O que é deep packet inspection e como VPNs derrotam ele
Seu provedor vê todo pacote que você envia. Na maior parte do tempo, ele só lê o header: IP de origem, IP de destino, número de porta. É o suficiente para roteamento. Deep packet inspection vai além. Ele abre o pacote e examina o próprio payload.
A analogia que as pessoas usam é a do correio. Um carteiro lê o endereço no envelope para classificá-lo. DPI é o carteiro abrindo o envelope, lendo a carta e decidindo se entrega com base no que está dentro. Só que o DPI opera em velocidade de fio em milhões de pacotes por segundo, e a decisão acontece antes do pacote chegar ao destino.
É assim que governos bloqueiam VPNs. Não por endereço IP (fácil demais de mudar), não por número de porta (qualquer protocolo pode rodar em qualquer porta), mas olhando o próprio tráfego e identificando qual protocolo o gerou.
O que sistemas DPI de fato fazem
Um appliance DPI fica inline no caminho de rede entre você e a internet. Todo pacote passa por ele. O appliance mantém estado de fluxo, remonta streams TCP e roda engines de classificação contra os dados remontados.
A classificação acontece em camadas. Primeiro, o sistema checa números de porta e headers básicos de protocolo. Depois roda casamento de assinatura contra fingerprints de protocolo conhecidos. Em seguida, se as duas primeiras camadas não produziram um casamento confiante, alimenta features de tráfego em classificadores estatísticos. Alguns sistemas também fazem sondagem ativa: quando veem tráfego suspeito, conectam ao servidor de destino eles mesmos e tentam provocá-lo a revelar o que está rodando.
Isso não é teórico. Cisco, Huawei, Sandvine e Allot vendem caixas de DPI para ISPs e governos do mundo todo. O PacketLogic da Sandvine foi encontrado no Egito, Turquia, Líbia e Síria. Tecnologia da Huawei roda dentro do Grande Firewall da China. São produtos reais com times de venda reais e implantações reais.
Onde o DPI é implantado para censura
Os países com os programas de DPI mais agressivos não estão escondendo. Alguns publicam documentos de aquisição.
O Grande Firewall da China é o sistema mais antigo e sofisticado. Combina DPI passivo (casamento de assinatura, classificação estatística, machine learning) com sondagem ativa. Quando o GFW vê uma conexão que suspeita ser proxy, dispara sua própria conexão para o mesmo servidor, mandando payloads forjados para provocar respostas específicas de protocolo. Pesquisadores documentaram sondagens chegando de mais de 12.000 endereços IP distintos. Num estudo de quatro meses, mais de 50.000 sondagens ativas foram registradas contra um único servidor, com 25% das sondagens baseadas em replay chegando em até um segundo da conexão original.
O TSPU da Rússia (Technical Systems for Countering Threats) é mais novo mas bem-financiado. A Roskomnadzor, agência responsável pela regulação de internet, tem orçamento de 2,27 bilhões de rublos alocado até 2027 para análise de tráfego com IA. Caixas TSPU ficam dentro de todo ISP licenciado na Rússia. São obrigatórias. O sistema consegue fazer throttling ou bloquear protocolos específicos em nível nacional, e ele faz. A Rússia fez throttling do Twitter em 2021 usando TSPU. Em meados de 2024, o TSPU detectava e bloqueava conexões WireGuard com precisão quase 100%.
O Irã importa tecnologia de DPI chinesa e opera sua própria infraestrutura de filtragem. Durante o "blackout stealth" de junho de 2025, autoridades não desligaram a internet inteiramente. Em vez disso, usaram DPI para bloquear seletivamente protocolos VPN deixando a navegação HTTPS regular funcional. Esse é o novo manual: bloqueio direcionado de protocolo é mais barato e politicamente menos custoso que apagões totais.
A Indonésia tem abordagem diferente. O governo mapeia tráfego de internet para números de identidade de cidadão, ligando fluxos classificados por DPI a pessoas específicas. Não é só censura. É vigilância com atribuição.
O relatório da Freedom House de 2025 documentou o 15º ano consecutivo de declínio de liberdade de internet globalmente. 57 de 72 países estudados prenderam pessoas por expressão online. DPI é a tecnologia habilitadora por trás da maior parte dessas ações de execução.
Como o DPI identifica tráfego de VPN
DPI usa três métodos distintos para pegar conexões de VPN. Cada um mira uma fraqueza diferente.
Método 1: Fingerprinting de protocolo
Todo protocolo tem padrões estruturais em seus pacotes. Sistemas DPI mantêm bancos de dados de assinatura que casam com esses padrões.
WireGuard é o exemplo mais óbvio. Sua mensagem de iniciação de handshake é sempre exatamente 148 bytes. O primeiro byte é 0x01 (tipo de mensagem), seguido por três bytes zero, índice de remetente de 4 bytes e chave pública efêmera não cifrada de 32 bytes. Essa estrutura nunca varia. Uma regra de DPI que casa em tamanho de pacote mais os primeiros quatro bytes pega toda conexão WireGuard no primeiro pacote.
OpenVPN é só um pouco mais difícil. Um paper de 2022 publicado no USENIX Security ("OpenVPN is Open to VPN Fingerprinting") demonstrou que pesquisadores conseguiam identificar 85% dos fluxos OpenVPN com zero falsos positivos. O método funcionou contra tráfego real de ISP, não dados de laboratório. Eles testaram 41 configurações diferentes de ofuscação e ainda identificaram 34 delas. O framing do canal de controle do OpenVPN, sua estrutura de byte de opcode e o timing do seu handshake TLS produzem assinaturas reconhecíveis.
Fingerprinting de TLS adiciona outra camada. Hashes JA3 e JA3S pegam parâmetros de um ClientHello TLS (cipher suites, extensões, supported groups, formatos de ponto de curva elíptica — e o hostname SNI é visível em texto claro ao lado deles) e os hasheiam numa fingerprint. Se seu cliente VPN gera um ClientHello que não bate com nenhum browser conhecido, a conexão é sinalizada. Só o hash JA3 consegue distinguir Chrome, Firefox, curl e a maior parte dos clientes proxy. O GFW da China usa fingerprinting de TLS desde pelo menos 2019.
Método 2: Análise estatística
Quando fingerprinting falha, estatística pega o resto. Classificadores de machine learning treinados em datasets de tráfego rotulado conseguem detectar conexões de VPN com base em distribuição de tamanho de pacote, timing entre chegadas, duração de fluxo e entropia de byte.
Pesquisa publicada mostra que esses classificadores alcançam 80-95% de acurácia em tráfego de VPN cifrado. Modelos Random Forest atingem 85%+ de acurácia em Shadowsocks especificamente. O classificador não precisa decifrar nada. Ele olha o formato do tráfego: tamanho dos pacotes, frequência de chegada, quanta aleatoriedade o stream de byte contém.
Entropia alta é na verdade um sinal vermelho. Tráfego HTTPS normal tem elementos estruturados: handshake TLS com cadeias de certificado, headers de frame HTTP/2, campos content-length. Shadowsocks e outros proxies baseados em SOCKS produzem streams de aleatoriedade quase uniforme desde o primeiro byte. Esse nível de entropia é incomum em navegação web normal, e classificadores pegam isso rapidamente.
Distribuição de tamanho de pacote também importa. Navegação web produz padrão característico de pacotes pequenos de requisição e pacotes maiores de resposta com clusters específicos em torno de tamanhos de conteúdo comuns. Um túnel VPN carregando o mesmo tráfego web adiciona overhead de encapsulamento, desloca a distribuição de tamanho e cria padrões que diferem de conexões HTTPS diretas.
Método 3: Sondagem ativa
Essa é a especialidade da China, embora Rússia e Irã estejam adotando.
Sondagem ativa funciona assim: o sistema DPI vê conexão que não consegue classificar com confiança. Em vez de bloquear imediatamente, registra IP e porta de destino. Depois, de uma máquina separada, abre sua própria conexão a esse servidor e manda payloads cuidadosamente construídos.
Se o servidor está rodando Shadowsocks, a sonda manda payload aleatório. Um servidor Shadowsocks vai tentar decifrar, falhar e ou fechar a conexão ou produzir resposta de erro distintiva. Um servidor HTTPS legítimo retornaria um TLS alert apropriado.
Se o servidor está rodando Trojan, a sonda manda requisição HTTP. Um servidor Trojan configurado corretamente vai servir um site real. Mas a sonda então checa se o certificado TLS bate com o que está nos logs de certificate transparency, se o timing do servidor bate com servidor web real, se os headers de resposta HTTP são consistentes com o software de servidor alegado.
A escala de sondagem ativa é enorme. Pesquisadores rodando honeypots viram sondagens chegando de milhares de endereços IP chineses distintos. As sondagens são distribuídas entre múltiplos ASNs para evitar blacklist. Testam HTTP, TLS e payloads customizados específicos de protocolo. Replayam tráfego capturado para ver se o servidor responde diferente a conexões replayadas vs frescas.
Taxas de detecção protocolo a protocolo
Dados agregados de testes do TSPU russo, observações do GFW chinês e relatos de pesquisadores (Habr, fevereiro de 2026):
| Protocolo | Taxa de detecção | Tempo de detecção | Método |
|---|---|---|---|
| OpenVPN | ~100% | Menos de 30 segundos | Casamento de assinatura na estrutura de opcode |
| WireGuard | ~100% | Primeiro pacote | Fingerprint de handshake de 148 bytes |
| Shadowsocks (AEAD) | ~95% | Minutos | Análise de entropia + detecção de replay |
| Trojan | ~90% | Horas | Sondagem ativa + verificação de cert |
| VMess | ~80% | Minutos | Análise estatística de padding/timing |
| VLESS Reality | <5% | N/A | Sem método de detecção confiável conhecido |
Esses números mudam. Um protocolo a 80% hoje pode estar em 99% em seis meses. Mas a hierarquia tem sido estável desde meados de 2024: protocolos VPN tradicionais são trivialmente detectáveis, ferramentas de circumvention pré-Reality são detectáveis com esforço, e conexões baseadas em Reality continuam difíceis de distinguir de HTTPS legítimo.
Como protocolos tentam evadir DPI
As estratégias de evasão se dividem em três gerações.
Geração 1: Wrappers de ofuscação
A abordagem mais antiga foi envolver tráfego VPN em outra camada. Usuários de OpenVPN rodavam suas conexões através de obfs4, Stunnel ou ferramentas similares que ou aleatorizavam o tráfego ou o envolviam em TLS. obfs4 buscava produzir tráfego sem nenhuma estrutura identificável.
Isso funcionou contra casamento simples de assinatura. Falhou contra análise estatística. Ruído aleatório se destaca quando todo o resto na rede é HTTP/S, DNS ou QUIC estruturado. Quando a China implantou classificadores de entropia, conexões wrapped em obfs4 ficaram fáceis de sinalizar.
Shadowsocks representou refinamento. Cifras AEAD adicionaram autenticação e versões posteriores tentaram dificultar ataques de replay. Mas o problema fundamental permaneceu: tráfego Shadowsocks não parece com nenhum protocolo legítimo. É aleatório demais, uniforme demais, limpo demais. Em setembro de 2024, o TSPU russo pegava 95% dos fluxos Shadowsocks.
Geração 2: Mimicry de protocolo
Trojan foi a primeira ferramenta amplamente implantada que tentou parecer com um protocolo legítimo específico (HTTPS) em vez de parecer com nada. Um servidor Trojan apresenta certificado TLS válido e serve site real para conexões não autenticadas. Apenas conexões com a senha correta são proxiadas.
Foi melhoria significativa. DPI passivo não conseguia distinguir Trojan de servidor HTTPS real só pelo tráfego. O problema era sondagem ativa. O GFW da China começou a conectar a servidores Trojan suspeitos, checando se o site servido estava de fato hospedado lá, comparando detalhes de certificado e medindo timing de resposta. Em agosto de 2025, a taxa de detecção de Trojan tinha subido para aproximadamente 90%.
Geração 3: Tráfego indistinguível
VLESS Reality resolveu o problema do certificado. Em vez de gerar seu próprio certificado TLS, um servidor Reality contata o alvo de camuflagem real (como microsoft.com) e encaminha o certificado genuíno desse servidor. A cadeia de certificado é real. O OCSP stapling é real. A fingerprint TLS bate com browser real porque o cliente usa uTLS para reproduzir mensagens ClientHello idênticas a browser.
Sondagem ativa bate na parede. Quando uma sonda conecta a servidor Reality sem autenticação válida, o servidor encaminha a conexão direto para o alvo de camuflagem real. A sonda fala com o microsoft.com de verdade. Não há nada fake para detectar.
A taxa de detecção menor que 5% para VLESS Reality nos dados do Habr não é de análise de protocolo. É de erros operacionais: pessoas usando portas incomuns, configurando mal o alvo de camuflagem ou rodando o servidor em faixas de IP que não hospedam sites legítimos.
Abordagens proprietárias
NordVPN entrega NordWhisper, descrito como protocolo que "disfarça tráfego VPN como navegação web regular". Detalhes técnicos são escassos. ProtonVPN oferece modo Stealth, que parece usar ofuscação baseada em TLS. Nenhuma das empresas publica o código-fonte ou especificações detalhadas de protocolo, o que torna verificação independente das alegações de resistência a censura impossível.
A comunidade open-source de circumvention de censura tem sido em geral cética de abordagens proprietárias. Protocolos fechados não podem ser auditados por pesquisadores, não podem ser testados contra sistemas DPI conhecidos em ambientes controlados e dependem inteiramente das alegações do vendor sobre sua eficácia.
A corrida armamentista não para
Toda técnica de detecção descrita aqui já foi considerada impossível. Dez anos atrás, a maior parte da censura de internet dependia de envenenamento de DNS e blacklist de IP. DPI era caro e lento. Isso mudou. Hardware ficou mais rápido. Modelos de ML melhoraram. Governos alocaram orçamentos de verdade.
O investimento de 2,27 bilhões de rublos da Rússia em análise de tráfego com IA não é despesa única. É desenvolvimento contínuo. O time do GFW da China publica papers acadêmicos sobre classificação de tráfego em conferências de segurança top. Não são amadores.
A resposta do lado de circumvention foi elevar a barra para detecção. Cada geração de ferramentas tornou DPI mais difícil, não impossível. Ofuscação comprou alguns anos. Mimicry de protocolo comprou mais alguns. Reality fez detecção exigir distinguir conexão VPN de conexão HTTPS legítima de aparência idêntica, o que é problema fundamentalmente mais difícil que qualquer coisa antes.
Mas "fundamentalmente mais difícil" não significa "permanentemente impossível". Ataques futuros potenciais contra Reality incluem:
- Correlação de timing: casar o timing do seu tráfego local com tráfego observado no lado do alvo de camuflagem
- Reputação de servidor: construir bancos de dados de IPs de servidor Reality conhecidos via varredura de rede
- Análise comportamental: sinalizar endereços IP que mantêm conexões HTTPS de duração incomumente longa para microsoft.com com banda alta
- Adoção de ECH: se Encrypted Client Hello se tornar universal, servidores que não suportam isso enquanto alegam ser microsoft.com vão se destacar
RPRX e o time de desenvolvimento do XRay estão cientes desses vetores. Updates do XRay core já endereçaram vários deles. O transporte XHTTP, adicionado na v24.12.18, divide tráfego entre múltiplas sessões HTTP de curta duração que parecem chamadas de API web normais em vez de túneis de longa duração.
O que isso significa para escolher uma VPN
Se você está num país que não roda DPI para censura (a maior parte da Europa, América do Norte, partes da América do Sul e África), escolha de protocolo não importa muito para evadir detecção. A velocidade e simplicidade do WireGuard tornam ele a melhor opção. Use ele.
Se você está na China, Rússia, Irã ou qualquer país que ativamente bloqueia protocolos VPN, escolha de protocolo é o fator mais importante para sua VPN funcionar. WireGuard vai ser bloqueado. OpenVPN vai ser bloqueado mais rápido. Você precisa de um protocolo que produza tráfego indistinguível de navegação HTTPS regular.
É por isso que o Fexyn roda VLESS Reality ao lado de WireGuard e OpenVPN. Quando sua conexão a servidor WireGuard é bloqueada, o motor de rotação de protocolo do Fexyn automaticamente troca para VLESS Reality sobre TCP ou XHTTP. Seu tráfego começa a parecer conexão HTTPS normal para microsoft.com. O sistema DPI que acabou de bloquear WireGuard não tem jeito confiável de distinguir seu tráfego VPN dos milhões de conexões HTTPS legítimas fluindo pela mesma rede.
DPI é real, está implantado em escala e está melhorando. Os protocolos que sobrevivem são os que não tentam se esconder. Apenas parecem exatamente com tudo o mais. Para usuários cujo modelo de ameaça centra em redes hostis — jornalistas especialmente — escolha de protocolo é a configuração mais consequente em qualquer VPN.
O exemplo cotidiano mais concreto de DPI em ação é bloqueio de VoIP no Golfo e Egito: Etisalat, du, STC, Mobily, Zain e as principais operadoras egípcias usam DPI para derrubar sinalização de chamada de WhatsApp, FaceTime e Skype em nível de pacote enquanto deixam mensagem de texto passar. A proteção da receita de chamada da operadora é o motivo; a fingerprint técnica desses sinais VoIP é o mecanismo. Os guias por país e por app — VPN para WhatsApp, VPN para FaceTime, VPN para Skype — passam por qual protocolo Fexyn faz cada um voltar a funcionar.
Para o panorama entre países, o mapa global de censura tem filtro "DPI implantado" que mostra todos os 18+ países com infraestrutura DPI documentada numa tela só.