Сравнение протоколов обхода цензуры
Если читаешь англоязычный VPN-контент, слышал про WireGuard и OpenVPN. Если читаешь китайскоязычные или русскоязычные tech-форумы, слышал про другую семью протоколов: Shadowsocks, V2Ray, Trojan, Hysteria, NaiveProxy, TUIC. Эта вторая семья построена специально, чтобы побеждать цензуру, которую семья WireGuard / OpenVPN не может.
Англоязычная VPN-индустрия в основном игнорировала эти протоколы. Этот разрыв расширяется по мере улучшения DPI на censorship-heavy рынках. В мае 2026-го протоколы, реально работающие в России, Китае, Иране и Пакистане, — в основном из второй семьи, не первой.
Дальше — честное сравнение. Что такое каждый протокол, как пытается уклоняться от детекции, где успешен и где падает. Шипим VLESS Reality и объясним, почему выбрали его над альтернативами — но не будем притворяться, что альтернативы плохие. Несколько отличны для конкретных ситуаций.
Проблема детекции, которую решают эти протоколы
Современная цензурная система не нуждается в расшифровке твоего трафика, чтобы знать, какой протокол ты запускаешь. Нужно распознавать форму трафика на проводе.
Три сигнала детекции имеют значение:
Fingerprint протокола. Пакет инициализации handshake WireGuard всегда ровно 148 байт с фиксированной структурой. У TLS-handshake OpenVPN характерный тайминг. Даже базовые Shadowsocks-стримы выглядят иначе, чем реальный HTTPS — высокая энтропия с первого пакета, без предшествующего handshake.
Статистический энтропийный анализ. У зашифрованного трафика высокая энтропия (random-выглядящие байты). У нормального HTTPS-трафика смешанная энтропия: структурированный TLS-handshake с предсказуемыми certificate chains, потом зашифрованные application-данные с характерными размерами record. Стримы, показывающие высокую энтропию с первого пакета без TLS-handshake, выделяются.
Активный пробинг. Когда цензор видит соединение, которое может быть proxy, он отправляет своё соединение к тому же серверу. Если ответ сервера отличается от легитимного сервиса, IP блокируется.
Каждый протокол ниже пытается побеждать какое-то подмножество этих. Ни один не побеждает все идеально. Лучшие близко.
Shadowsocks (и Shadowsocks AEAD)
Что это. Shadowsocks был создан в 2012-м китайским разработчиком (clowwindy) для обхода Великого фаервола. Простой SOCKS5-style proxy со stream cipher, оборачивающим соединение. Изначально рекомендованным cipher был chacha20-ietf-poly1305; AEAD-based варианты заменили его около 2018-го.
Как пытается уклоняться от детекции. Shadowsocks не. Единственная защита протокола — что зашифрованный трафик выглядит как случайные байты, что сложнее fingerprint, чем структурированный протокол вроде WireGuard. Нет TLS-handshake, нет fake-сервера, нет сопротивления активному пробингу.
Как падает. Великий фаервол блокирует Shadowsocks надёжно с примерно 2017-го. Метод детекции эволюционировал: сначала signature-based catches на ранних plain-Shadowsocks; позже entropy-анализ ловит AEAD-варианты, потому что отсутствие любого TLS-handshake в комбинации с high-entropy payload-ами — само по себе fingerprint. К 2024–2026 и российский ТСПУ, и GFW достигают 30–60% Shadowsocks detection rate по community testing.
Где ещё работает. Слабо-фильтруемые страны (Вьетнам, части Индонезии, некоторые периоды в Турции). Self-hosted Shadowsocks с obfs-tls или simple-obfs плагинами occasionally ещё работает в Китае, но fragile.
Когда выбирать. Почти никогда в 2026-м. Используй Shadowsocks, если есть конкретные операционные причины (существующая инфраструктура, простота, offline tooling) и ты не в heavy-DPI стране. Иначе переходи на Reality, NaiveProxy или Hysteria.
V2Ray и VMess
Что это. V2Ray был создан в 2015-м как более гибкий преемник Shadowsocks. Поддерживает множественные транспорты (TCP, mKCP, WebSocket, HTTP/2, QUIC) и множественные протоколы поверх (VMess, Shadowsocks, SOCKS, HTTP). VMess — нативный протокол V2Ray — зашифрованный, с timestamp-based authentication.
Как пытается уклоняться от детекции. Гибкость V2Ray — стратегия уклонения. Слоя VMess внутри HTTP/2 over TLS на realistic-домен, можешь построить stream, выглядящий поверхностно как HTTPS к сайту. Деплой-паттерн «WebSocket + TLS + Web» был популярен в 2017–2020.
Как падает. У VMess сами по себе детектируемые паттерны (timestamp-based auth-window fingerprint-уем). Деплой «WebSocket + TLS + Web» требует, чтобы оперировал realistic-сайт за proxy — что больше операционной сложности, чем self-hoster-ы типично поддерживают. Активный пробинг ловит деплои с generic placeholder-сайтом, не матчащимся заявленному SNI.
Где ещё работает. Self-hosted V2Ray с VMess + WebSocket + TLS на реальный CDN-fronted домен ещё работает во многих местах, включая части Китая и России, при careful поддержке. Большинство коммерческих V2Ray-деплоев детектируется.
Когда выбирать. Если запускаешь self-hosted setup и есть инженерное усилие поддерживать realistic-сайт за proxy, V2Ray остаётся жизнеспособным. Для коммерческого VPN Reality — лучший выбор — та же XRay-core экосистема, лучшее сопротивление детекции, меньшая операционная хрупкость.
Trojan-GFW
Что это. Trojan был создан в 2019-м специально для обхода GFW. Дизайн: выполняет настоящий TLS-handshake к серверу, но сертификат — твой собственный (self-issued или от Let's Encrypt). Authenticated-клиенты тоннелируют; unauthenticated получают realistic-сайт.
Как пытается уклоняться от детекции. Лучше Shadowsocks или V2Ray, потому что Trojan делает настоящий TLS-handshake — entropy-профиль матчится HTTPS. Активный пробинг возвращает реальный сайт, не placeholder. Выглядит как нормальный HTTPS-сайт большинству обозревателей.
Как падает. Сертификат — выдающий. Trojan-деплои используют Let's Encrypt или self-signed сертификаты для доменов, которыми оператор владеет. Логи Certificate Transparency показывают, что эти сертификаты существуют; если цензор сравнивает сертификат suspect-сервера против того, что CT говорит о заявленном домене (показывает ли CT-лог, что это реальный production-сайт? Матчатся ли другие subject names сертификата с тем, что был бы у реального production-сайта?), Trojan-деплои выделяются. Изощрённые цензоры разворачивают «активный пробинг с TLS-сравнением» — подключаются к suspect-серверу, забирают cert, сравнивают с CT-записями для заявленного домена, флагируют inconsistencies.
Где ещё работает. Большинство стран с лёгким DPI. Китай ещё ловит хорошо-задеплоенные Trojan-setup-ы, но непоследовательно. ТСПУ России ловит Trojan, использующий generic cert, но пропускает Trojan с carefully-rotating cert и high-traffic camouflage-доменами.
Когда выбирать. Если self-host-ишь и Reality слишком операционно сложен, Trojan с Let's Encrypt + реальный fronting CDN — разумный second-best. Для коммерческих VPN Reality strictly лучше — Reality форвардит реальный сторонний сертификат, устраняя CT-сравнение vector.
VLESS Reality (с Vision flow)
Что это. Reality был выпущен в XRay-core v1.8.0 в начале 2023-го. Прорыв: вместо использования своего сертификата (паттерн Trojan), Reality форвардит реальный сертификат публичного сайта вроде Microsoft или Cloudflare. Сервер проксирует unauthenticated-соединения на этот реальный сайт.
Vision flow (xtls-rprx-vision), добавленный в конце 2023-го, устраняет TLS-in-TLS detection signal, иначе видимый через traffic-анализ.
Как пытается уклоняться от детекции. Reality — единственный протокол в этом списке, чей handshake — настоящий TLS 1.3 handshake к настоящему публичному сайту. Сертификат, который видит клиент, — actual Microsoft (или Cloudflare, или Apple) сертификат, с реальными подписями реальных CA, в реальных Certificate Transparency логах. Нет fake для детекции, потому что ничто не fake.
Обман структурный: спрятанная внутри зашифрованного key-share extension TLS-handshake, маленькая часть криптографического материала идентифицирует authenticated-клиентов. Всё, что обозреватель может видеть, — подлинный HTTPS к хосту, который он не может позволить себе блокировать.
Как падает (редко). IP-reputation анализ: цензор замечает, что residential-IP неоднократно открывает long-lived TLS-соединения к конкретному VPS, который также проксирует на Microsoft. У ТСПУ России был ограниченный успех с этим, блокируя некоторые VPS IP-диапазоны. Detection rate против правильно-задеплоенного Reality с чистого IP-пространства под 5% по community-репортам через май 2026-го.
Где работает. Россия, Китай, Иран, Пакистан, ОАЭ, Саудовская Аравия, Турция. Reality с Vision — самый надёжный потребительский VPN-протокол в active-DPI окружениях в 2026-м.
Когда выбирать. Любой раз, когда нужен VPN, выживающий DPI. Единственные причины не выбирать Reality: скорость (Reality работает поверх TCP, поэтому на lossy mobile-сетях Hysteria может быть быстрее), или self-hosting простота (Reality требует больше конфигурации, чем Trojan или Shadowsocks). Для повседневного потребительского VPN-использования в censorship-heavy рынках Reality — ответ.
Детальный гайд по протоколу здесь.
Hysteria 2
Что это. Hysteria — QUIC-based протокол, задизайненный под high-loss, high-latency сети. Использует кастомный congestion-control алгоритм (Brutal), агрессивно восстанавливающийся от packet-loss. Hysteria 2, выпущенный в 2023-м, добавил улучшенную аутентификацию и traffic masquerading.
Как пытается уклоняться от детекции. Hysteria работает поверх QUIC (HTTP/3), поэтому выглядит поверхностно как браузерный HTTP/3-трафик. Hysteria 2 добавил masquerading-режим, проксирующий unauthenticated-соединения на реальный backend, похоже на дизайн Reality. Сертификат — твой собственный (Let's Encrypt-style), поэтому делит certificate-transparency уязвимость Trojan — хотя это смягчается тем, что HTTP/3 новее, и CT-сравнение детекция менее зрелая для QUIC, чем для TLS.
Как падает. QUIC-fingerprinting — своё развивающееся поле. Разные QUIC-имплементации имеют детектируемые вариации в том, как обрабатывают packet-number encryption, version negotiation и ACK-частоту. QUIC-fingerprint Hysteria всё больше отличим от QUIC-fingerprint Chrome по мере улучшения методов детекции. Некоторые иранские и китайские провайдеры троттлят Hysteria агрессивнее, чем другой QUIC-трафик.
Где работает. Mobile-сети с высокой потерей пакетов (где TCP-based протоколы стопорятся). Слабо-фильтруемые censorship-окружения. Некоторые периоды в России и Китае, где QUIC-fingerprint детекция не развёрнута.
Когда выбирать. Mobile-heavy use cases на lossy-сетях, где TCP-производительность Reality — bottleneck. UDP-over-QUIC у Hysteria 2 справляется с потерей пакетов гораздо лучше TCP. Где Reality падает по производительности (не по детекции), Hysteria может быть лучшим fit.
NaiveProxy
Что это. NaiveProxy создан klzgrad для использования реального networking-стека Chrome. Proxy-сервер запускает Caddy (webserver). Клиенты NaiveProxy используют Chromium network stack для HTTP/2-соединений к Caddy-серверу. Трафик байт-идентичен Chrome-трафику, потому что это буквально network code Chrome.
Как пытается уклоняться от детекции. Самый сильный browser-fingerprint match любого протокола в этом списке. Детекция требует отличить Chromium-fingerprint NaiveProxy от Chromium-fingerprint реального Chrome, что возможно только на тайминговом/поведенческом слое (у реальных пользователей переменные session-паттерны; у NaiveProxy-пользователей proxy-like паттерны).
Как падает. Поведенческий анализ ловит пользователей, запускающих NaiveProxy 24/7 с устойчивыми high-throughput flow, не матчащимися реальным user-browsing паттернам. Детекция не широко развёрнута (дороже fingerprint-based), но архитектурно NaiveProxy не неуязвим.
Где работает. Россия, Китай, Иран, Пакистан — большинство active-DPI рынков. Менее широко развёрнут, чем Reality (меньшая user base = сложнее blend in), но технически отличный.
Когда выбирать. Self-hosting с сильными требованиями приватности и готовностью поддерживать Caddy-инфраструктуру. NaiveProxy подлинно отличный для продвинутых пользователей; меньшее deployment footprint — главная причина, по которой коммерческие VPN его не шипят.
TUIC
Что это. TUIC (Thinking-Up-Initial-Connections) — QUIC-based протокол, задизайненный под low-latency проксирование. Работает поверх QUIC, как Hysteria, но с другими congestion-control выборами и аутентификацией.
Как пытается уклоняться от детекции. TUIC v5 добавил TLS-1.3-mimicry поверх QUIC для handshake. Протокол новее (2022–2023) и менее battle-tested, чем Reality или Hysteria.
Где работает. TUIC популярен в китайскоязычном self-hoster сообществе. Коммерческие деплои редки. Сопротивление детекции похоже на Hysteria — работает во многих местах, ещё не под устойчивой атакой.
Когда выбирать. Niche. Если ты продвинутый пользователь, желающий QUIC loss-handling преимуществ с более чистым дизайном, чем Hysteria, TUIC стоит изучить. Для большинства Reality или Hysteria — лучше-поддерживаемый выбор.
Таблица сравнения
| Протокол | DPI-сопротивление | Скорость (чистая сеть) | Скорость (lossy сеть) | Зрелость | Сложность self-host | Коммерческие VPN-деплои |
|---|---|---|---|---|---|---|
| Shadowsocks AEAD | Низкое | Быстрая | Средняя | Зрелый | Низкая | Многие, в основном мелкие |
| V2Ray VMess | Низкое-среднее | Быстрая | Средняя | Зрелый | Средняя | Некоторые |
| Trojan-GFW | Среднее | Быстрая | Средняя | Зрелый | Средняя | Мало коммерческих |
| VLESS Reality + Vision | Самое высокое | Средняя (TCP) | Средняя | Production | Высокая | Fexyn, Astrill, немногие |
| Hysteria 2 | Среднее-высокое | Очень быстрая | Отличная | Свежий (2023) | Средняя | Мало коммерческих |
| NaiveProxy | Высокое | Средняя | Средняя | Свежий (2020) | Средняя | Никаких на масштабе |
| TUIC v5 | Среднее-высокое | Быстрая | Отличная | Свежий (2023) | Средняя | Никаких на масштабе |
Реальные detection rate (май 2026)
На основе community-тестирования и нашей серверной телеметрии по рабочему пулу протоколов:
| Страна | Shadowsocks AEAD | Trojan | VLESS Reality+Vision | Hysteria 2 | NaiveProxy |
|---|---|---|---|---|---|
| Россия (ТСПУ) | В основном заблокирован | Непостоянно | ~95% success | ~70% success | ~90% success |
| Китай (GFW) | 30–60% заблокирован | Непостоянно | Работает, IP-block churn | ~60% success | ~85% success |
| Иран (FRA) | В основном заблокирован | Непостоянно | Работает | Непостоянно | Работает |
| Пакистан (PTA) | Непостоянно | Непостоянно | ~80% success | ~50% success | ~70% success |
| ОАЭ (TRA) | Троттлится | Непостоянно | Работает | Троттлится | Работает |
У этих цифр значимая неопределённость — они на основе community-репортов и нашей телеметрии, не формальных академических измерений. Относительный рейтинг стабилен по репортам, которые мы видели; абсолютные проценты дрейфуют от недели к неделе.
Почему Fexyn шипит Reality
Мы рассмотрели все шесть протоколов при построении Fexyn. Решение легло на четыре пункта.
Сопротивление детекции. Reality с Vision — самое сильное доступное против активного DPI. NaiveProxy сопоставим, но с меньшим задеплоенным footprint, что значит меньше пользователей для blend-in — долгосрочный риск детекции, который мы не хотели брать.
Production-зрелость. Reality в активном production с начала 2023-го, по тысячам self-hosted деплоев и нескольким коммерческим. Cadence bug-fix-ов здоровый. XRay-core экосистема хорошо поддерживается. По контрасту, TUIC и Hysteria 2 новее и имели больше recent breaking changes.
TCP-простота для нашей инфраструктуры. Reality работает поверх TCP. Наш серверный парк (Франкфурт, Хельсинки, Кипр, Ашберн) уже был provisioned для TCP-based протоколов. Переход на QUIC потребовал бы перестройки backend. TCP-производительность penalty на lossy-сетях реальна, но приемлема для рынков, которые мы обслуживаем.
Доступность camouflage-хоста. Reality требует реальный публичный сайт как camouflage-target. Microsoft, Cloudflare и Apple — все разумные выборы и сложны для любого цензора блокировать. Другие протоколы либо не нуждаются в camouflage (Shadowsocks), либо используют self-controlled домены (Trojan) — ни один из этих не настолько resilient.
Не притворяемся, что Reality универсально оптимален. На lossy mobile-сетях Hysteria превзойдёт нас. Для self-hoster-ов, желающих операционной простоты, Trojan или Shadowsocks проще. NaiveProxy технически отличен, и мониторим, шипить ли его как альтернативный протокол.
Для рынков, на которых фокусируемся, — Россия, Турция, Залив, Пакистан, Иран — Reality правильный ответ в 2026-м.
Что вероятно изменится
Жизнеспособность протоколов против цензуры нестабильна. Несколько прогнозов:
Доминирование Reality сузится. ТСПУ России heavily инвестирует в детекцию. Reality-vs-Reality+Vision различие появилось в конце 2025-го; другое появится к середине 2027-го. Reality продолжит работать, но конфигурационные детали, которые имеют значение, сдвинутся.
Усыновление Hysteria 2 / TUIC вырастет. По мере того, как мобильные сети доминируют развивающиеся рынки и lossy-network производительность становится более важной, QUIC-based протоколы догонят Reality по сопротивлению детекции. Текущий 70% success rate в России поднимется.
NaiveProxy получит больше коммерческих деплоев. Browser-fingerprint matching — сильная долгосрочная защита. Блокером была операционная сложность (запуск Caddy-backend), что станет легче по мере зрелости tooling.
Shadowsocks угаснет. Detection rate продолжит расти. Self-hoster-ы мигрируют на Reality или NaiveProxy. Коммерческие деплои уже редки и станут реже.
Протокол, который выбираешь сегодня, — не постоянное решение. Здоровое предположение в том, что детекция улучшается непрерывно и правильный ответ в 2027-м будет отличаться от правильного в 2026-м. Поэтому автоматическая ротация протоколов Fexyn (пробуем Bolt сначала, fall back на Stealth при фильтрации, переключаем camouflage-target по мере эволюции Reality) важнее, чем конкретный протокол, который шипим в любой момент.
Попробуй Fexyn бесплатно 7 дней — Stealth (VLESS Reality с Vision) включён в каждый план.
Дальше читай: Гайд по протоколу VLESS Reality, Что работает в России в 2026-м, Deep packet inspection, объяснение, VLESS vs Shadowsocks, VLESS vs WireGuard.