VLESS مقابل Shadowsocks: أي بروتوكول يهزم الرقابة فعلاً؟
في 20 أبريل 2012، دفع مطور صيني يستخدم اسم "clowwindy" نص Python إلى GitHub. بعد يومين، شاركه على V2EX، منتدى للمطورين الصينيين. المشروع كان اسمه Shadowsocks. كان proxy SOCKS5 مشفر، بسيط بالتصميم، وأعطى ملايين الناس في الصين طريقة لتجاوز الجدار الناري الكبير.
لمدة ثلاث سنوات، Shadowsocks كان أكثر الأدوات موثوقية للتحايل على الرقابة الصينية على الإنترنت. ثم، في 22 أغسطس 2015، زارت الشرطة clowwindy وأُجبِر على حذف المستودع. رسالة commit الأخيرة: "آمل أن أعيش يوماً ما في بلد لدي فيه حرية كتابة أي كود أحبه دون خوف."
نجا المشروع عبر forks. حمله المجتمع للأمام. لكن الجدار الناري الكبير استمر في التطور أيضاً، وبحلول 2024، أصبحت طرق الكشف التي نشرتها الصين ضد Shadowsocks فعالة للغاية. ليس لأن Shadowsocks مصمم بشكل سيء. لأن النهج الأساسي في جعل الحركة تبدو كضوضاء عشوائية اتضح أن له سقفاً.
VLESS Reality، الصادر في Xray-core v1.8.0 في بداية 2023، يأخذ نهجاً مختلفاً. بدلاً من تشفير الحركة إلى عشوائية، يموّه اتصالات VPN كجلسات HTTPS عادية لمواقع حقيقية. هذا التمييز يهم أكثر مما يبدو.
كيف يعمل Shadowsocks
Shadowsocks هو proxy مشفر. عميلك يتصل بخادم بعيد، وكل الحركة بينهما مشفرة باستخدام مفتاح مُشارَك مسبقاً مع شيفرات AEAD (عادةً chacha20-ietf-poly1305 أو aes-256-gcm). من منظور مراقب الشبكة، الاتصال دفق من البايتات يبدو كبيانات عشوائية. لا headers بروتوكول، لا نمط handshake، لا بنية قابلة للتعرف.
كان هذا هدف التصميم. إذا بدت الحركة كلا شيء قابل للتعرف، نظام DPI لا يستطيع مطابقتها بتوقيع بروتوكول معروف. في 2012، نجح هذا. الجدار الناري الصيني كان يطابق بشكل أساسي ضد بصمات البروتوكول، والحركة التي لا تطابق شيئاً تمر.
البنية خفيفة الوزن. خادم Shadowsocks ثنائي واحد بتكوين أدنى. بيئة العملاء ضخمة: ShadowsocksR، Clash، Surge، Quantumult، عشرات تطبيقات Android وiOS. للبلدان ذات الرقابة المعتدلة، مثل إندونيسيا وتركيا ومصر، Shadowsocks لا يزال يعمل بموثوقية لأن بنية DPI لديها ليست متطورة كفاية لتعليمه.
لكن الصين ليست تلك البلدان.
مشكلة الإنتروبيا
إليك الشيء عن الضوضاء العشوائية: لها توقيع إحصائي.
حركة HTTPS الشرعية لها بنية. TLS 1.3 handshake يبدأ بـ ClientHello يحتوي على cipher suites، امتدادات، وSNI. الخادم يستجيب بشهادات، والتي هي بنى ASN.1-encoded X.509. هذه لها إنتروبيا منخفضة في أماكن قابلة للتنبؤ. أحجام records تتبع أنماطاً مرتبطة بأطر ويب شائعة. حتى بيانات التطبيق المشفرة التي تتبع لها توزيعات مميزة.
حركة Shadowsocks AEAD لها إنتروبيا قريبة من المثالية من البايت الأول. نسبة الواحد إلى الصفر تقترب من 1:1 عبر كل segment. لا توجد headers منخفضة الإنتروبيا، لا handshake منظم، لا تبادل شهادات. كل بايت يبدو عشوائياً بشكل موحد.
تلك الموحدية هي المشكلة. على شبكة حقيقية، لا شيء آخر يبدو هكذا. HTTPS لا يفعل. DNS لا يفعل. HTTP/2 لا يفعل. دفق من البايتات بإنتروبيا عالية موحدة وبدون بنية بروتوكول، بشكل متناقض، أحد أكثر الأشياء تميزاً يمكنك إرسالها عبر شبكة.
الصين اكتشفت هذا.
كيف تكشف الصين Shadowsocks
البحث المنشور في GFW Report والمقدم في IMC 2020 وثّق خط أنابيب الكشف الصيني بالتفصيل. يعمل في مرحلتين.
المرحلة الأولى: التحليل السلبي. GFW ينفّذ قياس إنتروبيا على حزمة البيانات الأولى لكل اتصال جديد. إذا كانت الحمولة لها إنتروبيا عالية موحدة ولا تطابق بنية أي بروتوكول معروف (TLS، HTTP، SSH، DNS)، الاتصال يُعلَّم للفحص النشط. هذا يحدث في الزمن الحقيقي، على routers backbone، بسرعة الخط.
المرحلة الثانية: الفحص النشط. بمجرد تعليم اتصال، GFW يرسل مسبارات من تجمّع يزيد عن 12,000 عنوان IP. هذه المسبارات ترسل سبعة أنواع مختلفة من حركة الاختبار إلى خادم Shadowsocks المشتبه به: handshakes مُعاد تشغيلها، اتصالات جزئية، طلبات مشوهة، وتحديات خاصة بالبروتوكول. خادم Shadowsocks حقيقي يستجيب لهذه المسبارات بشكل مختلف عما تستجيب به خدمة شرعية. خادم ويب يعيد أخطاء HTTP. خادم SSH يرسل version banner. خادم Shadowsocks إما يفك تشفير ويوكّل القمامة، أو يسقط الاتصال بطريقة قابلة للتمييز إحصائياً عن أخطاء بروتوكول عادية.
التركيبة مدمرة. حتى فبراير 2026، Shadowsocks له معدل كشف قرابة 95% على الشبكات الصينية. على CN2 (backbone بريميوم لـ China Telecom)، معدل النجاح لاتصالات Shadowsocks حوالي 76%، لكن ذلك الرقم ينخفض خلال الفترات الحساسة سياسياً عندما يصعّد GFW الإنفاذ.
هذه ليست أرقاماً نظرية. تأتي من اختبار جماعي عبر عدة ISPs صينية ونقاط خروج.
نهج VLESS Reality
VLESS Reality يبدأ من فرضية مختلفة. بدلاً من جعل الحركة تبدو كلا شيء، اجعلها تبدو كشيء محدد. شيء ممل. شيء تبدو ملايير الاتصالات مثله كل يوم.
عندما يتصل عميل VLESS Reality بخادم، ينفّذ TLS 1.3 handshake حقيقي. الخادم يصل إلى موقع شرعي (هدف "dest"، غالباً شيء مثل www.microsoft.com أو www.apple.com) ويعيد توجيه شهادة TLS الفعلية لذلك الموقع إلى العميل. لأي مراقب شبكة، الاتصال يبدو متطابقاً مع جلسة HTTPS عادية مع Microsoft أو Apple. SNI يطابق. الشهادة أصيلة. بصمة TLS تطابق متصفحاً حقيقياً.
بيانات VPN تركب داخل جلسة TLS هذه باستخدام multiplexing من Xray-core. من الخارج، لا يمكن تمييزها عن شخص يتصفح موقع Microsoft.
الفحص النشط يفشل ضد هذا الإعداد. إذا أرسل GFW مسباراً لخادم VLESS Reality، الخادم يستجيب تماماً مثلما سيفعل موقع الوجهة، لأنه يوكّل استجابات الموقع الحقيقي. لا فرق سلوكي للكشف.
النتيجة: اتصالات VLESS Reality لها معدل كشف تحت 5% على الشبكات الصينية. معدل النجاح على مسارات CN2 حوالي 98%. تلك الفجوة بين 76% و98% هي الفرق بين بروتوكول يعمل أحياناً وآخر يعمل بموثوقية.
وجهاً لوجه
خصائص الأداء تخبر قصة أكثر دقة من معدلات الكشف وحدها.
مقاومة الكشف
Shadowsocks يُلتقَط بتحليل الإنتروبيا على الحزمة الأولى. VLESS Reality يجتاز تحليل الإنتروبيا لأن حركته لها نفس الملف الإحصائي مثل HTTPS. على شبكات بـ DPI أساسي (معظم جنوب شرق آسيا، أجزاء من الشرق الأوسط)، كلا البروتوكولين يعملان بشكل جيد. على شبكات بـ DPI متقدم (الصين، إيران، روسيا بشكل متزايد)، Shadowsocks غير موثوق. VLESS Reality يعمل.
زمن الاستجابة
Shadowsocks أسرع. اتصال شنغهاي إلى لوس أنجلوس عبر Shadowsocks يظهر عادةً زمن استجابة 130-160ms. نفس المسار عبر VLESS Reality يعمل 160-210ms. زمن الاستجابة الإضافي يأتي من عبء TLS handshake وخطوة إعادة توجيه الشهادة. لمعظم الاستخدام، 30-50ms من زمن الاستجابة الإضافي ليس محسوساً. للألعاب التنافسية عبر VPN (والتي، نعم، يفعلها الناس من الصين)، يهم.
توجيه CDN
هنا يظهر الفرق المعماري حقاً. Shadowsocks لا يستطيع التوجيه عبر بنية CDN التحتية. هو اتصال TCP خام بين العميل والخادم. إذا كان المسار المباشر بين ISP خاصتك والخادم محجوباً أو مخنوقاً، أنت عالق.
VLESS يدعم نقل WebSocket وXHTTP، مما يعني أنه يستطيع الركوب عبر Cloudflare أو AWS CloudFront أو مزودي CDN آخرين. حركتك تدخل CDN عند عقدة edge قريبة وتخرج عند عقدة CDN الأقرب لخادم VPN خاصتك. الرقيب يرى اتصالاً بـ Cloudflare، التي تستضيف ملايين المواقع الشرعية. حجب Cloudflare يعني كسر نصف الإنترنت. معظم الحكومات لن تفعل ذلك. (إيران جربت مختصراً في 2022. عكسته خلال أيام.)
استخدام الموارد
Shadowsocks أخف. خادم Shadowsocks يستطيع التعامل مع آلاف الاتصالات المتزامنة على VPS بـ $5/شهر. VLESS Reality يتطلب CPU أكثر لعمليات TLS وذاكرة أكثر لحالة الاتصال. للمشغلين الذين يديرون خوادم proxy للأصدقاء والعائلة، Shadowsocks أرخص للاستضافة. لخدمة VPN تجارية تحتاج موثوقية في بيئات شبكة عدائية، الموارد الإضافية تكلفة طفيفة.
بيئة العميل
Shadowsocks موجود منذ 2012. بيئة العميل ضخمة. تقريباً كل مدير proxy على كل منصة يدعمه. Clash، Surge، Quantumult X، v2rayNG، عشرات الآخرين.
دعم VLESS Reality أحدث لكنه ينتشر. Xray-core هو التطبيق المرجعي. v2rayN، v2rayNG، Nekobox، Hiddify، وStreisand كلها تدعمه. الفجوة تُغلَق، لكن Shadowsocks لا يزال له توافق عميل أوسع اليوم.
متى تستخدم أيهما
الإجابة الصادقة: تعتمد على أين أنت.
Shadowsocks هو الخيار الصحيح عندما يكون خصمك لديه DPI أساسي أو معتدل. بلدان مثل فيتنام وتركيا وإندونيسيا ومصر. الإعداد أبسط، زمن الاستجابة أقل، وعبء الخادم أصغر. إذا كان Shadowsocks يعمل بموثوقية على شبكتك، لا يوجد سبب لاستخدام شيء أثقل.
VLESS Reality هو الخيار الصحيح عندما تتعامل مع DPI متقدم على مستوى الدولة. الصين، إيران، روسيا بعد 2024، وأي شبكة حيث اتصالات Shadowsocks تُكشَف وتُقتَل. زمن الاستجابة الإضافي والتعقيد يستحقان عندما يكون البديل بروتوكولاً يفشل 95% من الوقت.
بعض الشبكات تقع في المنتصف. في تلك الحالات، الوصول إلى كلا البروتوكولين مع احتياطي تلقائي هو الإجابة العملية. جرّب الخيار الأسرع أولاً. إذا فشل، بدّل إلى الذي صُمِّم للبيئات الأصعب.
ماذا يعني هذا لـ Fexyn
Fexyn VPN يشمل VLESS Reality مع تدفق Vision كأحد ثلاثة بروتوكولات إلى جانب WireGuard وOpenVPN. محرك الدوران التلقائي يجرّب البروتوكولات بالتسلسل ويرجع عند حجب أحدها. على الشبكات غير المقيّدة، تحصل على سرعة WireGuard. على الشبكات المراقَبة، العميل يبدّل إلى VLESS Reality دون تدخل يدوي.
لا نشمل Shadowsocks. ليس لأنه بروتوكول سيء. غيّر المجال. عمل clowwindy أعطى ملايين الناس الوصول إلى الإنترنت المفتوح، والمجتمع الذي حمل المشروع للأمام بعد 2015 يستحق فضلاً حقيقياً على ذلك. لكن لمنتج VPN تجاري يحتاج للعمل بموثوقية في أصعب البيئات، نهج VLESS Reality في أن يبدو كحركة عادية بدلاً من أن يبدو كلا شيء هو الأساس الأقوى.
Shadowsocks حلّ مشكلة 2012. VLESS Reality مع Vision يحل مشكلة 2026. الرقباء أصبحوا أفضل في الكشف. البروتوكولات اضطرت للمواكبة. (للمفهوم الأساسي عن لماذا يهم هذا، انظر ما هي مقاومة الرقابة.)
إذا أردت فهم التفاصيل التقنية لكيفية عمل إعادة توجيه TLS في VLESS Reality، كتبنا تفصيلاً كاملاً في شرح VLESS Reality. لمقارنته بـ WireGuard (مقايضة مختلفة تماماً)، انظر VLESS مقابل WireGuard. ولخلفية عن ما تنظر إليه أنظمة DPI فعلاً، تلك القطعة تغطي جانب الكشف بعمق.