ما هو فحص الحزم العميق وكيف تهزمه شبكات VPN
ISP خاصتك يرى كل حزمة ترسلها. معظم الوقت، يقرأ فقط الترويسة: IP المصدر، IP الوجهة، رقم المنفذ. هذا كافٍ للتوجيه. فحص الحزم العميق يذهب أبعد. يفتح الحزمة ويفحص الحمولة نفسها.
التشبيه الذي يصل إليه الناس هو البريد. عامل البريد يقرأ العنوان على المظروف لفرزه. DPI هو عامل البريد الذي يفتح المظروف ويقرأ الرسالة ويقرر ما إذا كان سيسلمها بناءً على ما بداخلها. باستثناء أن DPI يعمل بسرعة الخط على ملايين الحزم في الثانية.
هذه هي الطريقة التي تحجب بها الحكومات شبكات VPN. ليس بعنوان IP (سهل جداً للتغيير)، ليس برقم المنفذ (أي بروتوكول يمكن أن يعمل على أي منفذ)، لكن بالنظر إلى الحركة نفسها وتحديد البروتوكول الذي ولّدها.
ما تفعله أنظمة DPI فعلاً
جهاز DPI يجلس inline على مسار الشبكة بينك وبين الإنترنت. كل حزمة تمر عبره. الجهاز يحافظ على حالة التدفق، يعيد تجميع تدفقات TCP، ويشغل محركات تصنيف ضد البيانات المعاد تجميعها.
التصنيف يحدث في طبقات. أولاً، النظام يفحص أرقام المنفذ وترويسات البروتوكول الأساسية. ثم يشغل مطابقة التوقيع ضد بصمات البروتوكول المعروفة. ثم، إذا لم تنتج الطبقتان الأوليان مطابقة واثقة، يغذي ميزات الحركة في مصنفات إحصائية. بعض الأنظمة تقوم أيضاً بفحص نشط.
أين يُنشَر DPI للرقابة
البلدان ذات أكثر برامج DPI عدوانية لا تخفي ذلك.
جدار الصين الناري العظيم أقدم وأكثر نظام تطوراً.
TSPU الروسي أحدث لكنه ممول جيداً. ميزانية 2.27 مليار روبل مخصصة حتى 2027 لتحليل الحركة المدعوم بـ AI.
إيران تستورد تكنولوجيا DPI الصينية وتشغل بنية الفلترة الخاصة بها.
إندونيسيا تتخذ نهجاً مختلفاً. تربط الحكومة حركة الإنترنت بأرقام هوية المواطن.
كيف يحدد DPI حركة VPN
DPI يستخدم ثلاث طرق متميزة للقبض على اتصالات VPN.
الطريقة 1: بصمة البروتوكول
كل بروتوكول له أنماط هيكلية في حزمه.
WireGuard هو أوضح مثال. رسالة بدء المصافحة دائماً بالضبط 148 بايت.
OpenVPN أصعب قليلاً. ورقة 2022 المنشورة في USENIX Security ("OpenVPN مفتوح لبصمة VPN") أثبتت أن الباحثين يمكنهم تحديد 85% من تدفقات OpenVPN بدون إيجابيات كاذبة.
بصمة TLS تضيف طبقة أخرى. JA3 وJA3S hashing تأخذ المعلمات من TLS ClientHello (مجموعات التشفير، الإضافات، المجموعات المدعومة).
الطريقة 2: التحليل الإحصائي
عندما تفشل البصمة، الإحصائيات تأخذ المسؤولية. مصنفات التعلم الآلي المدربة على مجموعات بيانات الحركة المُعلَّمة يمكنها كشف اتصالات VPN بناءً على توزيعات حجم الحزم وتوقيت وصول البين، مدة التدفق، وإنتروبيا البايت.
الإنتروبيا العالية في الواقع علم أحمر. الحركة العادية HTTPS لها عناصر هيكلية: مصافحة TLS بسلاسل شهادات، ترويسات إطار HTTP/2، حقول طول المحتوى.
الطريقة 3: الفحص النشط
هذا تخصص الصين، رغم أن روسيا وإيران تتبنانه.
الفحص النشط يعمل هكذا: نظام DPI يرى اتصالاً لا يمكنه تصنيفه بثقة. بدلاً من حجبه فوراً، يسجل IP الوجهة والمنفذ. ثم، من جهاز منفصل، يفتح اتصاله الخاص إلى ذلك الخادم ويرسل حمولات منشأة بعناية.
معدلات الكشف بروتوكول ببروتوكول
| البروتوكول | معدل الكشف | الوقت للكشف | الطريقة |
|---|---|---|---|
| OpenVPN | ~100% | تحت 30 ثانية | مطابقة التوقيع |
| WireGuard | ~100% | الحزمة الأولى | بصمة المصافحة 148 بايت |
| Shadowsocks (AEAD) | ~95% | دقائق | تحليل الإنتروبيا |
| Trojan | ~90% | ساعات | فحص نشط + تحقق من الشهادة |
| VMess | ~80% | دقائق | تحليل إحصائي |
| VLESS Reality | <5% | غير قابل للتطبيق | لا توجد طريقة كشف موثوقة معروفة |
كيف تحاول البروتوكولات تجنب DPI
استراتيجيات التجنب تقع في ثلاثة أجيال.
الجيل 1: أغلفة التعتيم
أقدم نهج كان تغليف حركة VPN في طبقة أخرى.
الجيل 2: محاكاة البروتوكول
Trojan كان أول أداة منتشرة على نطاق واسع حاولت أن تبدو مثل بروتوكول شرعي معين (HTTPS).
الجيل 3: حركة لا يمكن تمييزها
VLESS Reality حل مشكلة الشهادة. بدلاً من توليد شهادة TLS الخاصة به، خادم Reality يتصل بالهدف المموه الحقيقي (مثل microsoft.com) ويعيد توجيه شهادة ذلك الخادم الفعلية.
النهج الخاص
NordVPN يوفر NordWhisper. ProtonVPN يقدم وضع Stealth.
كلاهما مغلق المصدر.
سباق التسلح لا يتوقف
كل تقنية كشف موصوفة هنا كانت يوماً تعتبر مستحيلة. قبل عشر سنوات، معظم الرقابة على الإنترنت اعتمدت على تسميم DNS وقوائم IP السوداء. DPI كان مكلفاً وبطيئاً. هذا تغير.
الهجمات المستقبلية المحتملة ضد Reality تشمل:
- ارتباط التوقيت
- سمعة الخادم
- التحليل السلوكي
- اعتماد ECH
ماذا يعني هذا لاختيار VPN
إذا كنت في بلد لا يشغل DPI للرقابة (معظم أوروبا، أمريكا الشمالية، أجزاء من أمريكا الجنوبية وأفريقيا)، اختيار البروتوكول لا يهم كثيراً للتهرب من الكشف. سرعة WireGuard وبساطته تجعلانه أفضل خيار.
إذا كنت في الصين أو روسيا أو إيران أو أي بلد يحجب بروتوكولات VPN بنشاط، اختيار البروتوكول هو العامل الأكثر أهمية في ما إذا كان VPN يعمل أصلاً.
لهذا السبب يشغل Fexyn VLESS Reality بجانب WireGuard وOpenVPN. عندما يُحجب اتصالك بخادم WireGuard، محرك تدوير البروتوكول لـ Fexyn يبدل تلقائياً إلى VLESS Reality عبر TCP أو XHTTP.
DPI حقيقي، منشور على نطاق واسع، ويصبح أفضل. البروتوكولات التي تنجو هي تلك التي لا تحاول الإخفاء. تبدو فقط تماماً مثل كل شيء آخر.
المثال اليومي الأكثر ملموساً لـ DPI في العمل هو حجب VoIP في الخليج ومصر: Etisalat وdu وSTC وMobily وZain وشركات الاتصالات المصرية الكبرى تستخدم DPI لإسقاط إشارات مكالمات WhatsApp وFaceTime وSkype على مستوى الحزمة بينما تسمح بمرور الرسائل النصية.
أدلة البلد والتطبيق — VPN لـ WhatsApp، VPN لـ FaceTime، VPN لـ Skype — تستعرض أي بروتوكول Fexyn يعيد كل واحد من هؤلاء للعمل.
للصورة عبر البلدان، خريطة الرقابة العالمية لها فلتر "DPI منشور" يعرض جميع 18+ دولة ببنية DPI موثقة على شاشة واحدة.