Что такое обфускация трафика

Обфускация трафика — категория техник, делающих VPN-трафик похожим на что-то другое — обычно на чистый HTTPS — чтобы deep packet inspection не мог его опознать как VPN. Полезно в местах, где сеть активно блокирует VPN-протоколы по сигнатуре: Иран, Китай, Россия под TSPU, Турция под BTK и другие.

Планка постоянно сдвигается. Протокол, побеждающий DPI сегодня, получит отпечаток через полгода и перестанет работать. Обфускация в 2026 — гонка вооружений с цензорами, у которых есть бюджет и инженерные команды.

Категории обфускации, от слабейшей к сильнейшей

XOR / pluggable transports

Оборачивают известный протокол (OpenVPN, Shadowsocks) простой трансформацией, скрывающей очевидные маркеры. Работало в 2015-м. Легко фингерпринтится сейчас — нижележащие тайминги и размеры переживают обёртку. DPI смотрит на них.

TLS-обёрнутые туннели

Оборачивают VPN-трафик в то, что выглядит как TLS-соединение. Лучше XOR. Всё ещё фингерпринтится: фейковый TLS-handshake имеет порядок расширений, padding и тайминг, отличающиеся от настоящего браузерного. Trojan и obfs4 в этой корзине.

shadow-tls и вторая волна

Улучшения над TLS-обёрткой, пытающиеся точнее имитировать отпечатки конкретных браузеров. Работает против простого DPI, ломается против изощрённого DPI, отслеживающего дрейф отпечатков.

Reality / domain fronting через настоящие сайты

Сильнейший подход на данный момент. Не подделывать TLS-handshake — делать настоящий, к настоящему публичному сайту, с настоящим сертификатом этого сайта. Handshake настоящий, неотличим от любого другого соединения к этому хосту. Чтобы заблокировать, цензору пришлось бы заблокировать сам хост — а это что-то вроде microsoft.com или cloudflare.com.

Это то, что делает VLESS Reality. Механизм описан в Объяснение VLESS Reality.

Что обфускация стоит

Несколько вещей, в зависимости от техники:

• Латентность. Настоящие TLS-handshake'и дольше, чем сырые VPN-handshake'и. VLESS Reality добавляет ~100-200 мс на первое подключение. После steady-state туннель примерно тот же.
• Throughput. TLS 1.3 обёртка стоит несколько процентов throughput vs. сырой WireGuard. Незаметно на быстром соединении, заметно на загруженном.
• CPU. Больше криптографии на обоих концах. Мобильные устройства это чувствуют сильнее десктопов.
• Надёжность. У обфусцированных протоколов больше движущихся частей. Они падают больше способов. Современные реализации устойчивы, но никогда не такие пуленепробиваемые, как сырой WireGuard на чистой сети.

Обфускация избыточна на чистой сети. Обязательна на цензурируемой. Правильный продукт поставляет и то, и другое и переключается автоматически.

Где обфускация — не замена

Обфускация скрывает факт, что ты используешь VPN. Она не:

• Не скрывает, что ты делаешь после туннелирования (это шифрование + назначение).
• Не останавливает DNS-утечки сама по себе — отдельный слой.
• Не помогает, если провайдер VPN всё логирует.

Нужно шифрование + обфускация + no-logs + предотвращение утечек. Каждое решает свою проблему.

Подход Fexyn

Fexyn Stealth — это VLESS Reality. По умолчанию rotation engine сначала пробует WireGuard; если он блокируется или троттлится — fallback на Stealth. Пользователи в известных ограничительных сетях (VPN для журналистов, пользователи в России или Турции) могут зафиксировать Stealth по умолчанию в настройках приложения.

Подробнее в VLESS Reality на Fexyn или обход интернет-цензуры в 2026.

Попробуй Fexyn бесплатно 7 дней — проверь, проходит ли Stealth через твою конкретную сеть.