Glossário
O que é DPI (deep packet inspection)
Equipamento de rede que olha dentro dos pacotes pra identificar a que protocolo ou aplicação eles pertencem, usado pra filtrar ou throttle tráfego.
Deep packet inspection — DPI — é o que acontece quando equipamento de rede não só roteia o pacote, mas lê ele. O switch ou firewall abre o payload, olha os bytes dentro, e tenta descobrir que aplicação ou protocolo gerou. Aí age no que encontra: throttle, bloqueio, log, ou passa.
DPI é a camada que provedores usam pra throttle BitTorrent. É a camada que firewalls corporativos usam pra reforçar "nada de Netflix em horário comercial". E é a camada que censores estatais usam pra bloquear VPNs quando o usuário pensava que estava tunelando ao redor das restrições.
Como DPI identifica tráfego
Todo protocolo tem uma fingerprint. Software DPI tem uma biblioteca dessas fingerprints e casa pacotes contra elas.
Alguns exemplos:
- WireGuard — UDP, tipos de mensagem de handshake distintivos 1 a 4, comprimentos de mensagem fixos em ranges conhecidos.
- OpenVPN — TLS handshake com timing característico, mais um padrão de canal de controle específico do OpenVPN.
- IPSec/IKEv2 — UDP/500 e UDP/4500 com estruturas de handshake muito reconhecíveis.
- Wrappers de "obfuscation" padrão — TLS handshake estruturalmente diferente de um handshake real de navegador (timing, distribuição de padding, ordem de extensões).
Cada fingerprint é pequena e barata de checar. Uma única caixa de DPI pode fingerprintar milhões de fluxos por segundo em hardware comum.
Por que DPI é difícil de derrotar
Embrulhar tráfego VPN em algo que parece HTTPS é o movimento óbvio, e é exatamente o que a maior parte das features de "obfuscation" faz. O problema: TLS handshakes têm fingerprints próprios. A ordem de extensões, a escolha de cipher suites, o comportamento de padding — tudo isso forma um padrão que DPI consegue casar.
Irã, Rússia e Turquia já bloquearam padrões específicos de TLS handshake associados com obfuscation de VPN consumidor. A corrida armamentista é constante: uma fingerprint adicionada ao hardware DPI bloqueia uma geração de VPNs obfuscated até elas atualizarem.
No Brasil, o Marco Civil da Internet limita explicitamente o uso de DPI pra fins de censura, mas a Anatel permite shaping de tráfego pra "gestão de rede" — que na prática inclui throttling de BitTorrent e VoIP em alguns provedores. A diferença com regimes mais restritivos: aqui o limite é regulatório, não técnico.
Como VLESS Reality contorna DPI
VLESS Reality é estruturalmente diferente. Em vez de gerar um TLS handshake que parece real, faz um TLS 1.3 handshake real pra um site público real. O certificado é o certificado real que o site serve. O SNI é o SNI real. O timing do handshake é o que TLS 1.3 real produz.
DPI vê uma conexão pro microsoft.com com o certificado real do microsoft.com, indistinguível de qualquer outro navegador abrindo microsoft.com. Pra bloquear, o censor precisaria bloquear microsoft.com — caro demais porque muitos outros consumidores dependem dele.
Leia mais em Deep packet inspection, explicado.
O que isso significa pra usuários
Se sua rede está filtrada por DPI (Turquia sob BTK, Rússia sob TSPU, China sob GFW, Irã), protocolos VPN padrão frequentemente falham. Conexões caem, throughput colapsa pra velocidades de dial-up, ou handshakes recebem reset.
Fexyn entrega VLESS Reality como Fexyn Stealth especificamente pra essas redes. Experimente grátis por 7 dias e veja se passa pela sua conexão específica.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços