Glossário
O que é active probing
Técnica de censura onde censores enviam suas próprias sondas a servidores proxy suspeitos pra verificar se o servidor é ou não uma VPN, depois bloqueiam baseado na resposta.
Active probing é uma técnica de detecção de censura. Em vez de só analisar tráfego passivamente (que é o que deep packet inspection e análise de entropia fazem), a infraestrutura do censor conecta a servidores proxy suspeitos e compara a resposta do servidor contra o que um serviço legítimo retornaria. Se a resposta diverge, o IP é adicionado à lista de bloqueio.
A Great Firewall da China faz isso desde pelo menos 2012. Irã, Rússia e Paquistão deployaram capacidades similares em níveis variados.
Como active probing funciona
Quando a infraestrutura do censor vê uma conexão que pode ser proxy — baseado em padrões de tráfego, reputação de IP ou outros sinais passivos — ela despacha sua própria conexão pro mesmo destino, frequentemente em minutos:
- O censor vê uma conexão de um usuário residencial pro IP
1.2.3.4na porta 443. - A infraestrutura do censor conecta a
1.2.3.4:443ela mesma. - A infraestrutura envia uma requisição que um serviço web legítimo lidaria (TLS ClientHello, GET HTTP/1.1, etc.).
- Registra a resposta.
- A resposta é comparada contra o que um serviço legítimo teria retornado.
Se o servidor suspeito retorna algo inconsistente com um serviço real — cadeia de certificado errada, headers HTTP errados, fingerprint de software errado, sem resposta a certos tipos de probe — o IP é adicionado à lista de bloqueio do censor.
O que active probing pega
Várias categorias de proxy:
Deployments Trojan. Trojan faz handshake TLS real mas usa certificado autoemitido (Let's Encrypt ou self-signed). O active prober compara o certificado contra registros de Certificate Transparency pro domínio reivindicado. Se o cert não é o que CT diz sobre aquele domínio, o servidor é flagado.
Servidores rodando software proxy conhecido. Muitas implementações de proxy têm padrões de resposta HTTP detectáveis quando sondadas com requisições não padrão. Shadowsocks, V2Ray e implementações antigas foram pegos assim.
Servidores que falham em responder como serviços web reais. Um servidor web real retorna página de erro pra requisições inválidas, ou redireciona pra HTTPS quando HTTP, ou tem headers específicos. Proxies que não implementam esses comportamentos se destacam.
Servidores que auto-desconectam probers não autenticados. Se o servidor suspeito imediatamente fecha conexões que não autenticam, isso em si é sinal de que o servidor espera clientes autenticados — ou seja, é proxy.
Como VLESS Reality derrota active probing
VLESS Reality com o Vision flow é estruturalmente resistente a active probing. O truque: quando uma conexão não autenticada chega num servidor Reality, o servidor faz proxy transparente da conexão pro site público real do qual está se camuflando.
O fluxo:
- O active prober conecta no servidor Reality.
- O prober não está autenticado (não tem o shortId nem chaves X25519).
- O servidor Reality faz proxy transparente da conexão do prober pra, digamos,
microsoft.com. - O prober recebe resposta do servidor Microsoft real.
- O certificado é real. Os headers são reais. O comportamento é real.
- Não há inconsistência pra detectar porque a resposta É a resposta real da Microsoft.
A única coisa que distingue um cliente Reality de um usuário Microsoft real é o shortId criptografado escondido dentro da extensão TLS key-share — invisível pro active prober. Active probing não tem nada pra flagar.
O que ainda funciona contra Reality
Active probing no sentido estrito — conectar, comparar resposta — não pega Reality. Dois ataques adjacentes permanecem ameaças parciais:
Análise de reputação de IP. Notar que um IP residencial repetidamente abre conexões TLS de longa duração pra um VPS específico que também faz proxy pra Microsoft, e tratar esse padrão como suspeito. Isso pega alguns deployments Reality mas é caro de operar em escala e produz falsos positivos.
Análise comportamental de tráfego. Um usuário gerando conexões Microsoft sustentadas por horas todo dia em alta vazão é um padrão comportamental que não casa com comportamento típico de usuário Microsoft. Esse tipo de análise requer compute significativo e produz muitos falsos positivos, e por isso não é deployado em escala ainda.
Pra maioria dos usuários em mercados com DPI ativo em 2026, Reality + Vision mais higiene razoável de pool de IPs é suficiente. A taxa de detecção contra Reality bem deployado está abaixo de 5% segundo relatos da comunidade.
Por que active probing é difícil de derrotar em geral
Censores definem as regras do jogo. O censor decide o que é serviço "legítimo" e o que não é. Qualquer proxy que não impersone perfeitamente um serviço legítimo tem algum sinal que distingue. A única maneira de derrotar active probing totalmente é SER um serviço legítimo pra qualquer requisição não autenticada — que é o que Reality faz fazendo proxy transparente pro site real.
Experimente o Fexyn grátis por 7 dias — Stealth (VLESS Reality com Vision) em todo plano; derrota active probing sendo estruturalmente indistinguível de HTTPS real pro host de camuflagem.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços