Protocolos contra censura comparados
Se você lê conteúdo de VPN em inglês, já ouviu falar de WireGuard e OpenVPN. Se você lê fóruns técnicos em chinês ou russo, já ouviu falar de uma família diferente de protocolos contra censura: Shadowsocks, V2Ray, Trojan, Hysteria, NaiveProxy, TUIC. Essa segunda família foi construída especificamente para vencer a censura que a família WireGuard / OpenVPN não consegue.
A indústria de VPN de língua inglesa tem ignorado esses protocolos. Essa lacuna está se ampliando à medida que o DPI em mercados de censura pesada melhora. Em maio de 2026, os protocolos que de fato funcionam na Rússia, China, Irã e Paquistão são em sua maioria da segunda família, não da primeira.
Aqui está a comparação honesta. O que cada protocolo é, como tenta evadir detecção, onde tem sucesso e onde falha. Nós entregamos VLESS Reality e vamos explicar por que escolhemos ele em vez das alternativas — mas não vamos fingir que as alternativas são ruins. Várias delas são excelentes para situações específicas.
O problema de detecção que esses protocolos resolvem
Um sistema moderno de censura não precisa decifrar seu tráfego para saber qual protocolo você está rodando. Ele precisa reconhecer o formato do tráfego no fio.
Três sinais de detecção importam:
Fingerprint de protocolo. O pacote de iniciação de handshake do WireGuard tem sempre exatamente 148 bytes com estrutura fixa. O handshake TLS do OpenVPN tem timing distintivo. Mesmo streams Shadowsocks básicos parecem diferentes de HTTPS real — alta entropia desde o primeiro pacote, sem handshake antecedente.
Análise estatística de entropia. Tráfego cifrado tem entropia alta (bytes que parecem aleatórios). Tráfego HTTPS normal tem entropia mista: um handshake TLS estruturado com cadeias de certificado previsíveis, depois dados cifrados de aplicação com tamanhos de registro característicos. Streams que mostram entropia alta desde o primeiro pacote sem handshake TLS se destacam.
Sondagem ativa. Quando um censor vê uma conexão que pode ser um proxy, ele envia sua própria conexão ao mesmo servidor. Se a resposta do servidor difere de um serviço legítimo, o IP é bloqueado.
Cada protocolo abaixo tenta vencer um subconjunto desses. Nenhum vence todos perfeitamente. Os melhores chegam perto.
Shadowsocks (e Shadowsocks AEAD)
O que é. Shadowsocks foi criado em 2012 por um desenvolvedor chinês (clowwindy) para contornar o Grande Firewall. É um proxy estilo SOCKS5 simples com uma cifra de fluxo envolvendo a conexão. Originalmente o chacha20-ietf-poly1305 era a cifra recomendada; variantes baseadas em AEAD a substituíram por volta de 2018.
Como tenta evadir detecção. O Shadowsocks não tenta. A única defesa do protocolo é que o tráfego cifrado parece bytes aleatórios, o que é mais difícil de fingerprintar do que um protocolo estruturado como WireGuard. Não há handshake TLS, nem fake-server, nem resistência a sondagem ativa.
Como falha. O Grande Firewall vem bloqueando Shadowsocks de forma confiável desde mais ou menos 2017. O método de detecção evoluiu: primeiro, capturas baseadas em assinatura para Shadowsocks plain inicial; depois, análise de entropia captura variantes AEAD porque a ausência de qualquer handshake TLS combinada com payloads de alta entropia é em si uma fingerprint. Em 2024-2026, tanto o TSPU russo quanto o GFW alcançam taxas de detecção de Shadowsocks de 30-60% segundo testes da comunidade.
Onde ainda funciona. Países com filtragem leve (Vietnã, partes da Indonésia, alguns períodos na Turquia). Shadowsocks self-hosted com plugins obfs-tls ou simple-obfs ocasionalmente ainda funciona na China, mas é frágil.
Quando escolher. Quase nunca em 2026. Use Shadowsocks se você tem motivos operacionais específicos (infraestrutura existente, simplicidade, ferramental offline) e não está num país de DPI pesado. Caso contrário, mude para Reality, NaiveProxy ou Hysteria.
V2Ray e VMess
O que é. V2Ray foi criado em 2015 como sucessor mais flexível do Shadowsocks. Suporta múltiplos transportes (TCP, mKCP, WebSocket, HTTP/2, QUIC) e múltiplos protocolos em camada acima (VMess, Shadowsocks, SOCKS, HTTP). VMess é o protocolo nativo do V2Ray — cifrado, com esquema de autenticação baseado em timestamp.
Como tenta evadir detecção. A flexibilidade do V2Ray é sua estratégia de evasão. Encapsulando VMess dentro de HTTP/2 sobre TLS para um domínio com aparência real, você consegue construir um stream que parece superficialmente HTTPS para um site. O padrão "WebSocket + TLS + Web" foi popular entre 2017-2020.
Como falha. O próprio VMess tem padrões detectáveis (a janela de autenticação baseada em timestamp é fingerprintável). O padrão "WebSocket + TLS + Web" exige operar um site real por trás do proxy — o que é mais complexidade operacional do que self-hosters tipicamente mantêm. Sondagem ativa pega instalações que tenham um site placeholder genérico que não combine com o SNI alegado.
Onde ainda funciona. V2Ray self-hosted com VMess + WebSocket + TLS para um domínio real fronteado por CDN ainda funciona em muitos lugares, incluindo partes da China e Rússia, se mantido com cuidado. A maioria das instalações comerciais V2Ray são detectadas.
Quando escolher. Se você roda setup self-hosted e tem o esforço de engenharia para manter um site real por trás do proxy, V2Ray continua viável. Para uma VPN comercial, Reality é a melhor escolha — mesmo ecossistema XRay-core, melhor resistência a detecção, menos fragilidade operacional.
Trojan-GFW
O que é. Trojan foi criado em 2019 especificamente para vencer o Grande Firewall. O design: faz um handshake TLS real para seu servidor, mas o certificado é seu (auto-emitido, ou Let's Encrypt). Clientes autenticados tunelam; clientes não autenticados recebem um site com aparência real.
Como tenta evadir detecção. Melhor que Shadowsocks ou V2Ray, porque Trojan faz um handshake TLS real — o perfil de entropia bate com HTTPS. Sondagem ativa retorna um site real, não um placeholder. Parece um site HTTPS normal para a maioria dos observadores.
Como falha. O certificado é o que entrega. Instalações Trojan usam Let's Encrypt ou certificados auto-assinados para domínios que o operador controla. Logs de Certificate Transparency mostram que esses certificados existem; se um censor compara o certificado de um servidor suspeito com o que o CT diz sobre aquele domínio (o log CT mostra que isso é um site de produção real? Os outros nomes de subject do certificado batem com o que um site de produção real teria?), instalações Trojan se destacam. Censores sofisticados implantam "sondagem ativa com comparação TLS" — conectam ao servidor suspeito, buscam o cert, comparam com registros CT do domínio alegado, sinalizam inconsistências.
Onde ainda funciona. A maioria dos países com DPI leve. A China ainda pega setups Trojan bem-implantados, mas de forma inconsistente. O TSPU russo pega Trojan que usa certs genéricos, mas erra Trojan com certs cuidadosamente rotacionados e domínios de camuflagem de alto tráfego.
Quando escolher. Se você está self-hosting e Reality é operacionalmente complexo demais, Trojan com Let's Encrypt + uma CDN frontal real é um segundo-melhor razoável. Para VPNs comerciais, Reality é estritamente melhor — Reality encaminha um certificado real de terceiros, eliminando o vetor de comparação CT.
VLESS Reality (com Vision flow)
O que é. Reality foi lançado no XRay-core v1.8.0 no início de 2023. O avanço: em vez de usar seu próprio certificado (padrão do Trojan), Reality encaminha o certificado real de um site público real como Microsoft ou Cloudflare. O servidor faz proxy de conexões não autenticadas para esse site real.
O Vision flow (xtls-rprx-vision) adicionado no fim de 2023 elimina o sinal de detecção TLS-em-TLS que de outra forma seria visível por análise de tráfego.
Como tenta evadir detecção. Reality é o único protocolo nesta lista cujo handshake é um handshake TLS 1.3 real para um site público real. O certificado que o cliente vê é o certificado real da Microsoft (ou Cloudflare, ou Apple), com as assinaturas reais de CAs reais, nos logs de Certificate Transparency reais. Não há fake para detectar porque nada é fake.
A enganação é estrutural: escondida dentro da extensão key-share cifrada do handshake TLS, uma pequena peça de material criptográfico identifica clientes autenticados. Tudo que um observador consegue ver é HTTPS genuíno para um host que ele não pode se dar ao luxo de bloquear.
Como falha (raramente). Análise de reputação de IP: um censor notando que um IP residencial repetidamente abre conexões TLS de longa duração para um VPS específico que também faz proxy para a Microsoft. O TSPU russo teve sucesso limitado com isso, bloqueando algumas faixas de IP de VPS. A taxa de detecção contra Reality bem-implantado a partir de espaço de IP limpo é abaixo de 5% segundo relatos da comunidade até maio de 2026.
Onde funciona. Rússia, China, Irã, Paquistão, Emirados Árabes Unidos, Arábia Saudita, Turquia. Reality com Vision é o protocolo de VPN de consumo mais confiável em ambientes de DPI ativo em 2026.
Quando escolher. Sempre que você precisa de uma VPN que sobreviva a DPI. As únicas razões para não escolher Reality: velocidade (Reality roda sobre TCP, então em redes móveis com perdas o Hysteria pode ser mais rápido), ou simplicidade de self-hosting (Reality exige mais configuração que Trojan ou Shadowsocks). Para uso cotidiano de VPN de consumo em mercados de censura pesada, Reality é a resposta.
Guia detalhado do protocolo aqui.
Hysteria 2
O que é. Hysteria é um protocolo baseado em QUIC desenhado para redes de alta perda e alta latência. Usa um algoritmo de controle de congestionamento customizado (Brutal) que se recupera agressivamente de perda de pacotes. Hysteria 2, lançado em 2023, adicionou autenticação melhorada e mascaramento de tráfego.
Como tenta evadir detecção. Hysteria roda sobre QUIC (HTTP/3), então parece superficialmente tráfego HTTP/3 de browser. Hysteria 2 adicionou modo de mascaramento que faz proxy de conexões não autenticadas para um backend real, similar ao design do Reality. O certificado é seu (estilo Let's Encrypt), então compartilha a vulnerabilidade de certificate transparency do Trojan — embora isso seja mitigado pelo HTTP/3 ser mais novo e a detecção por comparação CT ser menos madura para QUIC do que para TLS.
Como falha. Fingerprinting de QUIC é um campo emergente próprio. Diferentes implementações de QUIC têm variações detectáveis em como lidam com cifragem de número de pacote, negociação de versão e frequência de ACK. A fingerprint QUIC do Hysteria está cada vez mais distinguível da fingerprint QUIC do Chrome conforme os métodos de detecção melhoram. Alguns ISPs iranianos e chineses fazem throttling do Hysteria mais agressivamente que outro tráfego QUIC.
Onde funciona. Redes móveis com alta perda de pacotes (onde protocolos baseados em TCP travam). Ambientes de censura levemente filtrados. Alguns períodos na Rússia e China onde a detecção de fingerprint QUIC ainda não foi implantada.
Quando escolher. Casos de uso pesados em mobile em redes com perdas onde o desempenho TCP do Reality é o gargalo. O UDP-sobre-QUIC do Hysteria 2 lida com perda de pacotes muito melhor que TCP. Onde Reality falha por razões de desempenho (não de detecção), Hysteria pode ser melhor.
NaiveProxy
O que é. NaiveProxy foi criado por klzgrad para alavancar a stack de rede real do Chrome. O servidor proxy roda Caddy (um webserver). Clientes NaiveProxy usam a stack de rede do Chromium para fazer conexões HTTP/2 ao servidor Caddy. O tráfego é byte-idêntico ao tráfego do Chrome porque é literalmente código de rede do Chrome.
Como tenta evadir detecção. O casamento de fingerprint de browser mais forte de qualquer protocolo nesta lista. Detecção exige distinguir a fingerprint Chromium do NaiveProxy da fingerprint Chromium do Chrome real, o que só é possível na camada de timing/comportamental (usuários reais têm padrões de sessão variáveis; usuários NaiveProxy têm padrões parecidos com proxy).
Como falha. Análise comportamental pega usuários que rodam NaiveProxy 24/7 com fluxos de alta vazão sustentada que não batem com padrões de navegação de usuários reais. A detecção não foi amplamente implantada (é mais cara que detecção baseada em fingerprint), mas arquiteturalmente NaiveProxy não é invulnerável.
Onde funciona. Rússia, China, Irã, Paquistão — a maior parte dos mercados de DPI ativo. Menos amplamente implantado que Reality (base de usuários menor = mais difícil se misturar), mas tecnicamente excelente.
Quando escolher. Self-hosting com requisitos fortes de privacidade e disposição para manter infraestrutura Caddy. NaiveProxy é genuinamente excelente para usuários avançados; sua pegada de implantação menor é a principal razão pela qual VPNs comerciais não o entregam.
TUIC
O que é. TUIC (Thinking-Up-Initial-Connections) é um protocolo baseado em QUIC desenhado para proxy de baixa latência. Roda sobre QUIC como Hysteria mas com escolhas diferentes de controle de congestionamento e autenticação.
Como tenta evadir detecção. TUIC v5 adicionou TLS-1.3-mimicry sobre QUIC para o handshake. O protocolo é mais novo (2022-2023) e menos testado em batalha que Reality ou Hysteria.
Onde funciona. TUIC é mais popular na comunidade self-hoster de língua chinesa. Implantações comerciais são raras. Resistência a detecção é similar a Hysteria — funciona em muitos lugares, ainda não está sob ataque sustentado.
Quando escolher. Nicho. Se você é usuário avançado que quer os benefícios de manuseio de perda do QUIC com design de protocolo mais limpo que Hysteria, TUIC vale investigar. Para a maioria dos usuários, Reality ou Hysteria é a escolha mais bem-suportada.
Tabela de comparação
| Protocolo | Resistência a DPI | Velocidade (rede limpa) | Velocidade (rede com perdas) | Maturidade | Complexidade self-host | Implantações comerciais |
|---|---|---|---|---|---|---|
| Shadowsocks AEAD | Baixa | Rápida | Moderada | Madura | Baixa | Várias, mais provedores pequenos |
| V2Ray VMess | Baixa-moderada | Rápida | Moderada | Madura | Moderada | Algumas |
| Trojan-GFW | Moderada | Rápida | Moderada | Madura | Moderada | Poucas comerciais |
| VLESS Reality + Vision | Mais alta | Moderada (TCP) | Moderada | Produção | Alta | Fexyn, Astrill, poucas outras |
| Hysteria 2 | Moderada-alta | Muito rápida | Excelente | Recente (2023) | Moderada | Poucas comerciais |
| NaiveProxy | Alta | Moderada | Moderada | Recente (2020) | Moderada | Nenhuma em escala |
| TUIC v5 | Moderada-alta | Rápida | Excelente | Recente (2023) | Moderada | Nenhuma em escala |
Taxas de detecção do mundo real (maio de 2026)
Baseadas em testes da comunidade e em nossa própria telemetria de servidores no pool funcional de protocolos:
| País | Shadowsocks AEAD | Trojan | VLESS Reality+Vision | Hysteria 2 | NaiveProxy |
|---|---|---|---|---|---|
| Rússia (TSPU) | Quase todo bloqueado | Inconsistente | ~95% sucesso | ~70% sucesso | ~90% sucesso |
| China (GFW) | 30-60% bloqueado | Inconsistente | Funciona, churn de bloqueio de IP | ~60% sucesso | ~85% sucesso |
| Irã (FRA) | Quase todo bloqueado | Inconsistente | Funciona | Inconsistente | Funciona |
| Paquistão (PTA) | Inconsistente | Inconsistente | ~80% sucesso | ~50% sucesso | ~70% sucesso |
| Emirados (TRA) | Throttling | Inconsistente | Funciona | Throttling | Funciona |
Esses números têm incerteza significativa — são baseados em relatos da comunidade e em nossa própria telemetria, não em medições acadêmicas formais. O ranking relativo é estável entre relatos que vimos; os percentuais absolutos derivam semana a semana.
Por que Fexyn entrega Reality
Consideramos os seis protocolos quando construímos o Fexyn. A decisão se apoiou em quatro pontos.
Resistência a detecção. Reality com Vision é o mais forte disponível contra DPI ativo. NaiveProxy é comparável mas com pegada implantada menor, o que significa menos usuários para se misturar — um risco de detecção de longo prazo que não quisemos correr.
Maturidade de produção. Reality está em produção ativa desde o início de 2023, em milhares de implantações self-hosted e em vários provedores comerciais. A cadência de bug-fix é saudável. O ecossistema XRay-core é bem-mantido. Em contraste, TUIC e Hysteria 2 são mais novos e tiveram mais mudanças quebrantes recentes.
Simplicidade TCP para nossa infraestrutura. Reality roda sobre TCP. Nossa frota de servidores (Frankfurt, Helsinki, Chipre, Ashburn) já estava provisionada para protocolos baseados em TCP. Mudar para QUIC teria exigido reconstruir nosso backend. A penalidade de desempenho TCP em redes com perdas é real, mas aceitável para os mercados que servimos.
Disponibilidade de host de camuflagem. Reality precisa de um site público real como alvo de camuflagem. Microsoft, Cloudflare e Apple são todas escolhas razoáveis e difíceis de qualquer censor bloquear. Os outros protocolos ou não precisam de camuflagem (Shadowsocks) ou usam domínios sob controle próprio (Trojan) — nenhum dos quais é tão resiliente.
Não fingimos que Reality é universalmente ótimo. Em redes móveis com perdas, Hysteria nos superaria. Para self-hosters que querem simplicidade operacional, Trojan ou Shadowsocks são mais fáceis. NaiveProxy é tecnicamente excelente e monitoramos se devemos entregá-lo como protocolo alternativo.
Para os mercados nos quais focamos — Rússia, Turquia, Golfo, Paquistão, Irã — Reality é a resposta certa em 2026.
O que provavelmente vai mudar
Viabilidade de protocolo contra censura não é estável. Algumas previsões:
O domínio do Reality vai se estreitar. O TSPU russo está investindo pesado em detecção. A distinção Reality-vs-Reality+Vision emergiu no fim de 2025; outra distinção emergirá até meados de 2027. Reality vai continuar funcionando, mas os detalhes de configuração que importam vão mudar.
A adoção de Hysteria 2 / TUIC vai crescer. Conforme redes móveis dominam mercados emergentes e desempenho em rede com perdas se torna mais importante, protocolos baseados em QUIC vão alcançar Reality em resistência a detecção. A taxa de sucesso atual de 70% na Rússia vai subir.
NaiveProxy vai conseguir mais implantações comerciais. Casamento de fingerprint de browser é uma defesa forte de longo prazo. O bloqueio tem sido complexidade operacional (rodar backends Caddy), o que vai ficar mais fácil conforme o ferramental amadurece.
Shadowsocks vai sumir. Taxas de detecção vão continuar subindo. Self-hosters vão migrar para Reality ou NaiveProxy. Implantações comerciais já são raras e vão ficar mais raras.
O protocolo que você escolhe hoje não é uma decisão permanente. A suposição saudável é que detecção melhora continuamente e que a resposta certa em 2027 vai ser diferente da resposta certa em 2026. Por isso a auto-rotação de protocolo do Fexyn (tenta Bolt primeiro, cai para Stealth quando há filtragem, troca o alvo de camuflagem conforme Reality evolui) é mais importante que o protocolo específico que entregamos em qualquer momento.
Experimente o Fexyn grátis por 7 dias — Stealth (VLESS Reality com Vision) está incluso em todos os planos.
Leia mais: Guia do protocolo VLESS Reality, O que funciona na Rússia em 2026, Deep packet inspection explicado, VLESS vs Shadowsocks, VLESS vs WireGuard.