Sansür-aşma protokolleri kıyaslaması
İngilizce VPN içeriğini okuyorsan WireGuard ve OpenVPN'i duymuşsundur. Çince ya da Rusça teknik forumları okuyorsan farklı bir protokol ailesini duymuşsundur: Shadowsocks, V2Ray, Trojan, Hysteria, NaiveProxy, TUIC. Bu ikinci aile WireGuard / OpenVPN ailesinin yenemediği sansürü yenmek için özel olarak inşa edildi.
İngilizce konuşan VPN endüstrisi bu protokolleri çoğunlukla görmezden geldi. Sansür-ağırlıklı pazarlarda DPI iyileştikçe o boşluk genişliyor. Mayıs 2026'da Rusya, Çin, İran ve Pakistan'da gerçekten çalışan protokoller çoğunlukla birinci aileden değil ikinci aileden.
İşte dürüst karşılaştırma. Her protokolün ne olduğu, tespitten kaçınmaya nasıl çalıştığı, nerede başarılı olduğu ve nerede başarısız olduğu. Biz VLESS Reality gönderiyoruz ve neden alternatifler yerine onu seçtiğimizi açıklayacağız — ama alternatiflerin kötü olduğunu iddia etmeyeceğiz. Birkaçı belirli durumlar için mükemmel.
Bu protokollerin çözdüğü tespit sorunu
Modern bir sansür sisteminin trafik şifreni çözmesine gerek yok hangi protokolü çalıştırdığını bilmek için. Telde trafiğin şeklini tanımasına gerek var.
Üç tespit sinyali önemli:
Protokol fingerprint'i. WireGuard'ın handshake initiation paketi her zaman tam olarak 148 byte ve sabit yapıda. OpenVPN'in TLS handshake'inin ayırt edici timing'i var. Temel Shadowsocks akışları bile gerçek HTTPS'ten farklı görünüyor — birinci paketten yüksek entropi, önceki bir handshake yok.
İstatistiksel entropi analizi. Şifrelenmiş trafiğin yüksek entropisi (rastgele görünen byte'lar) var. Normal HTTPS trafiğinin karışık entropisi var: tahmin edilebilir sertifika zincirleriyle yapılı bir TLS handshake, sonra karakteristik record boyutlarıyla şifrelenmiş uygulama verisi. TLS handshake olmadan birinci paketten yüksek entropi gösteren akışlar göze çarpıyor.
Aktif probing. Sansürcü proxy olabilecek bir bağlantı gördüğünde, sansürcü aynı sunucuya kendi bağlantısını gönderiyor. Sunucunun yanıtı meşru bir servisten farklıysa, IP bloklanıyor.
Aşağıdaki her protokol bunların bir alt kümesini yenmeye çalışıyor. Hiçbiri hepsini kusursuz yenemiyor. En iyileri yaklaşıyor.
Shadowsocks (ve Shadowsocks AEAD)
Nedir. Shadowsocks 2012'de Çinli bir geliştirici (clowwindy) tarafından Great Firewall'u atlamak için yaratıldı. Bağlantıyı saran bir stream cipher ile basit bir SOCKS5-tarzı proxy. Başlangıçta önerilen şifre chacha20-ietf-poly1305'ti; AEAD-bazlı varyantlar 2018 civarında bunu aştı.
Tespitten nasıl kaçınmaya çalışıyor. Shadowsocks kaçınmıyor. Protokolün tek savunması şifrelenmiş trafiğin rastgele byte'lara benzemesi, WireGuard gibi yapılı bir protokole göre fingerprint alması daha zor. TLS handshake yok, sahte sunucu yok, aktif-probing direnci yok.
Nasıl başarısız oluyor. Great Firewall yaklaşık 2017'den beri Shadowsocks'u güvenilir şekilde blokluyor. Tespit yöntemi gelişti: önce erken plain-Shadowsocks'ta imza-bazlı yakalamalar; sonra entropi analizi AEAD varyantlarını yakalıyor çünkü TLS handshake yokluğu yüksek entropili payload'larla birleşince fingerprint'in kendisi. 2024-2026'ya kadar hem Rus TSPU'su hem GFW topluluk testlerine göre %30-60 Shadowsocks tespit oranlarına ulaşıyor.
Hâlâ nerede çalışıyor. Hafif filtrelenmiş ülkeler (Vietnam, Endonezya'nın bazı bölgeleri, Türkiye'de bazı dönemler). obfs-tls ya da simple-obfs plugin'leriyle self-host edilen Shadowsocks Çin'de hâlâ ara sıra çalışıyor ama kırılgan.
Ne zaman seçmeli. 2026'da neredeyse hiç. Spesifik operasyonel sebeplerin (mevcut altyapı, basitlik, offline tooling) varsa ve ağır-DPI ülkesinde değilsen Shadowsocks kullan. Aksi takdirde Reality, NaiveProxy ya da Hysteria'ya geç.
V2Ray ve VMess
Nedir. V2Ray 2015'te Shadowsocks'a daha esnek bir halef olarak yaratıldı. Birden fazla transport (TCP, mKCP, WebSocket, HTTP/2, QUIC) ve üzerine katmanlanmış birden fazla protokol (VMess, Shadowsocks, SOCKS, HTTP) destekliyor. VMess V2Ray'in yerel protokolü — şifrelenmiş, timestamp-bazlı authentication şemasıyla.
Tespitten nasıl kaçınmaya çalışıyor. V2Ray'in esnekliği kaçınma stratejisi. VMess'i gerçek görünümlü bir domain'e TLS üzerinden HTTP/2 içine katmanlayarak, yüzeysel olarak bir web sitesine HTTPS'e benzeyen bir akış kurabilirsin. "WebSocket + TLS + Web" dağıtım pattern'i 2017-2020 yıllarında popülerdi.
Nasıl başarısız oluyor. VMess'in kendisinin tespit edilebilir pattern'leri var (timestamp-bazlı auth penceresi fingerprint'lenebilir). "WebSocket + TLS + Web" dağıtımı proxy arkasında gerçek görünümlü bir web sitesi işletmeni gerektiriyor — self-host'çuların tipik olarak sürdürdüğünden daha fazla operasyonel karmaşa. Aktif probing iddia edilen SNI'yla eşleşmeyen jenerik placeholder web sitesi olan dağıtımları yakalıyor.
Hâlâ nerede çalışıyor. Gerçek bir CDN-fronted domain'e VMess + WebSocket + TLS ile self-host edilen V2Ray birçok yerde, Çin ve Rusya'nın bazı kısımlarında dahil olmak üzere, dikkatli sürdürülürse hâlâ çalışıyor. Çoğu ticari V2Ray dağıtımı tespit ediliyor.
Ne zaman seçmeli. Self-hosted bir kurulum çalıştırıyorsan ve proxy arkasında gerçek görünümlü bir web sitesi sürdürmek için mühendislik çabası varsa, V2Ray hâlâ yaşanabilir. Ticari bir VPN için Reality daha iyi seçim — aynı XRay-core ekosistemi, daha iyi tespit direnci, daha az operasyonel kırılganlık.
Trojan-GFW
Nedir. Trojan 2019'da özel olarak Great Firewall'u yenmek için yaratıldı. Tasarım: sunucuna gerçek TLS handshake yap, ama sertifika kendin (kendin imzaladın ya da Let's Encrypt'ten). Authenticated client'lar tunnel'lıyor; authenticated olmayan client'lara gerçek görünümlü bir web sitesi servis ediliyor.
Tespitten nasıl kaçınmaya çalışıyor. Shadowsocks ya da V2Ray'den daha iyi, çünkü Trojan gerçek bir TLS handshake yapıyor — entropi profili HTTPS'e uyuyor. Aktif probing placeholder yerine gerçek bir web sitesi döndürüyor. Çoğu gözlemciye normal bir HTTPS sitesi gibi görünüyor.
Nasıl başarısız oluyor. Sertifika ele veriyor. Trojan dağıtımları operatörün kontrol ettiği domain'ler için Let's Encrypt ya da self-signed sertifikalar kullanıyor. Certificate Transparency log'ları bu sertifikaların var olduğunu gösteriyor; bir sansürcü şüpheli bir sunucunun sertifikasını CT'nin o domain hakkında ne dediğine karşı kıyaslıyorsa (CT log'u bunun gerçek bir üretim sitesi olduğunu gösteriyor mu? Sertifikanın diğer subject name'leri gerçek bir üretim sitesinin sahip olacağıyla eşleşiyor mu?), Trojan dağıtımları göze çarpıyor. Sofistike sansürcüler "TLS karşılaştırmalı aktif probing" dağıtıyor — şüpheli sunucuya bağlan, cert'i çek, iddia edilen domain için CT kayıtlarına karşı kıyasla, tutarsızlıkları flag'le.
Hâlâ nerede çalışıyor. Hafif DPI'lı çoğu ülke. Çin hâlâ iyi-dağıtılmış Trojan kurulumlarını yakalıyor ama tutarsız. Rusya'nın TSPU'su jenerik cert kullanan Trojan'ı yakalıyor ama dikkatlice rotate edilmiş cert ve yüksek-trafikli kamuflaj domain'leri olan Trojan'ı kaçırıyor.
Ne zaman seçmeli. Self-host'luyorsan ve Reality operasyonel olarak çok karmaşıksa, Let's Encrypt + gerçek fronting CDN'li Trojan makul bir ikinci-en-iyi. Ticari VPN'ler için Reality kesinlikle daha iyi — Reality gerçek üçüncü-taraf sertifikası forward ediyor, CT-karşılaştırma vektörünü ortadan kaldırıyor.
VLESS Reality (Vision flow ile)
Nedir. Reality 2023 başlarında XRay-core v1.8.0'da çıktı. Atılım: kendi sertifikanı kullanmak (Trojan'ın pattern'i) yerine, Reality Microsoft ya da Cloudflare gibi gerçek bir public sitenin gerçek sertifikasını forward ediyor. Sunucu authenticated olmayan bağlantıları o gerçek siteye proxy'liyor.
2023 sonunda eklenen Vision flow (xtls-rprx-vision), trafik analiziyle başka türlü görünür olacak TLS-in-TLS tespit sinyalini ortadan kaldırıyor.
Tespitten nasıl kaçınmaya çalışıyor. Reality bu listede handshake'i gerçek bir public siteye gerçek TLS 1.3 handshake olan tek protokol. Client'ın gördüğü sertifika gerçek Microsoft (ya da Cloudflare ya da Apple) sertifikası, gerçek CA'ların gerçek imzalarıyla, gerçek Certificate Transparency log'larında. Tespit edilecek sahte hiçbir şey yok çünkü hiçbir şey sahte değil.
Aldatma yapısal: TLS handshake'in şifrelenmiş key-share extension'ında gizlenmiş, küçük bir kriptografik materyal authenticated client'ları tanımlıyor. Bir gözlemcinin görebileceği her şey, bloklamayı göze alamayacakları bir host'a gerçek HTTPS.
Nasıl başarısız oluyor (nadiren). IP-itibar analizi: bir sansürcü bir konut IP'sinin Microsoft'a da proxy'leyen belirli bir VPS'e tekrar tekrar uzun-süreli TLS bağlantıları açtığını fark ediyor. Rusya'nın TSPU'su bunda sınırlı başarı gördü, bazı VPS IP aralıklarını blokladı. Mayıs 2026'ya kadar topluluk raporlarına göre temiz IP alanından düzgün-dağıtılmış Reality'ye karşı tespit oranı %5'in altında.
Nerede çalışıyor. Rusya, Çin, İran, Pakistan, BAE, Suudi Arabistan, Türkiye. Vision'lı Reality 2026'da aktif-DPI ortamlarındaki en güvenilir tüketici-VPN protokolü.
Ne zaman seçmeli. DPI'dan kurtulan bir VPN'e ihtiyacın olduğunda. Reality'yi seçmemenin tek sebebi: hız (Reality TCP üzerinden çalışıyor, dolayısıyla loss'lı mobil ağlarda Hysteria daha hızlı olabilir) ya da self-host basitliği (Reality Trojan ya da Shadowsocks'tan daha fazla konfigürasyon gerektiriyor). Sansür-ağırlıklı pazarlarda günlük tüketici VPN kullanımı için cevap Reality.
Detaylı protokol rehberi burada.
Hysteria 2
Nedir. Hysteria yüksek-loss, yüksek-gecikmeli ağlar için tasarlanmış QUIC-bazlı bir protokol. Paket kayıplarından agresif olarak kurtaran özel congestion control algoritması (Brutal) kullanıyor. 2023'te yayınlanan Hysteria 2 iyileştirilmiş authentication ve traffic masquerading ekledi.
Tespitten nasıl kaçınmaya çalışıyor. Hysteria QUIC (HTTP/3) üzerinden çalışıyor, dolayısıyla yüzeysel olarak tarayıcı HTTP/3 trafiğine benziyor. Hysteria 2 authenticated olmayan bağlantıları Reality'nin tasarımına benzer şekilde gerçek bir backend'e proxy'leyen masquerading mode ekledi. Sertifika kendin (Let's Encrypt-tarzı), dolayısıyla Trojan'ın certificate-transparency zafiyetini paylaşıyor — ancak HTTP/3'ün daha yeni olması ve QUIC için CT-karşılaştırma tespitinin TLS'e göre daha az olgun olmasıyla hafifletiliyor.
Nasıl başarısız oluyor. QUIC fingerprint'i kendi başına gelişmekte olan bir alan. Farklı QUIC implementasyonlarının paket numarası şifrelemesi, sürüm müzakeresi ve ACK frekansını nasıl ele aldığında tespit edilebilir varyasyonları var. Hysteria'nın QUIC fingerprint'i tespit yöntemleri iyileştikçe Chrome'un QUIC fingerprint'inden giderek daha ayırt edilebilir oluyor. Bazı İran ve Çin ISP'leri Hysteria'yı diğer QUIC trafiğinden daha agresif throttle ediyor.
Nerede çalışıyor. Yüksek paket kayıplı mobil ağlar (TCP-bazlı protokollerin durduğu yerde). Hafif-filtrelenmiş sansür ortamları. Rusya ve Çin'de QUIC fingerprint tespitinin dağıtılmadığı bazı dönemler.
Ne zaman seçmeli. Reality'nin TCP performansının darboğaz olduğu loss'lı ağlarda mobil-ağırlıklı kullanım durumları. Hysteria 2'nin QUIC-üzeri-UDP'si paket kaybını TCP'den çok daha iyi ele alıyor. Reality'nin tespit sebepleri yerine performans sebepleriyle başarısız olduğu yerlerde Hysteria daha iyi uyum sağlayabilir.
NaiveProxy
Nedir. NaiveProxy klzgrad tarafından Chrome'un gerçek networking stack'ini kullanmak için yaratıldı. Proxy sunucusu Caddy (web sunucusu) çalıştırıyor. NaiveProxy client'ları Caddy sunucusuna HTTP/2 bağlantıları yapmak için Chromium network stack'ini kullanıyor. Trafik byte-byte Chrome trafiğiyle aynı çünkü tam anlamıyla Chrome ağ kodu.
Tespitten nasıl kaçınmaya çalışıyor. Bu listedeki herhangi bir protokolün en güçlü tarayıcı-fingerprint eşleşmesi. Tespit NaiveProxy'nin Chromium fingerprint'ini gerçek Chrome'un Chromium fingerprint'inden ayırmayı gerektiriyor, ki bu sadece timing/davranışsal katmanda mümkün (gerçek kullanıcılar değişken oturum pattern'lerine sahip; NaiveProxy kullanıcıları proxy-benzeri pattern'lere sahip).
Nasıl başarısız oluyor. Davranışsal analiz NaiveProxy'yi gerçek-kullanıcı tarama pattern'leriyle eşleşmeyen sürdürülmüş yüksek-throughput akışlarla 7/24 çalıştıran kullanıcıları yakalıyor. Tespit yaygın olarak dağıtılmadı (fingerprint-bazlı tespitten daha pahalı), ama mimari olarak NaiveProxy yenilmez değil.
Nerede çalışıyor. Rusya, Çin, İran, Pakistan — çoğu aktif-DPI pazarı. Reality'den daha az yaygın dağıtılmış (daha küçük kullanıcı tabanı = harmanlanmak daha zor), ama teknik olarak mükemmel.
Ne zaman seçmeli. Güçlü gizlilik gereksinimleri ve Caddy altyapısını sürdürme isteği olan self-hosting. NaiveProxy ileri kullanıcılar için gerçekten mükemmel; daha küçük dağıtım izi, ticari VPN'lerin onu göndermemesinin ana sebebi.
TUIC
Nedir. TUIC (Thinking-Up-Initial-Connections) düşük-gecikmeli proxy'leme için tasarlanmış QUIC-bazlı bir protokol. Hysteria gibi QUIC üzerinden çalışıyor ama farklı congestion-control seçimleri ve authentication ile.
Tespitten nasıl kaçınmaya çalışıyor. TUIC v5 handshake için QUIC üzerine TLS-1.3-mimicry ekledi. Protokol daha yeni (2022-2023) ve Reality ya da Hysteria'dan daha az savaş-test edilmiş.
Nerede çalışıyor. TUIC en çok Çince konuşan self-host'çu topluluğunda popüler. Ticari dağıtımlar nadir. Tespit direnci Hysteria'ya benzer — birçok yerde çalışıyor, henüz sürekli saldırı altında değil.
Ne zaman seçmeli. Niş. Hysteria'dan daha temiz protokol tasarımıyla QUIC'in loss-handling avantajlarını isteyen ileri bir kullanıcıysan, TUIC araştırmaya değer. Çoğu kullanıcı için Reality ya da Hysteria daha iyi-desteklenen seçim.
Karşılaştırma tablosu
| Protokol | DPI direnci | Hız (temiz ağ) | Hız (loss'lı ağ) | Olgunluk | Self-host karmaşıklığı | Ticari VPN dağıtımları |
|---|---|---|---|---|---|---|
| Shadowsocks AEAD | Düşük | Hızlı | Orta | Olgun | Düşük | Çoğu küçük sağlayıcı |
| V2Ray VMess | Düşük-orta | Hızlı | Orta | Olgun | Orta | Bazı |
| Trojan-GFW | Orta | Hızlı | Orta | Olgun | Orta | Az ticari |
| VLESS Reality + Vision | En yüksek | Orta (TCP) | Orta | Üretim | Yüksek | Fexyn, Astrill, az diğer |
| Hysteria 2 | Orta-yüksek | Çok hızlı | Mükemmel | Yeni (2023) | Orta | Az ticari |
| NaiveProxy | Yüksek | Orta | Orta | Yeni (2020) | Orta | Ölçekte yok |
| TUIC v5 | Orta-yüksek | Hızlı | Mükemmel | Yeni (2023) | Orta | Ölçekte yok |
Gerçek dünya tespit oranları (Mayıs 2026)
Çalışan protokol havuzunda topluluk testi ve kendi sunucu telemetrimize dayalı:
| Ülke | Shadowsocks AEAD | Trojan | VLESS Reality+Vision | Hysteria 2 | NaiveProxy |
|---|---|---|---|---|---|
| Rusya (TSPU) | Çoğunlukla bloklu | Tutarsız | ~%95 başarı | ~%70 başarı | ~%90 başarı |
| Çin (GFW) | %30-60 bloklu | Tutarsız | Çalışıyor, IP-blok churn | ~%60 başarı | ~%85 başarı |
| İran (FRA) | Çoğunlukla bloklu | Tutarsız | Çalışıyor | Tutarsız | Çalışıyor |
| Pakistan (PTA) | Tutarsız | Tutarsız | ~%80 başarı | ~%50 başarı | ~%70 başarı |
| BAE (TRA) | Throttle | Tutarsız | Çalışıyor | Throttle | Çalışıyor |
Bu rakamlarda anlamlı belirsizlik var — topluluk raporları ve kendi telemetrimize dayanıyor, resmi akademik ölçümlere değil. Gördüğümüz raporlarda göreceli sıralama stabil; mutlak yüzdeler haftadan haftaya kayıyor.
Fexyn neden Reality gönderiyor
Fexyn'i kurarken altı protokolü de değerlendirdik. Karar dört noktaya dayandı.
Tespit direnci. Vision'lı Reality aktif DPI'a karşı mevcut en güçlü. NaiveProxy karşılaştırılabilir ama daha küçük dağıtılmış izle, harmanlanacak daha az kullanıcı anlamına geliyor — almak istemediğimiz uzun-vadeli tespit riski.
Üretim olgunluğu. Reality 2023 başlarından beri binlerce self-host dağıtımı ve birkaç ticari sağlayıcıda aktif üretimde. Bug-fix kadansı sağlıklı. XRay-core ekosistemi iyi-bakımlı. Buna karşılık TUIC ve Hysteria 2 daha yeni ve daha yakın zamanda kırıcı değişiklikler yaşadı.
Altyapımız için TCP basitliği. Reality TCP üzerinden çalışıyor. Sunucu filomuz (Frankfurt, Helsinki, Kıbrıs, Ashburn) zaten TCP-bazlı protokoller için provisioned'dı. QUIC'e geçmek backend'imizi yeniden inşa etmeyi gerektirirdi. Loss'lı ağlarda TCP performans cezası gerçek ama hizmet ettiğimiz pazarlar için kabul edilebilir.
Kamuflaj host bulunabilirliği. Reality kamuflaj hedefi olarak gerçek bir public siteye ihtiyaç duyuyor. Microsoft, Cloudflare ve Apple hepsi makul seçimler ve herhangi bir sansürcünün bloklaması zor. Diğer protokoller ya kamuflaja ihtiyaç duymuyor (Shadowsocks) ya da self-controlled domain'ler kullanıyor (Trojan) — hiçbiri kadar dirençli değil.
Reality'nin evrensel olarak optimal olduğunu iddia etmiyoruz. Loss'lı mobil ağlarda Hysteria bizden daha iyi performans gösterirdi. Operasyonel basitlik isteyen self-host'çular için Trojan ya da Shadowsocks daha kolay. NaiveProxy teknik olarak mükemmel ve onu alternatif protokol olarak gönderip göndermemeyi izliyoruz.
Odaklandığımız pazarlar için — Rusya, Türkiye, Körfez, Pakistan, İran — Reality 2026'da doğru cevap.
Neyin değişmesi muhtemel
Sansüre karşı protokol yaşanabilirliği stabil değil. Bazı tahminler:
Reality'nin hâkimiyeti daralacak. Rusya'nın TSPU'su tespite ağır yatırım yapıyor. Reality-vs-Reality+Vision ayrımı 2025 sonunda ortaya çıktı; başka bir ayrım 2027 ortasına kadar ortaya çıkacak. Reality çalışmaya devam edecek ama önemli olan konfigürasyon detayları kayacak.
Hysteria 2 / TUIC benimsenmesi büyüyecek. Mobil ağlar gelişen pazarlara hâkim oldukça ve loss'lı-ağ performansı daha büyük bir mesele oldukça, QUIC-bazlı protokoller tespit direncinde Reality'ye yetişecek. Mevcut %70 Rusya başarı oranı yükselecek.
NaiveProxy daha fazla ticari dağıtım alacak. Tarayıcı-fingerprint eşleştirmesi güçlü uzun-vadeli savunma. Engelleyici operasyonel karmaşıklık (Caddy backend'leri çalıştırmak) oldu, tooling olgunlaştıkça kolaylaşacak.
Shadowsocks soluklaşacak. Tespit oranları yükselmeye devam edecek. Self-host'çular Reality ya da NaiveProxy'ye geçecek. Ticari dağıtımlar zaten nadir ve daha nadir olacak.
Bugün seçtiğin protokol kalıcı bir karar değil. Sağlıklı varsayım, tespitin sürekli iyileştiği ve 2027'deki doğru cevabın 2026'daki doğru cevaptan farklı olacağıdır. Bu yüzden Fexyn'in otomatik-protokol-rotasyonu (önce Bolt'u dene, filtrelemede Stealth'e düş, Reality geliştikçe kamuflaj hedefini değiştir) herhangi bir anda gönderdiğimiz spesifik protokolden daha önemli.
Fexyn'i 7 gün ücretsiz dene — Stealth (Vision ile VLESS Reality) her planda dahil.
Daha fazla oku: VLESS Reality protokol rehberi, Rusya'da 2026'da ne çalışıyor, Deep packet inspection açıklandı, VLESS vs Shadowsocks, VLESS vs WireGuard.