Qué es DPI (deep packet inspection)

Deep packet inspection — DPI — es lo que sucede cuando el equipo de red no solo enruta un paquete, sino que lo lee. El switch o firewall abre el payload, mira los bytes adentro, y trata de averiguar qué aplicación o protocolo los generó. Luego actúa según lo que encuentra: throttleando, bloqueando, registrando, o dejando pasar.

DPI es la capa que los ISPs usan para throttlear BitTorrent. Es la capa que los firewalls corporativos usan para imponer "nada de Netflix en horario laboral". Y es la capa que los censores a nivel estatal usan para bloquear VPNs cuando el usuario pensaba que estaba tunelizando alrededor de las restricciones.

Cómo identifica el tráfico el DPI

Cada protocolo tiene una huella. El software DPI tiene una biblioteca de esas huellas y coteja paquetes contra ellas.

Algunos ejemplos:

• WireGuard — UDP, tipos de mensaje de handshake distintivos del 1 al 4, longitudes de mensaje fijas en rangos conocidos.
• OpenVPN — handshake TLS con timing característico, más un patrón específico de canal de control de OpenVPN.
• IPSec/IKEv2 — UDP/500 y UDP/4500 con estructuras de handshake muy reconocibles.
• Wrappers de "obfuscación" estándar — handshake TLS estructuralmente diferente de un handshake de navegador real (timing, distribución de padding, orden de extensiones).

Cada huella es pequeña y barata de chequear. Una sola caja DPI puede hacer fingerprinting a millones de flujos por segundo en hardware commodity.

Por qué el DPI es difícil de derrotar

Envolver tráfico VPN en algo que parezca HTTPS es la jugada obvia, y es exactamente lo que la mayoría de las características de "obfuscación" hacen. El problema: los handshakes TLS tienen sus propias huellas. El orden de las extensiones, la elección de cipher suites, el comportamiento del padding — todo forma un patrón que el DPI puede cotejar.

Irán, Rusia y Turquía han bloqueado todos patrones específicos de handshake TLS asociados con la obfuscación de VPN de consumo. La carrera armamentística es constante: una huella agregada al hardware DPI bloquea una generación de VPNs obfuscadas hasta que se actualizan.

Cómo VLESS Reality circunda el DPI

VLESS Reality es estructuralmente diferente. En lugar de generar un handshake TLS que parezca real, hace un handshake TLS 1.3 real hacia un sitio web público real. El certificado es el certificado real que ese sitio sirve. El SNI es el SNI real. El timing del handshake es el que TLS 1.3 produce.

El DPI ve una conexión a microsoft.com, con el certificado real de microsoft.com, indistinguible de cualquier otro navegador abriendo microsoft.com. Para bloquearla, el censor necesitaría bloquear microsoft.com — del que demasiados otros consumidores dependen.

Lee más en Deep packet inspection, explicado.

Lo que esto significa para los usuarios

Si tu red está filtrada por DPI (Turquía bajo BTK, Rusia bajo el TSPU de Roskomnadzor, China bajo el GFW, Kazajistán con intentos de intercepción tipo Qaznet), los protocolos VPN estándar frecuentemente fallan. Las conexiones caen, el throughput colapsa a velocidades de dial-up, o los handshakes son reseteados.

Fexyn entrega VLESS Reality como Fexyn Stealth específicamente para estas redes. Pruébalo gratis por 7 días y mira si pasa por tu conexión específica.

Las guías por país cubren los detalles a nivel operador para los entornos DPI más fuertes: VPN para Turquía, VPN para Rusia, VPN para Kazajistán, VPN para Pakistán, VPN para Bielorrusia. Para ver qué otros países despliegan DPI en una vista, el mapa global de censura tiene un filtro "DPI desplegado".

El ejemplo cotidiano más claro de DPI en acción es el bloqueo de VoIP en el Golfo y Egipto — los operadores identifican y descartan el signaling de llamadas de WhatsApp, FaceTime y Skype al nivel del paquete mientras dejan pasar la mensajería de texto. Ver VPN para WhatsApp para cómo Stealth restaura esas llamadas.