VLESS vs Shadowsocks
VLESS vs Shadowsocks: qual protocolo vence a censura? Em 20 de abril de 2012, um desenvolvedor chinês usando o nome "clowwindy" subiu um script Python ao GitHub. Dois dias depois, compartilhou no V2EX, fórum chinês de desenvolvedores. O projeto se chamava Shadowsocks. Era um proxy SOCKS5 criptografado, simples por design, e deu a milhões de pessoas na China um caminho para passar pelo Great Firewall.
Por três anos, Shadowsocks foi a ferramenta mais confiável pra circundar a censura de internet chinesa. Depois, em 22 de agosto de 2015, clowwindy foi visitado pela polícia e forçado a deletar o repositório. Sua mensagem final de commit: "Espero que um dia eu more num país onde tenha liberdade de escrever qualquer código que eu queira sem medo."
O projeto sobreviveu por forks. A comunidade carregou adiante. Mas o Great Firewall continuou evoluindo também, e em 2024, os métodos de detecção que China implantou contra Shadowsocks ficaram extremamente efetivos. Não porque Shadowsocks foi mal projetado. Porque a abordagem fundamental de fazer tráfego parecer ruído aleatório se revelou ter um teto.
VLESS Reality, lançado em Xray-core v1.8.0 no início de 2023, toma abordagem diferente. Em vez de criptografar tráfego em aleatoriedade, disfarça conexões VPN como sessões HTTPS comuns a sites reais. Essa distinção importa mais do que parece importar.
Como Shadowsocks funciona
Shadowsocks é proxy criptografado. Seu cliente conecta a servidor remoto, e todo tráfego entre eles é criptografado usando chave pré-compartilhada com ciphers AEAD (tipicamente chacha20-ietf-poly1305 ou aes-256-gcm). Da perspectiva de observador de rede, a conexão é stream de bytes que parecem dados aleatórios. Sem cabeçalhos de protocolo, sem padrão de handshake, sem estrutura identificável.
Esse foi o objetivo de design. Se tráfego parece nada reconhecível, um sistema DPI não pode combinar contra assinatura de protocolo conhecida. Em 2012, isso funcionou. O firewall da China era principalmente combinando contra fingerprints de protocolo, e tráfego que não combinava com nada passava.
A arquitetura é leve. Servidor Shadowsocks é binário único com configuração mínima. O ecossistema de cliente é enorme: ShadowsocksR, Clash, Surge, Quantumult, dezenas de apps Android e iOS. Pra países com censura moderada, como Indonésia, Turquia, ou Egito, Shadowsocks ainda funciona confiavelmente porque sua infraestrutura DPI não é sofisticada o suficiente pra sinalizar.
Mas China não é esses países.
O problema da entropia
Aqui está a coisa sobre ruído aleatório: tem assinatura estatística.
Tráfego HTTPS legítimo tem estrutura. Handshake TLS 1.3 começa com ClientHello contendo cipher suites, extensões, e indicação de nome de servidor. O servidor responde com certificados, que são estruturas X.509 codificadas em ASN.1. Essas têm baixa entropia em lugares previsíveis. Tamanhos de registro seguem padrões vinculados a frameworks web comuns. Mesmo dados de aplicação criptografados que seguem têm distribuições características.
Tráfego AEAD Shadowsocks tem entropia próxima da perfeição desde o primeiro byte. A razão de uns pra zeros se aproxima de 1:1 em todo segmento. Não há cabeçalhos de baixa entropia, sem handshake estruturado, sem troca de certificado. Todo byte parece uniformemente aleatório.
Essa uniformidade é o problema. Em rede real, nada mais parece assim. HTTPS não. DNS não. HTTP/2 não. Stream de bytes com entropia uniformemente alta e sem estrutura de protocolo é, paradoxalmente, uma das coisas mais distintivas que você pode mandar por uma rede.
China descobriu isso.
Como China detecta Shadowsocks
Pesquisa publicada no GFW Report e apresentada na IMC 2020 documentou o pipeline de detecção da China em detalhe. Opera em duas fases.
Fase um: análise passiva. GFW realiza medição de entropia no primeiro pacote de dados de toda nova conexão. Se o payload tem entropia uniformemente alta e não combina com a estrutura de qualquer protocolo conhecido (TLS, HTTP, SSH, DNS), a conexão é sinalizada pra probing ativo. Isso acontece em tempo real, em roteadores backbone, em velocidade de linha.
Fase dois: probing ativo. Uma vez que conexão é sinalizada, GFW despacha probes de pool de mais de 12.000 endereços IP. Esses probes mandam sete tipos diferentes de tráfego de teste pro suspeito servidor Shadowsocks: handshakes replayados, conexões parciais, requisições malformadas, e desafios específicos de protocolo. Servidor Shadowsocks real responde a esses probes diferente do que serviço legítimo faria. Servidor web retorna erros HTTP. Servidor SSH manda banner de versão. Servidor Shadowsocks ou descriptografa e proxia o lixo, ou derruba a conexão de jeito estatisticamente distinguível de erros normais de protocolo.
A combinação é devastadora. Em fevereiro 2026, Shadowsocks tem aproximadamente 95% de taxa de detecção em redes chinesas. Em CN2 (backbone premium da China Telecom), a taxa de sucesso pra conexões Shadowsocks é cerca de 76%, mas esse número cai durante períodos politicamente sensíveis quando GFW intensifica fiscalização.
Esses não são números teóricos. Vêm de testes crowdsourced em múltiplos provedores e pontos de saída chineses.
A abordagem VLESS Reality
VLESS Reality começa de premissa diferente. Em vez de fazer tráfego parecer nada, fazer parecer algo específico. Algo chato. Algo que bilhões de conexões parecem todo dia.
Quando cliente VLESS Reality conecta a servidor, realiza handshake TLS 1.3 real. O servidor alcança site legítimo (o alvo "dest", frequentemente algo como www.microsoft.com ou www.apple.com) e encaminha o certificado TLS real daquele site ao cliente. Pra qualquer observador de rede, a conexão parece idêntica a sessão HTTPS normal com Microsoft ou Apple. O Server Name Indication combina. O certificado é genuíno. O fingerprint TLS combina com navegador real.
Os dados VPN cavalgam dentro dessa sessão TLS usando multiplexing do Xray-core. De fora, é indistinguível de alguém navegando o site da Microsoft.
Probing ativo falha contra esse setup. Se GFW manda probe a servidor VLESS Reality, o servidor responde exatamente como o site de destino faria, porque está fazendo proxy das respostas reais do site. Não há diferença comportamental pra detectar.
O resultado: conexões VLESS Reality têm taxa de detecção abaixo de 5% em redes chinesas. A taxa de sucesso em rotas CN2 é cerca de 98%. Esse gap entre 76% e 98% é a diferença entre protocolo que funciona às vezes e um que funciona confiavelmente.
Cabeça a cabeça
Características de performance contam história mais matizada que taxas de detecção sozinhas.
Resistência à detecção
Shadowsocks é pego por análise de entropia no primeiro pacote. VLESS Reality passa análise de entropia porque seu tráfego tem o mesmo perfil estatístico que HTTPS. Em redes com DPI básico (maior parte do Sudeste Asiático, partes do Oriente Médio), ambos protocolos funcionam bem. Em redes com DPI avançado (China, Irã, crescentemente Rússia), Shadowsocks é não confiável. VLESS Reality funciona.
Latência
Shadowsocks é mais rápido. Conexão Shanghai a Los Angeles via Shadowsocks tipicamente mostra 130-160ms de latência. A mesma rota via VLESS Reality roda 160-210ms. A latência extra vem do overhead de handshake TLS e do passo de encaminhamento de certificado. Pra maioria do uso, 30-50ms de latência adicional não é perceptível. Pra games competitivos por VPN (que, sim, pessoas fazem da China), importa.
Roteamento por CDN
Aqui é onde a diferença arquitetural realmente mostra. Shadowsocks não pode rotear por infraestrutura CDN. É conexão TCP bruta entre cliente e servidor. Se o caminho direto entre seu provedor e o servidor é bloqueado ou estrangulado, está preso.
VLESS suporta transportes WebSocket e XHTTP, o que significa que pode cavalgar por Cloudflare, AWS CloudFront, ou outros provedores CDN. Seu tráfego entra na CDN num nó edge próximo e sai no nó CDN mais perto do seu servidor VPN. O censor vê conexão a Cloudflare, que hospeda milhões de sites legítimos. Bloquear Cloudflare significa quebrar metade da internet. Maioria dos governos não vai. (Irã brevemente tentou em 2022. Reverteu em dias.)
Uso de recursos
Shadowsocks é mais leve. Servidor Shadowsocks pode lidar com milhares de conexões concorrentes num VPS de US$ 5/mês. VLESS Reality requer mais CPU pras operações TLS e mais memória pra estado de conexão. Pra operadores rodando servidores proxy pra amigos e família, Shadowsocks é mais barato de hospedar. Pra serviço VPN comercial que precisa de confiabilidade em ambientes de rede hostis, os recursos extras são custo menor.
Ecossistema de cliente
Shadowsocks existe desde 2012. O ecossistema de cliente é massivo. Quase todo gerenciador de proxy em toda plataforma suporta. Clash, Surge, Quantumult X, v2rayNG, dezenas de outros.
Suporte VLESS Reality é mais novo mas espalhando. Xray-core é a implementação de referência. v2rayN, v2rayNG, Nekobox, Hiddify, e Streisand todos suportam. O gap está fechando, mas Shadowsocks ainda tem compatibilidade de cliente mais ampla hoje.
Quando usar qual
A resposta honesta: depende de onde você está.
Shadowsocks é a escolha certa quando seu adversário tem DPI básico ou moderado. Países como Vietnã, Turquia, Indonésia, ou Egito. O setup é mais simples, a latência é mais baixa, e o overhead de servidor é menor. Se Shadowsocks funciona confiavelmente na sua rede, não há razão pra usar algo mais pesado.
VLESS Reality é a escolha certa quando está lidando com DPI avançado, no nível de Estado. China, Irã, Rússia depois de 2024, e qualquer rede onde conexões Shadowsocks são detectadas e mortas. A latência e complexidade extras valem quando a alternativa é protocolo que falha 95% do tempo.
Algumas redes ficam no meio. Nesses casos, ter acesso a ambos protocolos com fallback automático é a resposta prática. Tente a opção mais rápida primeiro. Se falha, troque pra desenhada pra ambientes mais difíceis.
O que isso significa pro Fexyn
Fexyn VPN inclui VLESS Reality com Vision flow como um de três protocolos junto com WireGuard e OpenVPN. Nosso motor de rotação automática tenta protocolos em sequência e cai quando um é bloqueado. Em redes não restritas, você tem a velocidade do WireGuard. Em redes censuradas, o cliente troca pra VLESS Reality sem intervenção manual.
Não incluímos Shadowsocks. Não porque é protocolo ruim. Mudou o campo. O trabalho do clowwindy deu a milhões de pessoas acesso à internet aberta, e a comunidade que carregou o projeto adiante depois de 2015 merece crédito real por isso. Mas pra produto VPN comercial que precisa funcionar confiavelmente nos ambientes mais difíceis, a abordagem do VLESS Reality de parecer tráfego normal em vez de parecer nada é a fundação mais forte.
Shadowsocks resolveu o problema de 2012. VLESS Reality com Vision resolve o problema de 2026. Os censores ficaram melhores em detecção. Os protocolos tiveram que acompanhar. (Pro conceito subjacente de por que isso importa, veja o que é resistência à censura.)
Se quer entender os detalhes técnicos de como o encaminhamento TLS do VLESS Reality funciona, escrevemos análise completa em VLESS Reality explicado. Pra como compara com WireGuard (tradeoff completamente diferente), veja VLESS vs WireGuard. E pra contexto sobre o que sistemas DPI realmente olham, essa peça cobre o lado da detecção em profundidade.