “Китайский синдром”.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Hysteria 2: протокол, который притворяется HTTP/3 и почти не врёт