Глоссарий
Что такое active probing
Метод цензуры, при котором цензор отправляет собственные пробы на подозрительные прокси-серверы, чтобы проверить, VPN это или нет, и блокировать по результату.
Active probing — это техника детекции цензуры. Вместо того чтобы только пассивно анализировать трафик (что делают deep packet inspection и анализ энтропии), инфраструктура цензора сама соединяется с подозрительными прокси-серверами и сравнивает ответ сервера с тем, что вернул бы легитимный сервис. Если ответ отличается, IP добавляется в блок-лист.
Китайский Великий фаервол делает это как минимум с 2012. Иран, Россия и Пакистан развернули похожие возможности на разном уровне.
Как работает active probing
Когда инфраструктура цензора видит соединение, которое может быть прокси (по паттернам трафика, IP-репутации или другим пассивным сигналам), она запускает собственное соединение к тому же адресу, часто в течение минут:
- Цензор видит соединение от residential-пользователя к IP
1.2.3.4на порт 443. - Инфраструктура цензора сама подключается к
1.2.3.4:443. - Отправляется запрос, который обработал бы легитимный веб-сервис (TLS ClientHello, HTTP/1.1 GET и т.д.).
- Записывается ответ.
- Ответ сравнивается с тем, что вернул бы легитимный сервис.
Если подозрительный сервер возвращает что-то нестыкующееся с настоящим сервисом — неправильную цепочку сертификатов, неправильные HTTP-заголовки, неправильный фингерпринт серверного ПО, отсутствие ответа на конкретные пробы — IP попадает в блок-лист цензора.
Что ловит active probing
Несколько категорий прокси:
Развёртывания Trojan. Trojan делает настоящий TLS handshake, но с самовыпущенным сертификатом (Let's Encrypt или self-signed). Active prober сравнивает сертификат с записями Certificate Transparency для заявленного домена. Если сертификат не соответствует тому, что CT говорит про этот домен, сервер маркируется.
Серверы с известным прокси-софтом. Многие реализации прокси имеют детектируемые HTTP-паттерны при пробинге нестандартными запросами. Shadowsocks, V2Ray и более ранние реализации ловились так.
Серверы, не отвечающие как настоящий веб-сервис. Настоящий веб-сервер возвращает страницу ошибки на невалидные запросы, делает редирект с HTTP на HTTPS, имеет конкретные заголовки. Прокси, не реализующие это поведение, выделяются.
Серверы, мгновенно разрывающие неаутентифицированные пробы. Если подозрительный сервер сразу закрывает соединения, не прошедшие аутентификацию, — это сам по себе сигнал того, что сервер ждёт аутентифицированных клиентов, то есть прокси.
Как VLESS Reality обходит active probing
VLESS Reality с Vision flow структурно устойчив к active probing. Трюк: когда неаутентифицированное соединение приходит на сервер Reality, сервер прозрачно проксирует это соединение на настоящий публичный сайт, под который маскируется.
Поток:
- Active prober соединяется с сервером Reality.
- Prober не аутентифицирован (нет shortId или X25519-ключей).
- Сервер Reality прозрачно проксирует соединение probera на, скажем,
microsoft.com. - Prober получает ответ от настоящего сервера Microsoft.
- Сертификат настоящий. Заголовки настоящие. Поведение настоящее.
- Нестыковок для детекции нет, потому что ответ ЯВЛЯЕТСЯ настоящим ответом Microsoft.
Единственное, что отличает клиент Reality от настоящего пользователя Microsoft, — это зашифрованный shortId, спрятанный внутри расширения key-share TLS, невидимый для active probera. Active probing нечего пометить.
Что всё ещё работает против Reality
Active probing в строгом смысле — соединиться, сравнить ответ — Reality не ловит. Две смежные атаки остаются частичными угрозами:
Анализ IP-репутации. Замечать, что residential IP постоянно открывает долгие TLS-соединения к конкретному VPS, который также проксирует на Microsoft, и считать этот паттерн подозрительным. Ловит часть Reality-развёртываний, но дорого в эксплуатации в масштабе и даёт ложноположительные.
Поведенческий анализ трафика. Пользователь, генерирующий стабильные соединения с Microsoft часами каждый день на высокой пропускной — поведенческий паттерн, не похожий на типичного пользователя Microsoft. Такой анализ требует значительных вычислительных ресурсов и даёт много ложноположительных, поэтому в масштабе пока не разворачивается.
Для большинства пользователей в DPI-плотных рынках в 2026 Reality + Vision плюс разумная гигиена IP-пула достаточны. Уровень детекции против правильно развёрнутого Reality — менее 5% по community-отчётам.
Почему active probing трудно победить в общем случае
Цензор устанавливает правила игры. Цензор решает, что — "легитимный" сервис, а что — нет. Любой прокси, не идеально имитирующий легитимный сервис, имеет какой-то сигнал, отличающий его. Единственный способ полностью победить active probing — БЫТЬ легитимным сервисом для любого неаутентифицированного запроса, что и делает Reality, прозрачно проксируя на настоящий сайт.
Поэтому "обфускационные" подходы поверх WireGuard или OpenVPN не выдерживают сложного active probing. Они делают трафик HTTPS-подобным, но ответ сервера на active probing — не ответ настоящего веб-сервиса. Обёртка проходит пассивный взгляд; не проходит активную пробу.
Попробуй Fexyn бесплатно 7 дней — Stealth (VLESS Reality + Vision) на каждом плане; обходит active probing структурно, будучи неотличимым от настоящего HTTPS к маскировочному хосту.
Связанные термины
Попробуй Fexyn бесплатно 7 дней
Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.
Цены