ما هو active probing

Active probing هو تقنية كشف رقابة. بدلًا من تحليل الحركة سلبيًا فقط (كما تفعل deep packet inspection وتحليل الإنتروبيا)، البنية التحتية للرقيب تتصل بخوادم الوكيل المشتبه بها وتقارن استجابة الخادم بما ستعيده خدمة شرعية. إذا اختلفت الاستجابة، يُضاف IP إلى قائمة الحجب.

الجدار الناري العظيم الصيني يفعل هذا منذ 2012 على الأقل. إيران وروسيا وباكستان جميعها نشرت قدرات مماثلة بمستويات مختلفة.

كيف يعمل active probing

حين ترى البنية التحتية للرقيب اتصالًا قد يكون وكيلًا — استنادًا إلى أنماط حركة، سمعة IP، أو إشارات سلبية أخرى — تُرسل اتصالها الخاص إلى نفس الوجهة، غالبًا في غضون دقائق:

1. الرقيب يرى اتصالًا من مستخدم سكني إلى IP 1.2.3.4 على المنفذ 443.
2. البنية التحتية للرقيب تتصل بـ 1.2.3.4:443 بنفسها.
3. البنية التحتية ترسل طلبًا ستعالجه خدمة ويب شرعية (TLS ClientHello، HTTP/1.1 GET، إلخ).
4. تسجّل الاستجابة.
5. تُقارَن الاستجابة بما كانت ستعيده خدمة شرعية.

إذا أعاد الخادم المشتبه شيئًا غير متّسق مع خدمة حقيقية — سلسلة شهادات خاطئة، رؤوس استجابة HTTP خاطئة، بصمة برنامج خادم خاطئة، لا استجابة على الإطلاق لأنواع تحقيق معيّنة — يُضاف IP إلى قائمة حجب الرقيب.

ما الذي يمسكه active probing

عدّة فئات من الوكلاء:

نشرات Trojan. Trojan ينفّذ TLS handshake حقيقيًا لكن يستخدم شهادة ذاتية الإصدار (Let's Encrypt أو ذاتية التوقيع). المُحقِّق النشط يقارن الشهادة مع سجلات Certificate Transparency للنطاق المُدّعى. إذا لم تكن الشهادة ما يقوله CT عن ذلك النطاق، يُوسَم الخادم.

خوادم تشغّل برامج وكيل معروفة. كثير من تنفيذات الوكلاء لديها أنماط استجابة HTTP قابلة للكشف عند التحقّق بطلبات غير قياسية. Shadowsocks، V2Ray، والتنفيذات الأقدم أُمسكت بهذه الطريقة.

خوادم تفشل في الاستجابة مثل خدمات ويب حقيقية. خادم ويب حقيقي يعيد صفحة خطأ للطلبات غير الصالحة، أو يعيد توجيه إلى HTTPS لـ HTTP، أو لديه رؤوس محدّدة. الوكلاء الذين لا ينفّذون هذه السلوكيات يبرزون.

خوادم تقطع تلقائيًا المُحقِّقين غير المصادَق عليهم. إذا أغلق الخادم المشتبه فورًا الاتصالات التي لا تُصادِق، فهذا في حدّ ذاته إشارة أن الخادم يتوقّع عملاء مصادَقًا عليهم — أي أنه وكيل.

كيف يهزم VLESS Reality active probing

VLESS Reality مع تدفّق Vision مقاوم بنيويًا لـ active probing. الحيلة: حين يصل اتصال غير مصادَق إلى خادم Reality، يوكّل الخادم بشفافية الاتصال إلى الموقع العام الحقيقي الذي يتموّه عليه.

التدفّق:

1. المُحقِّق النشط يتصل بخادم Reality.
2. المُحقِّق غير مصادَق عليه (لا يملك shortId أو مفاتيح X25519).
3. خادم Reality يوكّل بشفافية اتصال المُحقِّق إلى، مثلًا، microsoft.com.
4. المُحقِّق يحصل على استجابة من خادم Microsoft الحقيقي.
5. الشهادة حقيقية. الرؤوس حقيقية. السلوك حقيقي.
6. لا يوجد عدم اتساق للكشف لأن الاستجابة هي استجابة Microsoft الحقيقية.

الشيء الوحيد الذي يميّز عميل Reality عن مستخدم Microsoft حقيقي هو shortId المُشفَّر المخفي داخل امتداد TLS key-share — غير مرئي للمُحقِّق النشط. Active probing لا يملك ما يَسِمه.

ما لا يزال يعمل ضدّ Reality

Active probing بالمعنى الصارم — اتصال، مقارنة استجابة — لا يمسك Reality. تهديدان مجاوران يبقيان جزئيين:

تحليل سمعة IP. ملاحظة أن IP سكنيًا يفتح مرارًا اتصالات TLS طويلة العمر إلى VPS محدّد يوكّل أيضًا إلى Microsoft، ومعاملة هذا النمط كمشبوه. هذا يمسك بعض نشرات Reality لكنه مكلف للتشغيل على نطاق واسع وينتج إيجابيات كاذبة.

تحليل حركة سلوكي. مستخدم يولّد اتصالات Microsoft مستمرّة لساعات يوميًا بإنتاجية عالية هو نمط سلوكي لا يطابق سلوك مستخدم Microsoft النموذجي. هذا النوع من التحليل يتطلّب حسابًا كبيرًا وينتج كثيرًا من الإيجابيات الكاذبة، وهذا سبب عدم نشره على نطاق واسع بعد.

لمعظم المستخدمين في أسواق DPI النشط في 2026، Reality + Vision مع نظافة معقولة لـ pool IP كافٍ. معدل الكشف ضدّ Reality المنشور بشكل صحيح أقل من 5% بناءً على تقارير المجتمع.

لماذا يصعب هزيمة active probing عمومًا

الرقباء يضعون قواعد اللعبة. الرقيب يقرّر ما هي خدمة "شرعية" وما ليس كذلك. أي وكيل لا يقلّد بشكل مثالي خدمة شرعية لديه إشارة ما تميّزه. الطريقة الوحيدة لهزيمة active probing بالكامل هي أن تكون خدمة شرعية لأي طلب غير مصادَق — وهذا ما يفعله Reality بتوكيل شفاف إلى الموقع الحقيقي.

هذا أيضًا سبب أن مقاربات "obfuscation" المبنية فوق WireGuard أو OpenVPN لا تصمد أمام active probing المتطوّر. تجعل الحركة تبدو شبيهة بـ HTTPS لكن استجابة الخادم لـ active probing ليست استجابة خدمة ويب حقيقية. الغلاف يجتاز نظرة سلبية؛ يفشل في التحقيق النشط.

جرّب Fexyn مجانًا لمدة 7 أيام — Stealth (VLESS Reality مع Vision) في كل خطة؛ يهزم active probing بكونه غير قابل للتمييز بنيويًا عن HTTPS حقيقي إلى مضيف التمويه.